サイバー攻撃の激化に伴い、"Web分離"というキーワードが注目されている。近年では様々なWeb分離の手法やソリューションが展開されており、何を軸として検討すればよいのか悩む企業も増えている。そうしたなか、「結局どの製品を選んだらよい? 知っておきたいWeb分離検討のポイントとは ~Webアクセスに潜む脅威の現状と対策の事例~」と題するセミナーが、6月21日に都内で開催された。セミナーでは、Webアクセスを取り巻く脅威の動向を踏まえ、Menlo Security社のIsolation(分離)技術に代表されるWeb分離の最新技術と、本当に考えなければならない検討のポイントについて、事例を交えて紹介された。
BCPを踏まえたインシデント対応をいかに実践するか
基調講演「被害発生を前提としたサイバー攻撃対策の必要性」に登壇したのは、国立情報学研究所 サイバーセキュリティ研究開発センターのセンター長でアーキテクチャ科学研究系 教授の高倉 弘喜氏。講演では、標的型サイバー攻撃等によるマルウェア感染の実情について説明するとともに、そうした脅威への対策が示された。
国立情報学研究所
サイバーセキュリティ
研究開発センター
センター長
アーキテクチャ科学研究系
教授
高倉 弘喜氏
昨今では、以前のように明らかに不審な文面のメールは減っているとはいえ、海外企業との取り引きなどでは不自然な日本語のメールはあり得ることから、文面で悪意のあるメールかどうかを判断することは難しくなっている。また、PCにアンチウィルスソフトを入れていたとしても、ゼロデイ攻撃を受けて感染してしまうケースも増えつつある。
こうした現状を踏まえて高倉氏は、「セキュリティ対策そのものに加え、それを取り巻く環境もまた一昔前とは変わってきている。なぜならBCPを想定したインシデント対応が求められるようになっているからだ」と語った。
今年2月には、産業技術総合研究所でサイバー攻撃によるマルウェア感染が確認され、1ヶ月もの間ネットワークを遮断したことで多くの業務が止まってしまうという事態が発生した。こうしたケースを例に高倉氏は次のように主張した。
「最も避けるべきは“エリートパニック”による事態悪化です。日本ではなぜか経営層がエグゼクティブレポートだけでなくテクニカルレポートも求めるが、これでは説明に時間がかかりインシデント対応がどんどん遅れてしまうことになります」
一方でサイバー攻撃を受けても業務継続がスムーズに行えたケースとして、2016年に発生した大手旅行代理店の情報漏えい事件を挙げ、サイバー時代におけるインシデント対応は、外部との通信を一切遮断し情報が収集できない状況を長期間続けて立て籠もるのではなく、必要最低限の情報収集を継続しつつ短期で業務を再開する「籠城戦」の心得で望むべしとした。また、高度化する攻撃への対策として高倉氏は、「従来対策の突破を前提とした対策」が必須だとしている。そして情報システムの全停止は許されない時代となった現在、局所的なシステム停止など一部の機能は使えなくてもダメージコントロールを行いながらマルウェア感染拡大を阻止し、その上でBCP対応を図ることができる「レジリエントな情報システムの構築」の必要性を説いた。
「BCP対応では、感染区画のデータをいかに安全に使えるようにするかが鍵となります」(高倉氏)
同氏が携わるNII-SOCS(NII Security Operation Collaboration Services)では100以上もの国立大学等の通信をモニターして、不正を見つけると連絡しているが、最近検知漏れマルウェアが急増しているという。このことからも、マルウェア感染を想定した対策が求められているのだ。そして一旦マルウェアの感染を許すと、程なくして組織内部へと侵食してしまうことになる。しかしすべての同時対処は困難であるので、優先すべき対象から対応することがアクシデント時には求められてくる。
「もしマルウェア感染メールを開いた人がいてそのままにしていれば、同じ症状の“患者”が次から次へと発生することになります。その前に『こういうメールが届くかもしれないから開かないでね』と言えるような状況をつくっておくことが大事なのです」と高倉氏。
そして最後に同氏は、危機管理のための指揮官と参謀の育成の必要性を訴えた。ここではCISO(Chief Information Security Officer)が指揮官としての役割を担い、CSIRTが従来の”火消し”の役割を努めつつ指揮官を補佐する参謀としての役割を担うことになる。
「一般的にセキュリティ対策が遅れていると言われる大学でも行っていることなので、企業でもぜひ取り入れていただきたいです」
高まるWeb経由の脅威から組織を守るWeb分離のアプローチ
「Web分離実現までの課題と解決 Menlo Securityが選ばれる理由」と題して講演を行ったのは、Menlo Security, Inc.のソリューション・アーキテクト 寺田 大地氏だ。講演では、クラウド型分離・無害化(仮想ブラウザ技術)サービスのパイオニアである「Menlo Security」の豊富な導入実績に裏打ちされた技術の優位性について、実際の導入事例を交えて解説がなされた。
Menlo Security, Inc.
ソリューション・
アーキテクト
寺田 大地氏
パターンマッチングを中心とした第1世代、サンドボックスやAIを用いた第2世代といった既存のセキュリティ対策では、検知技術と回避技術の“いたちごっこ”が永遠に続くかたちとなる。こうした既存のセキュリティ対策の課題について寺田氏は「検知に頼る限り誤りは絶対になくならない」と指摘した。
そして昨今叫ばれているのがWeb経由の脅威である。Menlo Securityが2017年に実施した調査によると、Alexaトップ10万サイトのうち実に42%にリスクが潜んでおり、また4600のフィッシングサイトが正規ホスティングサービスを使用しているため攻撃フィルタリングツールでは検知が難しいことが明らかとなっている。
「実はBusiness and EconomyのカテゴリーのWebサイトに一番のリスクがあるという現実を知っていただきたいです」と寺田氏は語る。
また同調査では、1つのWebサイトにアクセスすると25のバックグラウンドリクエストが発生することも判明しており、それらの中には古いソフトウェアを使用しているWebサイトも多く、脆弱性が潜んでいるものが存在する可能性も高い。
ここで寺田氏は、ある海外のWebサイトの例を掲げた。トップページのソースコード量が45行あるなかで、バックグラウンドで接続されているドメイン数は43、PCで実行されているJavaScript数101、実行されているJavaScript量は5.7MBにも及んでいた。
「こういうところに脅威は潜んでいます。Web経由の脅威への対策が困難な理由として、多くの人が安心して利用している正規Webサイトでも閲覧しただけで感染してしまうことが挙げられます。情報窃取が目的の場合は知らない間に感染して感染後も気づけないことがあるし、金銭目的の場合は閲覧した直後にランサムウェア等で暗号化されてしまう。攻撃メールと違いユーザーのアクション(=クリック)がきっかけにならないため社員教育等で防ぐことも困難なのです」(寺田氏)
ではどうすればいいのか──検知技術に頼らない新しい防御アプローチとして注目されるのが「分離・無害化」である。分離・無害化ではそもそも検知自体を行わないため誤検知や見逃し、うっかりミスのリスクを排除できる。インターネットのコンテンツを分離された環境で実行して、安全なものだけをエンドポイントに表示する仕組みなのだ。
しかしWeb分離にもいくつか課題があり、なかでも特に大きいのが「実用的なつくりであるか」や「分離機能が信頼できるのか」という点である。たとえばエンドポイントソフトウェアを必要とする仕組みの場合、新しいソフトウェアをユーザーのPCにインストールすること自体が負担となってしまう。また、ユーザートレーニングやドキュメント作成を限りなく少なくしてユーザーの操作感を損なわないこともポイントとなる。
「よくあるWeb分離ソリューションにピクセルミラーリング(画像転送)があるが、画像をそのまま転送しているので、エンドポイントではそこに何が記されているのか理解できない。ローカルPCで利用している当たり前の機能が使えないこともある」と寺田氏は指摘した。
そうした課題を踏まえて、Menlo Securityが提供するWeb分離ソリューション「Menlo Security Isolation Platform(MSIP)」では、以下のような特徴を備えている。
| [1] | 仮想コンテナはWebセッション終了時に都度廃棄する「DVC(Disposable Virtual Container)」を実装 |
| [2] | 特許技術である「ACR(Adaptive Clientless Rendering)による無害化処理 |
| [3] | ネイティブブラウザがそのまま使えるためエンドポイントソフトウェアが不要 |
「安全なレンダリング情報のみをシームレスにエンドポイントと同期することができるのがMSIPだ」(寺田氏)
講演後半、MSIPの優れた技術や機能について解説した後に寺田氏は、Webサイト閲覧によるマルウェア感染の防御やFlashプラグインパッチ管理の運用負荷軽減などといった、MSIPでのWeb分離のユースケースを紹介していった。
「エンドポイントで実行されるエクスプロイトを完全に防御するので、ゼロデイ攻撃であろうともう恐れる必要はありません。またWeb経由のアラートをなくせるため人的コストの削減にも大きく寄与することになります」と寺田氏は強調して講演を締めくくった。
Web分離で抑えるべき課題とは
最後の講演に登壇した、インターネットイニシアティブ サービスプロダクト事業部 営業推進部 セキュリティサービス課 サービススペシャリストの平野 栄士氏は、「Web分離の本当に考えるべき検討ポイントとは」というテーマのもと、Web分離を検討するうえで何を軸に考えるべきかといった検討のポイントについて、利用イメージも含めて解説した。
株式会社インターネット
イニシアティブ
サービスプロダクト事業部
営業推進部
セキュリティサービス課
サービススペシャリスト
平野 栄士氏
いまWebセキュリティのクラウド化ニーズが急増している。その背景として平野氏は、利便性の高いクラウドサービスの急増やそれに伴うHTTPS通信の増加によるアンチウイルスの効果の低下といったインターネットの利用環境の変化、それとWeb経由の脅威の増加を挙げた。
「いまや5年後まで使えるセキュリティ製品など存在しないと言っていい。そのため多くの企業が資産を持たずに必要な機能だけ利用したいと考えるようになり、クラウドソリューションのニーズが高まっているのです」と平野氏は言う。
またWeb経由の脅威に対してWeb分離が有効な点については、感染してもいい環境をつくってしまえる点が大きい。分離してしまえば脅威に未知も既知も関係ないといった考え方がこの1、2年の間に広まってきているのだ。
「有害か無害かの判定ではなく、コンテンツ自体を分離してしまうという新しい発想です」(平野氏)
しかしWeb分離にも検討ポイントがある。平野氏は「利便性」と「セキュリティ」、「導入後」の3点を挙げた。まず利便性については、たとえば仮想デスクトップや仮想ブラウザを用いた一般的な分離方式の場合、インターネット接続時に別のアプリケーションを利用しなければならず、いままで使っていた機能が使えなくなってしまう。セキュリティに関しては、ファイルのダウンロード時に中継サーバを用いる場合、このファイル中継が抜け穴となる可能性があること。最後に導入後だが、使い勝手が大きく変わりエンドユーザーからの問い合わせが増えてしまうと、管理者の運用負荷が増大することになるのだ。
これらのWeb分離の課題に対するIIJのアプローチは、同社が提供するWebセキュリティサービス自体に分離機能をアドオンすることだ。こうしてWebアクセスにおけるセキュリティをトータルで提供するクラウドセキュリティサービスを実現するのである。ここでは、Webフィルタリング、アンチウイルス/サンドボックス、プロキシ機能、Web分離といった様々なWebセキュリティ機能が、クラウド上で提供される。
「既にアカウント数は118万で、国内売上シェアは7年連続でNo.1(※)のセキュリティサービスとなっています。基本的にはプロキシ設定を変更するだけで利用可能であるためスムーズな導入が可能です」と平野氏は強調する。
サービスメニューは、基本機能(URLフィルタリング、アンチウイルス、プロキシ)に必要な機能を選択して利用可能。そのオプション機能の1つにWeb分離があり、同機能にはMenlo Securityを採用している。
「既存のブラウザをそのまま利用可能であるためユーザービリティが変わらない点も利便性の課題解決に大きくつながります」(平野氏)
ここで同氏は、Menlo Securityの機能有りと無しでのアクセス時の表示の比較デモを行った。すると、通常のアクセス時と表示内容は変わらないものの、IIJのWeb分離機能を通した場合、1000行以上もあったソースコードが25行程度に収まっていた。これは表示に必要な描画情報だけを使用しているためだ。
またWordファイルなどのドキュメント系ファイルについては、一旦IIJ側の分離環境で実行して表示に必要な描画情報だけがHTMLで表示された。ファイルをダウンロードする際には、無害化された情報のPDFファイルか、オリジナルのファイルかを選んでダウンロードすることができる。
「ダウンロードする際のセキュリティについては、端末側と重複しにくいアンチウイルスを用いてマルウェアの侵入を抑止します。国内環境に特化したサンドボックスも活用しており、未知の脅威を極小化することが可能です」と、平野氏はコメントした。
さらに、導入後の不安を解消するための配慮もなされている。日本国内のサービス基盤で安定したWebアクセスを維持しているのに加え、困ったときにも障害時の電話窓口が用意されており24時間365日電話でのサポートが受けられるのである。
平野氏は最後、会場に向けてこう訴えてこの日のセミナーを締めくくった。
「運用・保守や障害対応については豊富な経験とノウハウのあるIIJが行うので、IT部門は本来やるべきIT戦略・企画にリソースを集中することができます。オンプレミスのセキュリティ製品は買ったときが一番新しい状態でその後はどんどん古くなっていくが、こちらは買ったときが一番古い状態でどんどん新しくなっていくことになります。実際に使用感を確かめてもらえるのもこのサービスの強みなので、まずは試していただきたいです」
※ITR
「ITR Market View:サイバー・セキュリティ対策市場2016・2017」
「ITR Market View:不正アクセス対策市場2015」
「ITR Market View:ゲートウェイ・セキュリティ市場2014」
「ITR Market View:セキュリティ市場2013」
[PR]提供:インターネットイニシアティブ
