塚本氏によれば、多くの企業は当然スパムやウイルスへの対策はしているが、弱点があるという。「気になるのは、スパムに対して多少の検知漏れは仕方がないとの意識が企業に見られること。また(対策ソフトなどに)複数の機能を追加するとシステム全体のパフォーマンスが落ちることを懸念する向きが少なくない。さらに、対策ソフトが検知しないような新種のウイルスはほとんど来ないとの考えがみられる」(同)のが現状だ。
メールとWebのセキュリティを強化できるソリュ-ションが武器になる
ソリトンシステムズが提供するメールセキュリティ対策製品は、メールセキュリティアプライアンスの「IronPort ESA(Cシリーズ)」だ。外部からの攻撃に対しては、メールの正当性を判断する機能で対処する。「IronPort ESA」が備えるレピュテーションフィルタは「全世界のメール送信元を格付けしている。スパムばかり出しているような場合は評価が下がることから、受信を避けるべきメールが分かる」という。
また、SPF(Sender Policy Framework)はメール送信ホストをDNSレコードで定義しており、見かけ上は安全なメールであっても、通常利用しているサーバ以外から送信している場合は受信側が問い合わせ、正当なサーバからのメールかどうかを判断するしくみだ。これにより、なりすましを排除できる。
Webセキュリティを担うものとしてはウェブセキュリティアプライアンスの「IronPort WSA(Sシリーズ)」がある。この製品はProxy認証によるWebアクセスの制御が可能で、Active Directoryなど、社内システムと連携したユーザー認証ができる。また、L4トラフィックモニタにより、Proxy経由以外の外部へのアクセスを監視、インターネットへの出口ポートをモニタリングするほか、マルウェアに感染した端末に特有の外部通信を把握、自動的にグラフ化、さらに、日時、アクセス先、クライアントIPアドレスの検索も容易で、塚本氏は「外部へのアクセス監視は困難だったが、これで分かりやすくなる」(同)としている。
それでは、未知の攻撃を受けた端末が組織内で見つかった場合はどうするべきか。塚本氏は「直ちにネットワークから切断し、ウイルスチェックをするのが一般的だ。米国などの企業では、マルウェアに感染したパソコンはすぐに廃棄してしまうこともあるようだが、このような場合、Zeronaが有効だ」と語る。Zeronaは標的型攻撃からパソコンを防御するマルウェア対策ソフトであり「振る舞いを検知し、怪しいものをあぶりだせる」(同)。
※クリックすると拡大画像が見られます
塚本氏は総括として「標的型攻撃に対する完璧な防御システムはない。企業、組織はできる限りリスクを減らす努力をしなければならない。例えば社内のセキュリティポリシーの見直しも必要だ。単一のシステムだけですべてに対応することは困難であり、さまざまな要素を組み合わせて対処するべきだ」と述べた。