2017年7月12日、新宿ミライナタワーのマイナビルームにて、多層防御によるセキュリティについて解説するセミナー「改めてセキュリティのマネジメントを見直す時 複雑化する脅威、ボーダレス化する対策とは? ~「多層防御」によるセキュリティ対策セミナー~」が開催された。本稿では、「多層防御を進化させるシンクロナイズドセキュリティ」と題して登壇した、ソフォスのセールスエンジニアリング本部 技術ソリューション部長 兼 セキュリティエバンジェリスト 佐々木 潤世氏の講演を紹介する。

サイバー攻撃手法の高度化によりエンドポイント上での多層防御では限界に

ソフォス セールスエンジニアリング本部 技術ソリューション部長 兼 セキュリティエバンジェリスト 佐々木 潤世氏

標的型サイバー攻撃をはじめ、より巧妙さを増している昨今の攻撃手法に対しては、エンドポイント上での多層防御(従来型シグネチャ検知+エクスプロイト防御+AI/ML型マルウェア検知)だけでは十分とはいえなくなってきている。近年では、もはやネットワーク機器も含めて多層化した対策が必要とされる。今回の講演で佐々木氏は、次世代エンドポイントから次世代ファイアーウォールまでのすべてが連動し、自動インシデント対応を実現する「シンクロナイズドセキュリティ」について解説した。

「いまやサイバー攻撃に対する防御は、多層防御が前提となっています。そうなると各層ごとの防御や層と層の間の連携が必要になってきますが、企業によってはそこまで考慮した対策は難しいのも事実です。そこで多層防御を進化させる『シンクロナイズドセキュリティ』がポイントになってきます」と佐々木氏は強調した。

ここで同氏は最新のサイバー攻撃の話題として、5月から6月にかけて世界中で猛威を振るった2種類のランサムウェア、「Wanna Cry」と「Petya」について言及した。まず、150ヶ国もの企業や団体に被害が及んだWanna Cryだが、その爆発的流行の背景の一つとして、Windows XPとWindows 2003のサポートが終了しており、パッチが配布されていなかった点が挙げられる。

「Wanna Cryは、ランサムウェアであるWanna Cry本体とワームを組み合わせることで感染が拡大しやすくなっています。それに加え、文書や写真、オーディオ、動画、スクリプトコードなどのファイルを勝手に暗号化してしまうため、一度感染すると被害が大きいのも特徴です」(佐々木氏)

一方のPetyaは、ファイルを暗号化するだけでなく、ディスク自体の暗号化もしてしまうという特徴がある。そしてこちらもワームと組み合わせることで感染力が強くなっているのだ。Petyaへの対策の難しさについて、佐々木氏はこう語った。

「Petyaは組み込まれたワームの種類も3種類と増え、より高度な感染力を有します。そのため従来型の対策では防ぐことが困難になっています」

さらに、昨今脅威を増しているのが、Androidをターゲットにしたランサムウェアだ。サイバーセキュリティインテリジェンスを研究し、情報を提供しているソフォスの研究機関Sophos Labの観測によると、2016年末からAndroidを狙うランサムウェアが急激に増加しているのだという。その代表格である「PornClk」は、ファイルなどを暗号化するわけではないものの、操作を制限することで身代金を要求する。佐々木氏は、「もはやインターネットにつながるモノはすべて狙われると考えていいだろう」と解説した。

最新のマルウェアもブロック - 進化を続ける「Intercept X」

こうした感染力の高い最新のマルウェアであるWanna CryやPetyaも確実にブロックすることを実証したのが、ソフォスの「Intercept X」である。「Intercept X」は、ランサムウェアからの保護(アンチランサムウェア:CryptoGuard)、脆弱性をついた攻撃(エクスプロイト)からの保護(アンチエクスプロイト:脆弱性攻撃対応(CIX))、悪質なトラフィックの検知(MTD)といった「保護と検知」の機能に加えて、「調査と削除」を行う、根本原因解析(RCA)、感染後の修復(Sophos Clean)、そして「Secrity Heartbeat(セキュリティ・ハートビート)」といった機能を備えている。

まずランサムウェアからの保護では、「Intercept X」はPC上で動作しているすべてのプロセスを常時監視しており、ランサムウェアの特徴的な動作を把握するとそのプロセスをブロックし、暗号化されたファイルを自動ロールバックする。脆弱性攻撃対応(CIX)は、マルウェアの動きをOSやミドルウェア、高級言語のレベルで捕らえる振る舞い検知を物理デバイスへのI/Oアクセスといったより低いレイヤで監視し、抽象化したエクスプロイト手法を利用することによって、プロセスやタスクを識別・ブロックすることが可能だ。

「エクスプロイトベースの攻撃の多くは、ふたつ以上の手法で構成されます。「Intercept X」は、そんなエクスプロイトステップの抑止、つまり攻撃チェーンの破壊を可能とします」(佐々木氏)

さらに同氏は、「Intercept X」の新たなイノベーションとして、近い将来に実装を目指している機能を明らかにした。まずひとつは、資格情報の盗難から保護する機能だ。これは、ユーザー資格情報を収集する攻撃テクニックを阻止することで実現する。そしてもうひとつが、ディスクおよびブートレコードの保護である。

「OSレベルでは見えない領域にマルウェアが仕込まれてしまうと、どんなアンチウィルスでも検出することができません。しかし、そこまで管理できる高度な保護機能を我々は実現しようとしています」(佐々木氏)

他にも、プロセス保護の向上やマシンラーニング/ディープラーニングの活用など、次なるステップへと「Intercept X」は踏み出そうとしているのである。

エンドポイントからゲートウェイまでエンド・ツー・エンドの保護を実現

これまで様々な会社・組織がサイバー攻撃に対して防御壁を構築してきたが、それでも感染とそれによる被害は生じているのは事実だ。そして一旦侵入を許してしまうと、内部感染も発生してしまう。そのため多層防御を行わざるをえないわけだが、多層防御を構築しても有効に利用できていないケースも多い。一般的に入口・内部・出口対策といったアプローチをとることになる。しかし近年のサイバー攻撃の傾向を鑑みると、入口・内部・出口それぞれに対しても、さらにきめ細かな個別の対応が必要となる。

たとえば入口というのは、インターネットだけではない。USBやIoTデバイス、Wi-Fiなども狙われるため、それぞれへの対策が必要となる。また内部感染の防止についても、どうやって内部感染の事実を検知し、伝染をいかに早く止めるかというのは永遠のテーマである。さらに出口対策として情報流出を防止しようとするにしても、どんな情報を守るべきか、どこで止めるのか、もしデータが破壊された場合はどのように復旧するのかまでを対策として盛り込む必要があるのだ。佐々木氏はこう力説する。

「サイバー攻撃に対する防御においては、それぞれの防御壁の管理・運用はどうするかという課題に直面しています。しかし、エンドポイントからゲートウェイまで様々なソリューションを抱えている我々であれば、シングルベンダでエンド・ツー・エンドの保護と運用の統一化を実現することができます。そうした防御について、従来よりさらにもう一歩踏み込んで打ち出したのが『Synchronized Security (シンクロナイズドセキュリティ)』なのです」

「Synchronized Security」は、エンドポイントとネットワーク基盤とを運用管理基盤を経由せずとも連携でき、世界で初めてデバイス同士がお互いのステータスの情報交換を可能にしたクラウドベース管理のソリューションである。「Synchronized Security」では、洗練されたセキュリティシステムが防御を強化することで、「協調型防御」「自動インシデント対応」「リアルタイム洞察・制御」を実現する。

このうち自動インシデント対応の基本になるのが「Secrity Heartbeat」である。「Secrity Heartbeat」は、ネットワークとエンドポイント製品が通信してインテリジェンスを共有し、セキュリティ保護を改善する。これにより、インシデントの発生から対処までの時間を大幅に短縮できるのに加え、感染ルートの特定までが行えるようになる。「ほぼ自動的にインシデントに対応できる仕組みを構築できるのが、我々の大きな優位性だと自負しています」と、佐々木氏は強調した。

また、「Synchronized Security」における動的アプリケーションコントロールでは、自動的に未知のアプリを識別し、リスク軽減やパフォーマンスの改善につなげることを可能とする。

「インターネット上のアプリケーションは日々進化を続けており、シグネチャがすぐにアップデートされなければ、結果的には未知のアプリケーションとなってしまいます。それが今日のアプリケーションコントロールを困難にしている要因でもあるのです。しかしソフォスならば、Security Heartbeatによるエンドポイントとの交信で、不明なアプリケーションがあったら“エンドポイントに聞く“というアプローチが可能です。こうしてダイナミックにアプリケーションを可視化することで、より高い精度でアプリケーションのコントロールが行えるのです」(佐々木氏)

佐々木氏は講演の最後に、これまでの内容を振り返るとともに、会場に向けて次のように語りかけて講演を締めくくった。

「ソフォスのソリューションの効果としては、様々なセキュリティ管理を一元的に行うことができること、インシデント対応の自動化・早期処置が可能であること、クラウド管理基盤であるため管理基盤を構築する必要がないことが挙げられます。様々なソリューションやデータなど、すべてを連携させることでセキュリティを確保していきましょう、というのが我々からの提案です」

製品の技術に精通したパートナーからも高い評価

佐々木氏が講演で紹介したソフォスのセキュリティ商材を販売するジェイズ・コミュニケーションは、ソフォス製品の保守やSIを行うことができる国内で唯一のパートナーだ。ソフォスの専任エンジニアもそろっており、全国24時間365日の保守対応を実施している。近日、ソフォス認定エンジニアのプログラムがスタートする予定だが、その講師も同社のエンジニアが務めることになる。

現在、セキュリティ対策の重点は、ゲートウェイのからエンドポイントへと移ってきているが、エンドポイントだけのソリューションではゲートウェイとの連携ができない。ソフォスのセキュリティソリューションは、その連携を可能にしてより強固なセキュリティを実現している。たとえばランサムウェア対策でも、検知したエンドポイントとゲートウェイが連携して対策を行うことで、安全性ははるかに高まる。そこまで踏み込んだセキュリティ機能をもつ新しい製品として、ジェイズ・コミュニケーションは「Intercept X」を積極的に販売し、「Synchronized Security」を世の中に広めていく構えだという。

[PR]提供: