2011年に発生した一連のサイバー攻撃事件をきっかけに世間の注目を集めるようになった標的型攻撃。これに対処するには、外部ネットワークの脅威から内部ネットワークを守る従来の入口対策を強化するだけでなく、マルウェアに感染したコンピュータを迅速に見つけ出し、効率的に駆除する出口対策が不可欠となる。
入口対策と出口対策の両方を効率的にカバーする情報セキュリティ対策はどのようにすれば実現できるのか。その方策について、Webセキュリティアプライアンスの販売を手がけるソリトンシステムズで、プロダクトマネージャを務める遠藤健志氏に話を聞いた。
プロフィール
遠藤 健志(ENDO Kenji)
![]()
ソリトンシステムズ プロダクトマーケティング部 プロダクトマネージャ。ソリトンシステムズ 開発部にてSNMP関連の製品開発を担当後、技術部にて、グループウェアに関するシステム構築及び運用に従事する。技術部では、主に国内製造メーカに対するメールシステムやWebプロキシシステムの設計、構築、運用支援業務を行う。現在は、マーケティング部門にて、プロダクトマネージャとして、製品の普及/啓蒙活動を展開。主にセキュリティ製品を担当し、顧客システムの堅牢性確保に一役買っている。
7月5日(木)に開催される『企業攻撃の"今"と近未来の展望をまとめて解説! 2012年度版 最新脅威対策講座』にて講演予定。
万全な入口対策で安全なWebアクセスを!
企業や団体の情報セキュリティ対策は、これまで主にウイルス対策やURLフィルタリングなどによって行われてきた。しかし、最近では、従来のURLフィルタで許可されている安全なサイトであっても、突然何者かに乗っ取られ、マルウェアやなりすましメールをまき散らす危険なサイトに変貌してしまうケースも少なくない。
「こうした新たな脅威は、従来の入口対策を簡単にすり抜けてしまうため、それに対抗する新たな対策を施す必要が出ている。例えば、一般的なURLフィルタでは、URLカテゴリーでブロックできる脅威は、数%にも満たない」と遠藤氏は警告する。
では、従来の入口対策をすり抜ける脅威にどのように対抗すればよいのか。その有力な方策の一つが、Webレピュテーションである。これは、セキュリティ情報をクラウドベースでリアルタイムに提供する脅威情報センターの最新のデータベースを基に、Webアクセスの制御を実現するというもの。iframeタグなどを利用して埋め込まれたリダイレクト先のオブジェクトまでスキャン対象にするため、高度なWebアクセスフィルタリングを実現できる。
もう一つの有力な方策が、Webアプリケーションの利用を可視化・制御するAVC(Application Visibility Control)と呼ばれる機能の活用である。これは、FacebookやTwitter、MessengerなどのHTTPベースのアプリケーションのアクセスを可視化し、その利用を制御するもので、アプリケーションごとにアクセスの制御や帯域幅の制御を細かに行うことができる。例えば、Instant Message系のアプリケーションでは、ファイル共有のみをブロックできるなど、Webアプリケーションの利便性を保持しながら、危険な行為を排除することができる。
出口対策が標的型攻撃対策のカギに
情報セキュリティの現場では、これまで外部ネットワークと内部ネットワークの境界に防御線を設け、外部ネットワークからの攻撃を食い止める入口対策を中心に対策を行ってきた。しかし、こうした対策だけでは、防御線を巧妙にすり抜けて内部ネットワークに侵入し、内部から攻撃の機会を狙う標的型攻撃に対応することはできない。
遠藤氏は、「標的型攻撃に対応するためには、内から外へのトラフィックをモニタリングしてわかりやすく可視化し、マルウェアに感染して外部への通信を試みる端末を早期に見つけ出し、迅速に問題を解決するための出口対策を確立する必要がある」と強調する。
実際にトラフィック・モニタリング機能を備えたWebセキュリティアプライアンスを現場に導入してみると、ほとんどの組織で、外部へ異常なトラフィックを送出し、マルウェアに感染していると見られる端末が見つかるという。
「ある自治体での約1カ月間の試用において、端末数が150台程度しかないにも関わらず、約2万6,000以上もの大量の怪しい通信が見つかりました。これらは管理者が把握していなかったC&Cサーバやマルウェアサイトへの通信で、機器試用において初めて把握されたものです。このように、怪しい通信を具体的に把握さえ出来れば、あとはその通信を自動的にブロックするだけです」と、遠藤氏は説明している。
|
|
出口対策導入の"現実解"とは
標的型攻撃をはじめとする新たな脅威に対応するためには、前述した入口対策の強化だけでなく、出口対策の導入が不可欠な要素となる。しかし、既存の情報セキュリティ・システムに単純に出口対策の機能を追加するためには、それを実現するためのシステムの構築や、膨大なトラフィックを集約し解析する処理に多大なコストが必要になり、中小企業にとっては大きな負担となる。
遠藤氏は、こうした問題を現実的に解決するために、「入口対策と出口対策をそれぞれバラバラに実現するのではなく、両方の機能を共通のプラットフォーム上で統合的に実現し、それぞれのトラフィックを統一的にモニタリングして可視化することでコスト効率を高めるといった方策を検討する必要がある」とアドバイスしている。
本誌では来る7月5日(木)に『企業攻撃の"今"と近未来の展望をまとめて解説! 2012年度版 最新脅威対策講座』を開催する。そこでは、遠藤氏が「標的型攻撃に直面する企業ネットワークへの入口/出口対策」のテーマで講演を行う予定だ。
講演では、標的型サイバー攻撃に対応する最新のWebセキュリティ対策の詳細や、マルウェアを駆除する出口対策の事例を紹介するほか、メールセキュリティ対策の具体的な手法についても簡単に触れる。標的型攻撃に不安を感じている企業には大いに参考になるはずだ。
