標的型攻撃への対策に有効!「シマンテックドットクラウド」に備わる技術

前回は、近年、企業の情報セキュリティにかかわるトピックとして注目を集めている「標的型攻撃」について、その特性や有効な対応方法を、ITセキュリティ分野で実績を持つベンダーであるシマンテックに聞いた。

シマンテックドットクラウドのテクニカルダイレクタを務める坂本真吾氏

同社が提供するクラウド型セキュリティソリューション「シマンテックドットクラウド」のテクニカルダイレクタを務める坂本真吾氏と、同じくシマンテックドットクラウドのマーケティングマネジャーである三浦真樹子氏によれば、近年「標的型」と呼ばれている攻撃の特性には、かつてのコンピュータウイルスのような愉快犯的なものではなく、盗み取る情報や攻撃対象に明確な目的があること。規模や業種にかかわらず、あらゆる企業が標的型攻撃のターゲットになり得ること。一見、危険度が低く思われる攻撃を組み合わせることにより、最終的に目的の情報を奪い取る「多段型」の手法が多く使われることなどがあった。

また、巧妙に仕掛けられる標的型攻撃への対策を考慮するにあたっては、クライアントPCのようなエンドポイントだけでなく、ゲートウェイでのスキャンを並用する「多層防御」が有効であることも示された。

シマンテックのクラウド型セキュリティサービス「シマンテックドットクラウド」では、企業のメールやウェブアクセスにかかわるセキュリティ確保のための機能をSaaS(Software as a Service)形式で提供している。

前回は、多段型の手法が多く使われる標的型攻撃において一番最初に狙われるのは「メール」であるとの調査結果を紹介した。シマンテックドットクラウドの「メールセキュリティ」は、企業のメールサーバと社外のメールのやりとりをスキャンして適切に処理することにより、悪意のあるコードを含んだメールをブロックし、社内のネットワークに届く前で阻止する仕組みを用意しているという。

「シマンテックドットクラウドメールセキュリティ」の概要

今回も、前回と同様、マイナビのシステム統括本部で業務システム統括部の部長を務める薄井照丈氏に聞き手となっていただいた。マイナビは、このシマンテックドットクラウドメールセキュリティのユーザーでもある。後半では、実際のユーザーの立場で、シマンテックドットクラウドを利用してのメリットについても語ってもらっている。

最新ITリスク対策注目記事一覧

【レポート】手法が高度化する「標的型攻撃」、その実態と企業を守るための考え方を聞く

【レポート】標的型攻撃への対策に有効!「シマンテックドットクラウド」に備わる技術

【レポート】日本企業の情報は高値!? グローバル化で変わったセキュリティの新常識

【レポート】成長する企業に求められる「新しいセキュリティ対策」

【レポート】仮想環境バックアップに潜む、意外な落とし穴

【レポート】ゲストOSには対策不要? - 仮想環境のセキュリティにまつわる「危険な誤解」

クラウドによるゲートウェイ型だからこそできる徹底したメール分析

マイナビ薄井照丈氏

薄井 : 前回のお話しでは、標的型攻撃への対策として、エンドポイントセキュリティに併せ、ゲートウェイ型のセキュリティソリューションの並用が有効だとのことでした。その理由について、改めて聞かせていただけますか。

三浦 : マルウェアの感染経路として「メール」が使われる比率が高いことについては、前回もお話しをしました。一方で、メールは今や企業のコミュニケーションツールとして不可欠のものとなっており、当然、受信を制限することはできません。であれば、攻撃の可能性がある疑わしいものについては、すべて水際で処理し、企業内に入れないことが基本になります。

坂本 : シマンテックドットクラウドのメールセキュリティでは、企業あてに送られたメールについて、多層型のスキャンシステムを使った解析を行っています。そこでは、送信元の検証や商用スキャンエンジンを利用したスパムフィルタ、ウイルススキャンなどに加えて、シマンテック独自のクラウドサービス専用人工知能エンジンである「Skeptic」を使った徹底的な解析を行い、ゼロデイを含む、標的型攻撃に使われる可能性があるコードを、極めて高い精度で識別できるようになっています。

シマンテックドットクラウドのマーケティングマネジャーを務める三浦真樹子氏

薄井 : Skepticエンジンでは、一般的に知られていないゼロデイの脆弱性にも対応できるのですか。

坂本 : はい。一般的なウイルススキャンでは、ファイル単位で定義ファイルと照らし合わせて判別したり、予め危険であることが分かっているコードをファイル内から見つけ出すことで危険要素を判定したりしています。一方のSkepticでは、メールや添付ファイルをファイルという単位ではなく、コードレベルに分解して分析し、それぞれのコードが組み合わさることでどのような動作をし得るか考えます。その結果、個々のコードが組み合わされることで「結果的にどのような振る舞いをする可能性があるか」までを分析できるのです。

Skepticを含む多層スキャンは、極めて精度の高い分析方法なのですが、一方でエンドポイントとなるデスクトップPCで行うには負荷が高すぎるという問題もあります。そのため、メールスキャンについては、クラウド型で提供されるサービスを使って負荷をゲートウェイ側に分散し、徹底的に精査した上で、問題のないメールだけをエンドポイントで受信するという多層の対策に意味があるのです。

シマンテックドットクラウドにおける多層型のメールスキャニング

薄井 : たしかに、さまざまな攻撃手法を検知するために、より詳細な分析が必要になっている一方で、エンドポイントのPCにかかる負荷は低い方がいいというのがユーザーの正直な思いです。メールのセキュリティ確保に関しては、クラウドのリソースを活用するのが、その点でも合理的ですね。

坂本 : また、シマンテックが持っている多くの顧客ベースが、スキャン品質の高さを支えている点も重要です。グローバルベースで、3万5000社以上に導入されており、そのメールスキャニングの実績がリアルタイムに反映できる点で、スピード面でもメリットがあります。

新しいマルウェアは、最初に海外で発見される可能性が高いのですが、世界のどこかで検知された新たなマルウェアや攻撃手法が、全世界でのサービスに即座に反映されます。これについては、新興のセキュリティ企業が展開するサービスには、なかなか真似ができない部分だと思います。