プロによる「監視」と「対応」が標的型攻撃対策の切り札に

企業は、ITセキュリティ上の課題にいかに対処していくべきか。この特集の第2回では、日々発生する新たな脆弱性や進化を続ける攻撃手法に関する情報にキャッチアップし続ける難しさについて触れ、その解決策の1つとして、セキュリティの専門家による24時間365日体制の監視サポートが受けられる、SCSKの「Protection Expert」について紹介した。

Protection Expertでは、Webアプリケーションの稼働状況を、SCSKのセキュリティオペレーションセンター(SOC)が常時監視。何らかの異常やサービスに悪影響を及ぼす可能性がある攻撃を検知した場合に、適切な対応をとる。Webアプリケーションファイアウォール(WAF)や侵入検知/保護システム(IDS/IPS)といった防御ツールに、セキュリティエキスパートによる監視と対応を組み合わせることで、よりレベルの高いセキュリティ確保を実現しているサービスだ。

SCSKはこのProtection Expertに「標的型攻撃」への対策ソリューションを追加する。従来のサービスに加えて、標的型攻撃の検知と防御に対応したゲートウェイ製品と、監視・対応サービスをワンストップで提供することで、標的型攻撃で多用される未知のマルウェアやゼロデイ脆弱性、未知の攻撃手法への、より確実な対応を可能にするものだ。

標的型攻撃に向けて「Protection Expert」を拡充

SCSK SCSカンパニー IT基盤ソリューション事業部 セキュリティソリューション部 Webセキュリティソリューションチーム 主任 手柴雄矢氏によれば、この「Protection Expert－標的型攻撃対策マネージド監視サービス」では、米FireEyeの標的型攻撃に対応した脅威保護アプライアンスを活用するという。

FireEyeでは、既知のパターンと一致する攻撃の検知に加え、「未知のマルウェア」であることが疑われるコードは機器内の仮想マシン上で実際にそのコードを動作させて、外部とどのような通信を行うかや、PCのメモリやレジストリに危険な操作を行おうとするかどうかなどを検知することができる。

また、ゲートウェイへ導入する製品のため、企業内ネットワークから外部の指令サーバなどとの通信を行おうとする挙動があった場合も、それを検知してアラートを発する機能を持つ。社内のエンドポイントにおける対策では、外部から持ち込まれたPCやメール、USBメモリ、スマートフォンといった機器は完全な防御が難しいという課題がある。エンドポイントに加え、ゲートウェイでの対策を行うことで、ネットワークの「入口」「出口」にまで未知のマルウェアや攻撃手法に対する対策を拡張し、より確度の高い対策を実現するというわけだ。

さらに、FireEyeで未知の攻撃を検知した場合、その情報がクラウド上のデータベースに集約され、グローバルで稼働している他のFireEyeアプライアンス間で共有される。手柴氏によれば、「各機器の情報は最短1時間で更新される。つまり『未知』のマルウェアや攻撃手法が検知されても、その情報は迅速に『既知』のものとして共有される仕組みが含まれている」と語る。

セキュリティプロによる監視と対応が必要な理由

Protection Expertにおける「セキュリティプロによる常時監視と対応」は、標的型攻撃への対処において特にメリットが大きいと言えるかもしれない。例えば、あなたが企業のIT管理者だとして、「自社のネットワークが標的型攻撃を受けていることが判明した」と仮定してみよう。判明から対処までの時間がかかればかかるほど、被害は拡大する可能性が高い。企業として行うべき対応をリスト化し、すぐさま実施できる準備は整っているだろうか。

Protection Expertの標的型攻撃対策マネージド監視サービスでは、FireEyeによって標的型攻撃を受けたことが検知されると、SCSK SOC/SIRTによる迅速な対応が提供される。

例えば、検知したアラートをもとに適切にファイアウォールの設定を行い「社内ネットワークからマルウェアを配信している外部への通信を制限」「マルウェアをダウンロードしてしまった端末が外部に通信できないように制限」といった対策が実施される。また、攻撃による感染が確定した時は、「外部へのアクセス制限」や「社内ネットワーク全体から社外の指令サーバへの通信の制限」といった対応が、その状況に合わせて行われるのだ。

マルウェアの感染が確認された場合、担当者には対象となる端末のIP、ファイアウォールでどのような対応を行ったかなどに関するレポートが行われる。

さらに、そのインシデントの原因となったマルウェアについては、「既知」のものか「未知」のものかを判断。既存のアンチマルウェア製品が対応している場合はそれを使ってスキャンし、そうでない未知のもの、ゼロデイ脆弱性を狙ったものである場合は、SCSKで別途提供するツールを使ったスキャンを行う。このスキャンの結果に応じて「感染が確認」された時は、既知のものであればスキャンして駆除を行い、もし未知のものであれば、その検体をSCSK側で確保し、新たなワクチンを迅速に開発して提供する。この新ワクチンは48時間以内の提供を目標としているという。

こうした対応と同時に、感染した端末と周辺の環境に対する調査を実地で行い、被害の2次的な拡大を防ぐといった対応も行われる。

ネットワーク状況の常時監視に加え、こうした攻撃が行われたことが判明した場合に必要な対応を行うための人員を自社で確保するのは、現実的に難しいケースがほとんどなのではないだろうか。今回の標的型攻撃対策マネージド監視サービスの追加により、「Protection Expertは、企業のITセキュリティを万全な状態で保護できるサービスへと、さらに近づいた」と手柴氏は話す。

SCSKのセキュリティに関するノウハウを生かし、ユーザーの運用に合わせた形での導入やサポート、実際の攻撃を想定したシミュレーション、危機対応のトレーニングなどが提供される点もメリットの1つだ。近年では、リスクマネジメントの観点から企業に対して、インシデント発生時の対応などを明確に業務プロセスとして定義しておくことを求める圧力も高まっている。Protection Expertは、その点でコンプライアンス対応の一部としても有効に活用できるサービスとなっている。

セキュリティに明るいパートナーの存在が重要に

本連載では、これまで6回にわたって「サイバー攻撃の動向と対策」をテーマに、激しく変化するITセキュリティ環境に対し、企業がどのような意識で、どのような対応をすべきかについて考えてきた。

今や、ビジネスにとって、インターネットの活用は欠かせないものとなっている。ネットでのビジネス展開のメリットの1つは、ビジネス環境の変化に合わせた迅速な対応が可能な点にあるが、近年のセキュリティリスクの増大により、そうしたメリットが十分に生かせない状況も起こりつつある。

SCSKでは「SECURE YOUR SITE」のブランドで、企業が低コストで確実にセキュリティを確保しつつ、Webサイト展開やWebアプリケーション開発を行っていく体制を築くためのさまざまなサービスを展開している。

今回、標的型攻撃への対策に対応した「Protection Expert」のほか、Webアプリケーションの脆弱性診断サービス「Security Assessment」、セキュアなWebアプリケーションの開発支援サービス「Web Security Director」、セキュアな開発体制の内製化支援サービス「Startup Partner」など、企業のニーズに合わせた多様な切り口でのサービス提供を行っている。

インターネットを活用してビジネス機会を拡大していくことを目指す企業にとって、ネットのセキュリティに関する多くのノウハウと、豊富な知識を持った技術者を持つSCSKは、有用かつ心強いパートナーとなってくれるはずだ。

SCSK SCSカンパニー
IT基盤ソリューション事業部
セキュリティソリューション部
Webセキュリティソリューションチーム
主任 手柴 雄矢
公認情報システムセキュリティプロフェッショナル(CISSP)。脆弱性診断やセキュリティ対策のコンサルティング業務に従事する。F5ネットワークス社より『2010年 Award of Excellence』に選出された。
国内初の試みである脆弱性診断とWebアプリケーション・ファイアウォールを相互に連携させた新しいセキュリティモデルを確立し、政府機関、大手金融機関などを中心に導入が進んでいる。
現在は、Webセキュリティを普及させるための講演や執筆活動を精力的に行い、社外の研究機関と共同で企業システムのさらなる安全性向上を目指した研究活動に従事している。