クラウドの広がりに合わせて、サーバ仮想化をはじめとした仮想環境を整える企業が増えてきている。ハードリソースの最適化を実現できる反面、仮想化故の特殊な運用に頭を悩ませるIT管理者も多いことだろう。
また、最近はサイバー犯罪の手口が巧妙化している上、その被害も甚大なものとなっている。旧来、サイバー攻撃は不特定多数に対して行われることが一般的であった。しかし、ターゲットを絞ることで、より大きな利益を求める犯罪者が増えてきている。そのほか、最初から"システムの破壊"を目的とする攻撃も登場。
仮想環境は攻撃を受けている場所の特定、また切り離しがしづらくなってしまう。サイバー攻撃の目的が「破壊」である場合、迅速に攻撃を受けている場所の特定が出来なければ、自社はもちろん、自社サービスを利用しているユーザーへの被害も免れない。
今回は、巧妙化する標的型攻撃や拡大を続ける仮想環境に対して最適解となるリスク回避方法を、トレンドマイクロのエンタープライズマーケティング部で活躍する福井順一氏に尋ねた。
アンチウイルスの存在が脆弱性に繋がってしまった?
——サイバー攻撃が巧妙化するなかで企業がデータ資源を守る対応方法も変化しているのでしょうか?
福井氏:今までサイバー攻撃は「侵入させない」に重点が置かれてきました。
ネットワークはファイアウォールでインターネットからの通信を制御し、クライアントや、サーバはアンチウイルス機能を使って、リアルタイムでスキャン、または定期的にスキャンを行う。マルウェアの存在をいち早く発見し、被害を防ぐのが重要だと考えられてきたのです。しかし、メールやウェブページのほか、外部から持ち込まれるUSBメモリ等、侵入経路は多岐に渡り、完全に防ぐことが難しくなっています。
つまり、今までは、家のドアに頑丈な鍵をかけることが有効だと考えられてきました。しかし、一旦入られてしまえばマルウェアが自由に家の中を行き来できる状態でもあったのです。
——ファイアウォールやアンチウイルス機能だけでは、対策は不足しているのですか?
福井氏:ファイアウォール、アンチウイルスはもちろん必須。
仮想化環境は、物理的なハードに囚われず、データが自由に行き来でき、さらにリソースを共有することで有効活用ができます。こうしたメリットを享受できるのはマルウェアも同じ。最近は内部に忍び込んだあとデータ資源を持ち出すのではなく、システムを破壊するサイバーテロも登場。一台の仮想マシンに侵入し、攻撃と同時に拡散、システム全体を停止させます。こうした攻撃などは未然に防ぐことが重要、アンチウイルスも含めた入口対策は必須なのです。
しかし、仮想環境の登場など、IT環境の変化が新たなセキュリティの"隙"を生むこともあります。
——内部に生まれた"隙"とは?
福井氏:例えば、利便性を追求するためにウイルススキャンを疎かにしてしまう、セキュリティパッチの更新をやめてしまうなどです。実際に被害を受けた企業の中には、アンチウイルス機能をオフにしていた企業もいらっしゃいました。これでは、家のドアを開け放しているのと同じ状態になってしまいます。
利便性を追求するあまり生んでしまったセキュリティの"隙"
——"隙"が生まれた理由は"利便性の追求"だけが原因なのでしょうか?
福井氏:"利便性の追求"がベースになっているのは確かです。
仮想環境は、必要に応じて迅速にIT環境の構築が可能。物理的なハードリソースは一つ、そこから複数のマシンを用意できます。その数だけ"ウイルススキャン"と"セキュリティパッチ適用"という新たな運用が必要になってきます。これらに抜けが生じれば、被害に遭うリスクが増えてしまいます。
——どのような"抜け"があったのでしょうか?
福井氏:一般的に定期的なウイルススキャンは社員が帰宅した後、夜間に実施する企業が多いです。複数の仮想OSが同時にウイルススキャンを実施することで負荷が増大し、"アンチウイルスストーム"と呼ばれる状態が起きる。このため、業務時間内にウイルススキャンをできないのです。またこの問題は、社員の出社時刻が重なり、多数の人が同時に仮想OSにログインを行った際にも起こりえます。この時、社員は仮想環境が重くなったと感じるでしょう。こうした"アンチウイルスストーム"を軽減する目的で、定期的なウイルススキャンをオフにしてしまっている事例もありました。
——定義ファイルの更新や、セキュリティパッチの適用にはどのような"抜け"が生じていたのですか?
福井氏:マルウェアは日々新種が登場、アンチウイルスの定義ファイルも頻繁に更新されています。しかし、仮想環境では数多くの仮想マシンが動いており、これら全てに最新の定義ファイルを適応するのは手間がかかります。同様に全てにセキュリティパッチが適応出来ず管理ができていない仮想OS等には対策の"抜け"が生じる可能性も高い。
また、大規模なサイバー攻撃の中には、マルウェアによってセキュリティ機能をオフにされる場合もあります。鍵の空いた窓から侵入し、玄関の鍵を開けて堂々と仲間を招き入れる、家具の受け渡しをするイメージに近いですね。また、家族が帰宅しても、変装をしているため、発見が出来ません。