サイバーキルチェーンとそれに対抗する多層防御
悪意ある外部ユーザーからの標的型攻撃は増加傾向にあり、攻撃手法も高度化して発見しづらいものになっています。
このような攻撃の検知や発見後の関連ログ分析、適切な対処、情報のフィードバックといった緊急対応力を高めるためには、個々のセキュリティ機能だけを持つポイント型の製品やサービス(従来型ファイアウォール、IPS、ゲートウェイ型アンチウイルス、プロキシなど)だけではなく、以下で説明する「サイバーキルチェーン」を意識した対策への転換が必要です。
サイバーキルチェーンとは、標的型攻撃における攻撃者の一連の行動を軍事行動になぞらえて示したもので、2009年に米国の航空機、宇宙船の開発製造会社「ロッキードマーチン」で提唱されました。具体的には、偵察、感染、侵入、潜伏、データ盗聴などといった行動が鎖のように順次実行されていきます。なるべく早い段階で攻撃を検知して、このキルチェーンのいずれかの手順を「断ち切る」ことで攻撃の最終目的を防ぐことができます。
サイバーキルチェーン
従来のポイント型セキュリティソリューションでは、許可されたプロトコルやポート番号においてアンチウイルスやIPSシグネチャ、URLフィルタリング データベースといったセキュリティベンダーが情報を持つ既知の脅威のみを、入口対策として見つけて止めることだけに着目していました。
サイバーキルチェーンを意識したセキュリティ対策の構築には、複数の製品やサービスを組み合わせた多層防御が有効です。例えば次世代のファイアウォールによる入口対策とともに、サンドボックス型、エンドポイント型の製品、サービスによる振舞いベースによる未知の脅威への対策、そしてボットネットレポートによる感染端末の洗い出しという出口対策までを組み合わせることで、キルチェーンの各ステップに対応した対策が可能です。
次世代ファイアウォールのアプリケーションコンテンツ識別により、ネットワーク上で既知の脅威を検知およびブロックするとともに、外部記録媒体経由やネットワーク上でブロックできなかった未知の脅威をエンドポイント型の製品やサービスで検知および防御します。
さらに、次世代ファイアウォールとサンドボックス型をシームレスに統合し、発見した新しい脅威に関する情報を相互にコミュニケーションすることでゼロデイ攻撃でも初回から防ぐことができます。
このように悪意ある外部ユーザーからの標的型攻撃に対抗するには、ゼロトラストモデルのセキュリティセグメンテーションだけではなく、多層防御によって攻撃のすべてのプロセスにおいて対策を打つことで、脅威の侵入および目的達成のリスクを減らすことが重要です。
サイバーキルチェーンに対応したパロアルトネットワークス製品による多層防御の例
- 三輪 賢一
- パロアルトネットワークス合同会社 外資系ネットワークおよびセキュリティ機器ベンダのプリセールスSEを15年以上経験。現在は次世代ファイアウォールおよびエンタープライズセキュリティを提供するパロアルトネットワークスでSEマネージャーとして勤務。主な著書に「プロのための図解ネットワーク機器入門(技術評論社)」がある
