脆弱性の見抜き方 犯罪者が狙うのは?
——サイバー犯罪者はそのような企業の状態をどうやって見分けているのでしょうか?
福井氏:"標的型攻撃"とは、文字通り"標的"を定めて攻撃を行います。
攻撃を行う以前、時間をかけて人為的な調査を行い、システムの脆弱性だけではなく、人の脆弱性も見極めて攻撃を開始します。企業の被害が大きいほど犯罪者の利益も大きくなることもあり、一回の攻撃に多くの人や手間をかけることが出来るのでしょう。
——昨今は機密データの抜き取りだけではなく、破壊を目的とした攻撃も現れてきているとのことでしたが。
福井氏:公共施設やライフライン、金融機関など、社会的に大打撃となる対象の"停止"を目的とした攻撃も登場しています。ITがビジネスの中心になった現在、企業においても"停止"は大打撃です。
機密データを盗み出すためには、外部に持ち出す必要があります。持ち出す際のパターンや動作から、攻撃を受けていることがわかる。しかし、最初から破壊が目的では、異なる対策が必要になってきます。
——"破壊"は犯罪者にとって利益になるのでしょうか?
福井氏:たとえば、IT担当者や企業が破壊行為の対応に追われているうちに、機密情報を盗み出すことも考えられます。注意を別にひいて、財布を盗むスリ行為のようなものですね。
また、生活に必要なライフラインは、停止させるだけで大きな社会不安を生み出します。実際に海外では、こうしたテロ行為がサイバー化している事例も増えています。
仮想環境への標的型攻撃を防ぐには環境に合ったシンプルな対策が有効
——ここまでお話を聞いて、仮想環境の盛り上がりはサイバー犯罪者に追い風になっているようにも感じました。
福井氏:仮想環境にセキュリティリスクがあるのではなく、仮想環境にすることで発生する運用の違いや、セキュリティ製品の特性の違いが新しいセキュリティリスクを生むのです。例えば、新しいセキュリティ課題として、簡単に仮想マシンを増やすことができる反面、仮想マシンの増加により管理が煩雑になることが考えられます。
ウイルススキャンやセキュリティパッチの適用対象が多いためにリソース過負荷が発生する。また、セキュリティパッチの抜け漏れも発生する可能性が高い。そのうえ、従来型のウイルス対策の場合、各仮想OS上でセキュリティ機能が動作している為、仮想OSの管理者権限が乗っ取られてしまうと、セキュリティ機能を停止させられてしまう。運が悪い場合はセキュリティ製品をアンインストールされてしまい、一見打つ手なしになってしまいます。
——こうした攻撃を防ぐ方法はあるのでしょうか?
福井氏:仮想化のメリットは、物理的なリソースを仮想的に一つに集約できる点。複数存在する仮想マシンひとつひとつではなく、リソースプールに強固なセキュリティを施すのが最適解だと考えています。
——具体的には?
福井氏:つまりは、ハイパーバイザー層でセキュリティを確保する。仮想マシンを個別に保護するのではなく、仮想環境全体を俯瞰したセキュリティを考えるのが有効。ウイルススキャンもそれぞれの仮想OS上で行うのではなく、上位の層で一括して行えば"アンチウイルスストーム"も回避できます。
また、セキュリティ機能をセキュリティ専用VM(Virtual Appliance)で作動させることで、サイバー犯罪者が仮想OSの管理者権限を奪取したとしても、アンチウイルスの機能を止めたり、設定を変更したりすることもできなくなる。そのほか、セキュリティの抜け漏れを防ぐために、仮想パッチ適用により仮想OSの脆弱性も保護することができるIPS/IDS機能にも目を向けると良いでしょう。
——"破壊"を目的としている場合はどのような対応が効果的ですか?
福井氏:ネットワークの入口で監視を行っていた従来の方法では、入口さえすり抜ければその配下の仮想マシンへの伝播をブロックする手だてがなくなっていました。しかし、ハイパーバイザー上にファイアウォール、変更監視機能を持たせることで、仮想マシン間の通信も監視でき、伝播が防げます。
もしもマルウェアが侵入し、ネットワークを通じて周辺の仮想OSに対して破壊行為が開始されたとしても、侵入した仮想マシン一台に留めることが期待できます。
——仮想化は従来のセキュリティとは異なる複雑な対策が必要になるイメージでした。仮想化だからこそ、シンプルにできるのですね。
福井氏:仮想マシンは、必要に応じて容易に数多く作成できます。そのため、管理や監視対象が増加したようにも見え、物理サーバと比べて複雑な対策が必要になるようにも感じてしまいます。従来のように一軒の家を完全に守ることを意識した場合、守るべき対象が多くデメリットが生じてしまっていた。
しかし、 "地域"全体を完全に守ることで一軒一軒の安全性が確保できます。全ての仮想マシンがどこに繋がっているのかを見直すことで、対策を行うべき対象が瞭然になる。かえって仮想化のほうがシンプルな対策が実現できるのではないか、それがトレンドマイクロの考え。弊社の「Trend Micro Deep Security」はまさに、この考えをカタチにした製品です。
