特別連載:「標的型サイバー攻撃対策」新考 【第4回】「気付く力」を「対処の自動化」へ──Deep Discovery Inspectorと製品連携でセキュリティ運用はこう変わる!

 今日、標的型サイバー攻撃に対する備えとして、組織内に潜在する「未知の脅威」を検知する能力を高めようとする動きが活発化している。ただ、脅威に気付くだけでは対策は完結しない。むしろ、気付いた後の対応をいかに的確、かつ迅速に進められるかどうかに情報漏えい回避、あるいは被害拡大阻止の大きなカギがあると言える。
 この重要命題をセキュリティ運用の負荷を最小限に抑えながら遂行するための一手が、脅威の検知と対処のプロセスを自動化できる「Deep DiscoveryTM Inspector」を中心とした製品連携のソリューションだ。今回は、この仕組みにスポットを当てる。

対処の自動化がもたらす価値

 標的型サイバー攻撃の恐ろしさは2つある。1つは、その侵入を100%阻止するのが極めて困難なことであり、またもう1つは、いったん侵入を許すと、その存在になかなか気付けないことだ。

 社内に侵入した脅威の存在に気付けなければ、当然、それに対処することはできず、標的型サイバー攻撃によって社内の情報が窃取されるリスクが高まる。そのため、企業や組織では、組織内に潜在する脅威の検知力を高めたいというニーズが拡大しており、トレンドマイクロの「Deep Discovery Inspector(DDI)」の導入も活発化している。

 DDIは、システムの出入口や内部ネットワークを監視し、社内外を行き来する通信、ファイルの挙動から潜在脅威を検知するセンサだ。その導入によって、これまでの対策では気付けなかった脅威に気付けるようになり、標的型サイバー攻撃に対抗する力を増すことが可能になる。

 とはいえ、新たな製品の導入によって管理対象の機器が増え、また対処すべき脅威が可視化される事で担当者への負荷が膨らみ、初動の遅れや、作業の重複、抜け漏れにつながるようでは、実質的なリスク低減にはつながらない。

 そこで必要とされるのが、脅威の監視から検知、そして対処と防御に至る運用の負荷を可能な限り小さくしていくことだ。

 第3回でヤフーの高元伸氏(コーポレート統括本部 コーポレートインテリジェンス本部 リスクマネジメント室 プリンシパル)が指摘するように、内部に侵入されることを前提にした対策が必要だ。ここで重要なのは「攻撃されたことをいかにすばやく検知し、脅威の拡大や実害の発生を食い止めるか」ということである。そのためには、人手による作業をできるだけ最小化、効率化することが必要になってくる。

 そのための一つの選択肢として、トレンドマイクロでは、DDIと他のセキュリティ製品とを連携させ、「DDIで検知した脅威の情報を対処の効率化、自動化につなげる」というソリューションを提供している。


トレンドマイクロ
プロダクトマーケティング本部
ネットワークセキュリティグループ
ディレクター
大田原忠雄氏

 その狙いについて、トレンドマイクロ プロダクトマーケティング本部 ネットワークセキュリティグループ ディレクターの大田原忠雄氏は次のように語る。

 「標的型サイバー攻撃に対抗していくうえでは、脅威の検知に加え、対処の能力を高めることが不可欠です。ただ、そのための最新のテクノロジーを搭載した製品を導入しても、人的リソースの不足などから、それらを有効に活用できなければ、せっかくの投資が無駄になってしまいます。ですから、お客様が製品を導入した後の運用負荷も可能な限り小さくすることも大切で、そのための一手として、“点で見つけた脅威に面で対処できるようにする”というのが当社の考え方です。その考え方を形にしたのが、DDIと他製品の連携による自動化のソリューションというわけです」

気付きを最大限活用する

 では、DDIと他のセキュリティ製品の連携によって、具体的にどのようなことが実現されるだろうか。

 DDIの連携対象は、「ウイルスバスターTM コーポレートエディション(ウイルスバスター Corp.)」や「TippingPoint IPS」といったトレンドマイクロ製品に留まらず、他ベンダーのファイアウォール、不正侵入防止システム(IPS)、ウェブプロキシ製品、SDN(Software Defined Networking)に対応したネットワーク機器、セキュリティ情報イベント管理(Security Information and Event Management:SIEM)と、多岐にわたる製品間連携が可能となっている(図1参照)。

図1 図1
※クリックすると拡大画像が見られます

 このうち、ウイルスバスター Corp.とDDIの連携では、「特定端末上で検知した脅威(不正プログラム)の情報を元に他のすべての対応端末をその脅威から守る」といった、まさに面としての対処のプロセスが自動化される。その連携の流れは次のようにシンプルだ。

  • 1. DDIが不正プログラムを仮想空間(サンドボックス)で解析し、そこから得られる解析情報から「不審オブジェクトファイル」※1を自動生成する
  • 2. 生成された「不審オブジェクトファイル」が、管理ツールの「Trend Micro Control ManagerTM」を経由して、すべての端末(のウイルスバスター Corp.)に送信
  • 3. 「不審オブジェクトファイル」が適用される事で、各端末での検知・対処が可能となる※2 (図2参照)
※1 不審オブジェクトファイルには、不正プログラムファイルを高速に検知するためのカスタムシグネチャやハッシュ値、通信先(URL、IPアドレス、ドメイン)などが含まれている
※2 ウイルスバスター コーポレートエディション11.0 SP1

図2 :Deep Discovery Inspectorと製品連携による自動化対処イメージ(1)

 標的型サイバー攻撃で使われる不正プログラムは、その多くが標的となる組織ごとに個別化された未知の脅威だ。以前のようなばらまき型と違い、アンチウイルスベンダーによって解析された情報をパターンファイルとして一斉に配信し検知をさせる従来のパターンマッチングの手法だけでは標的型サイバー攻撃に対処することは非常に困難だと言われてきた。しかし、DDIとウイルスバスター Corp.の連携では、これまでの手法とは次元の異なる技術によって不正プログラム──つまりは、カスタマイズ化された未知の脅威──の検知からパターンファイルの作成、そして全端末への適用といった一連のプロセスを自動化し、“点の検知”から“面での防御”に展開する事で、高度な標的型サイバー攻撃への対処も可能にしているのである※3

※3 すべての未知脅威に対応するものではありません。

 「いずれかの端末上で不正プログラムを発見した際に、まず遂行すべきは、感染範囲を特定することと、検知した脅威から組織内のすべての端末を保護することです。このプロセスは、検知・防御の施策を“点”から“面”へと展開することを意味しますが、DDIとウイルスバスター Corp.との連携は、まさにそうしたセキュリティ施策を効率的に実行してくれるのです」(大田原氏)

検知した脅威情報を既存の境界防御に自動反映

 一方、DDIとファイアウォールやIPS、あるいはウェブプロキシなどのネットワーク製品との連携も、運用の効率化には有効だ。


トレンドマイクロ
プロダクトマーケティング本部
ネットワークセキュリティグループ
シニアスペシャリスト
浅川克明氏

 具体的には、DDIが検知した脅威の情報──例えば、不正なURL、IPアドレス、ドメイン──が、これらのセキュリティ製品に自動的に送信され、それぞれの防御に反映される。これにより、DDIが検知した脅威の情報をもとにファイアウォールやIPS、ウェブプロキシを機能させ、「2次攻撃による脅威(攻撃パケット)の再侵入」をブロックしたり、「社内のシステムと社外のC&Cサーバとの通信」といったネットワーク上の脅威を遮断したりすることが可能になる。一部の主要なファイアウォールやIPS製品とはAPIレベルで連携しているため親和性の高い対応が実現できている。

 「この連携におけるポイントの一つは、他社製品を含めて、市場で広く普及している製品をDDIと連携させることが可能な点です。これによりお客様は、すでに導入しているセキュリティ製品の資産をそのまま用いながら、標的型サイバー攻撃への対処、防御の自動化、強化を図ることが可能になるのです」と、トレンドマイクロの浅川克明氏(プロダクトマーケティング本部 ネットワークセキュリティグループ シニアスペシャリスト)は説明を加える(図3参照)。

図3 :Deep Discovery Inspectorと製品連携による自動化対処イメージ(2)

 このほか、DDIとSDN対応ネットワーク機器との連携では、DDIによる脅威検知をトリガーに、「不正プログラムに感染した端末をネットワークからの切り離す」といった制御をポリシーベースで行う仕組みがすでに実現されている。以前であれば感染端末のネットワークケーブルを手動で抜いてネットワークから切り離していたが、これを自動的かつ強制的行うことで、処置時間の短縮だけでなく徹底化にもつながる事になる。

 さらに、DDIとSIEMやシステム管理製品との連携によって、セキュリティ上の解析や監視、検知のさらなる高度化、効率化にDDIが収集、出力する情報を役立てることも可能となっている。

 標的型サイバー攻撃は、変化と進化を絶えず繰り返しながら、企業や組織を執拗に狙ってくる。その脅威に対抗するには、新たな技術を適宜導入し、サイバーリスクの低減に役立てていくことが必要だ。とはいえ、新技術を導入すれば、当然、運用管理上の手間は増える。

 そうした運用負荷の増大を最小限に抑えながら、一方で、技術導入のメリットを最大化させる──。そのすべとして、DDIを中心した製品連携のソリューションは、きわめて合理的で経済的なアプローチと言えるのではないだろうか。実際、このソリューションの存在をDDIの採用理由に挙げるユーザー企業・組織は多い。

 それでも、企業や組織の中には、ネットワーク監視を含むセキュリティ運用のすべてをアウトソースし、それによって標的型サイバー攻撃対策の強化と、セキュリティ運用負荷の軽減を一挙に図ろうと考える向きもあるだろう。次回の連載では、そうした企業や組織に適したDDIベースのソリューションについて解説する予定だ。

提供:トレンドマイクロ株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2016年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]