サイバー攻撃対策の基本は、”メール”業界最大規模のインテリジェンスをベースとした「Cisco Email Security」の多層防御

サイバー攻撃のほとんどはメールとWebから始まる。その中でも攻撃の入口であるメールに対するセキュリティを強固にしておくことが、なによりも重要になる。しかし、その手口は巧妙化し続けている。また一方で、組織のメールサーバも、近年ではオンプレミスでなくクラウドサービスを利用するケースが増えてきた。攻撃者も保護すべき対象も変化する中、メールセキュリティは「インテリジェンス」の勝負になりつつある。

攻撃の手口もセキュリティも進化 保護対象のサーバもクラウドへ

 IT部門のセキュリティやメールサーバ担当者であれば、近年のメールでの攻撃の動向をある程度は実感していることだろう。

 「当社での経験では、2016年頃から迷惑メールでも自然な日本語を使うものが増え、知名度の高い日本企業に成りすまし、文面なども正規のメールをよく研究したと思われるようになってきました」と語るのは、ソリトンシステムズ ITセキュリティ事業部 技術部 テクニカルサービスグループ 担当部長の森智哉氏だ。

 「攻撃者が送りつけてくるマルウェアも、近年ではライフサイクルが非常に短くなりました。同じ種類のものが繰り返し使われることがなくなり、同一ハッシュ値のマルウェアが発信されるのはせいぜい数時間、多くは30分ほどの間に限られます。送信元も、一つのIPアドレスからは少数しか送らなくなってきました」(森氏)

ソリトンシステムズ
ITセキュリティ事業部 技術部
テクニカルサービスグループ
担当部長
森 智哉氏
ソリトンシステムズ
ITセキュリティ事業部 技術部
テクニカルサービスグループ
担当部長 森 智哉氏

 検知される可能性を減らし攻撃を成功させるために、メール文面を巧妙化し、一度使ったマルウェアはアンチウイルスソフトなどに検知されるようになる前に使い捨て、送信元ごとブロックされないよう一つのIPアドレスから大量には送信しないということだ。

 そうした中、近年のセキュリティソリューションでは、「インテリジェンス」に重点を置いたものが増えてきている。世界中から脅威に関する情報を収集・分析し、それを悪意あるメールやWebサイトの検知に活用するというものだ。

 一方、近年のメールセキュリティに関しては、保護する対象にも変化が生じている。Office 365などメールサーバ機能を提供するクラウドサービスが普及し、メールサーバをオンプレミス環境から移行する組織が増えているのだ。これにより、メールセキュリティの要件も一変した。クラウドに移行したいものの、これまで使ってきたオンプレミス向けのメールセキュリティが使えなくなるので不安に感じている方もいることだろう。

業界最大規模のインテリジェンス「Talos」で、
全世界の約35%のメールを分析

 ソリトンシステムズでは、近年のメールセキュリティ事情に適したソリューションとして、シスコシステムズの「Cisco Email Security」を自社で採用。また。そのノウハウを活かして顧客へも提供している。本ソリューションには、アプライアンス(物理/仮想)の「Email Security Appliance」(ESA)と、クラウドサービスとして提供される「Cloud Email Security」(CES)の2つの提供形態があり、オンプレミスでもクラウドでもほぼ同等のセキュリティを得ることが可能だ。

 「Cisco Email Securityは、例えばスパム検知テストで検知率/誤検知率とも最高の成績を出すなど、第三者機関から業界トップクラスの高い評価を得ているメールセキュリティです。そして、世界で3番目に多くのサイバー攻撃を受ける組織といわれるシスコシステムズ自身でも使っており、従業員としてもその強さを実感しています」と、シスコシステムズ セキュリティ事業 コンサルティングシステムズエンジニアの國分直晃氏は説明する。

 最大の特徴は、業界最大規模のセキュリティインテリジェンスを基礎としている点だ。攻撃者は多数の新種マルウェアを次々に作り、多数のIPアドレスを駆使して発信してくるため、より広い網を張って情報を収集し、それらを見極めることが重要となっている。Cisco Email Securityが拠り所とするインテリジェンス「Talos」は、全世界のメールトラフィックの約35%にもなる1日あたり6,000億通ものメールを分析するなど、世界最大規模の情報量を持つセキュリティインテリジェンスだ。

 Talosのインテリジェンスは、攻撃者に対する非常に強力な武器となっているが、Cisco Email Securityの機能はそれだけに留まらない。他にも様々な機能を組み合わせ、多層防御を実装している。

 送られてきたメールを最初にチェックするのが、メール送信元IPのレピュテーションだ。ここでは送信元が正当でないなどと判断されたメールをブロックする。國分氏によると、ユーザー次第ではあるものの、この段階で7割から9割がドロップするという。その後、メールフローポリシーや受信者コントロールが適用され、続いてメールの中身に対するチェックが行われる。

シスコシステムズ
セキュリティ事業
テクニカルソリューションズアーキテクト CISSP
國分 直晃氏
シスコシステムズ セキュリティ事業
テクニカルソリューションズアーキテクト
CISSP 國分 直晃氏

 メールの内容については、アンチスパムおよびアンチウイルス、Advanced Malware Protection (AMP)、コンテンツタイプやURLカテゴリに基づくコンテントコントロール、そしてアウトブレイクフィルターの順に機能が適用される。AMPにはファイルのハッシュ値を元に問題のあるファイルかどうかを判定するファイルレピュテーションと未知のハッシュ値のファイルを検査するファイルサンドボックスの機能が含まれる。

 「アウトブレイクフィルターは、大規模なウイルスやマルウェアの拡散・配布やフィッシング詐欺などの新種かつ同時多発的なキャンペーン型攻撃に効果的な機能です。キャンペーン時には多数の亜種マルウェアが使われることがありますが、シグネチャが更新され前段の検知機能に捉えられる前から亜種とみられるファイルを保留し、Talosと通信しつつ安全性を確認することができます。また、メール本文中のURLを書き換え、いったん解析を行ってからアクセスするように変更することも可能です」(國分氏)

 これらの機能を一通り通過したメールは、受信者のメールボックスに届くことになるが、Cisco Email Securityは引き続きファイルレトロスペクティブによる解析も行う。マルウェアの中には、サンドボックスを回避するテクニックを備えたものも増えてきたが、それに対抗するのがAMP機能に含まれるファイルレトロスペクティブだ。

 「従来型の機能は一般的に、新種の検知までの時間が長いのですが、Cisco Email Securityでは1~2時間と短いのが特徴です。それでも、マルウェアと判定した時点ですでにユーザーが受信していることもあります。ファイルレトロスペクティブ機能では、ファイルのハッシュ値を通過後も追跡します。後から新種マルウェアと判定された際は、メールの受信者や件名を管理者に通知し、この情報により容易に追跡できるため、被害の拡大を防ぐインシデントレスポンスに効果的です」(國分氏)

豊富なノウハウを持つソリトンが構築や運用を強力にサポート

 このCisco Email Securityは、もともとIronPort Systemsのソリューションだった。2007年にシスコシステムズがIronPortを買収し、自社ソリューションとして継承し発展させてきた。一方のソリトンシステムズは、2003年にIronPortと代理店契約を交わして以来、16年に渡って取り扱いを続けており、構築や運用について豊富なノウハウを有する。

 「このソリューションは、様々な機能を追加していくことができるアーキテクチャが非常に優れています。そのアーキテクチャが、現在ではオンプレミスでもクラウドでも使えるようになっているのです。そのため、どちらの環境にも、当社が培ってきたノウハウを役立てることができます」と森氏は評価する。

 世界的な標準から少しずれている点もある日本のメール文化。例えば、日本で古くから提供されているISPのメールサービスの中には、近年の基準でみるとセキュリティが甘いところもある。こういった背景により、これらのISPから送信されたメールを、Cisco Email Securityがブロックしてしまうことも少なくない。

 「日本のISPについては過検知になりがちなので、必要な相手からのメールをきちんと受信できるよう設定しなければなりません。ユーザーのニーズ次第ですが、例えば取引先をホワイトリスト登録するなどのカスタマイズが求められます」(森氏)

 こうしたノウハウを持つソリトンシステムズは、シスコシステムズにとっても日本におけるビジネスの重要なパートナーだ。日本でのCisco Email Security関連ビジネスの大半をソリトンシステムズが占めている。


※クリックすると拡大画像が見られます

 「ソリトンシステムズは今までの販売実績から、製品の本質を理解されており、私たちと活発な意見交換、問題意識を共有しており、それを本社側にも伝えることでスムーズにビジネスが進んでいると確信しております。メールは今もビジネスの重要なツールであり、クリティカルなインフラですから、管理者はインシデントやトラブルの際に迅速な対応が求められます。Cisco Email Securityには、当社はもちろんソリトンシステムズからもサポートが得られ、IT管理者の負荷軽減につながるものと思っております」(國分氏)

提供:株式会社ソリトンシステムズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2019年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]