アシスト、内部対策を重視した「標的型攻撃対策ソリューション」を提供開始

アシストは9月17日、標的型攻撃への対策を支援するために内部対策を重視した各種の施策を「標的型攻撃対策ソリューション」として体系化し、提供開始した。

具体的には、マルウェアの侵入の予兆や状況の把握のため定期的なモニタリングを実施する「BlackDomainSensor」、内部対策として、特権IDを奪取されたとしてもデータを持ち出させず持ち出されても意味が無いようにするための多重対策として「マルウェア遮断ソリューション」「ダブルブラウザソリューション」「特権ID管理ソリューション」「ファイルサーバ情報漏洩防止ソリューション」の全5ソリューションを展開する。 このうち、「マルウェア遮断ソリューション」は2015年10月に新設予定であり、「ダブルブラウザソリューション」は同月に機能強化版を提供開始する予定だ。

BlackDomainSensorはセキュリティ・ログ分析エンジンを使い、インターネットのアクセス・ログとC&Cサーバのリストを突合せた結果と、Active Directoryに特権IDを模したトラップ・アカウントを仕掛け、おとりに引っ掛かったマルウェアの認証失敗ログを抽出したレポートを出力する。 マルウェアによるC&Cサーバへ通信している端末の発見や、マルウェアによる特権ID奪取の挙動の発見に有効という。

マルウェア遮断ソリューションは2015年10月に新設予定であり、マルウェアが侵入している可能性のある端末をネットワークから遮断する。遮断は管理者がリモートから実施可能。 該当端末のC&Cサーバへの不正な通信のブロックや、データの不正な持ち出し・侵害拡大の防止に有効としている。

ダブルブラウザソリューションは、インターネット・アクセス用のブラウザを仮想環境で提供し、業務用端末から外部へのインターネット・アクセス（HTTP通信）を禁止させ、業務用端末のインターネット・アクセスを分離する。なお、2015年10月に機能強化版のリリースを予定している。 同ソリューションにより、マルウェアが侵入したとしても、標的型攻撃の出口となるC&Cサーバとのインターネット・アクセスを禁止することで攻撃を無効化できるとのこと。

特権IDはワークフローにて申請を行い、承認を受けた場合のみ利用できるように制御する。また、重要サーバへはワークフロー経由の自動ログインのみを許可し、自動ログイン以外のローカル・ログインなどは全て禁止する。 同ソリューションにより、ワークフローを経由しない重要サーバへのログインを一切禁止することで、万が一標的型攻撃によって特権IDを奪取された場合でも、不正なアクセスを防止できるという。

ファイルサーバ情報漏洩防止ソリューションは、ファイル・サーバのデータを暗号化し、Windowsのアクセス権限とは別に独自のアクセス権を設定。また、ファイル・サーバに対してアクセスできるのは、専用クライアントを導入している端末のみに限定する。 同ソリューションでは、独自のアクセス権限設定により専用端末以外からのデータ持ち出しを防止すると共に、Windowsの特権IDを奪取された際もデータの持ち出しリスクを軽減できるという。また標的型攻撃によりデータが直接持ち出された際も、データは暗号化された状態を維持するとのこと。