第1回第2回第3回
標的は大企業ばかりではない!
サイバー攻撃への対策、いま最優先すべきは?

1つの製品で対策することが不可能なAPTという脅威

 特定の組織や人を標的としてその機密情報を狙う標的型サイバー攻撃。中でも近年はAPT(Advanced Persistent Threat)という新たな脅威が急増している。

 APTとは、外部からの指令を受け攻撃対象の状況に合わせて持続的に攻撃を続け、少しずつ目的の情報に迫り、既存の対策を巧妙にすり抜けて重要な情報を盗み出したり、重要システムを破壊したりする攻撃手法のこと。高度に組織化されたプロフェッショナルがビジネスや政治的な目的を達成するために関与しているともいわれ、「マルウェアの潜入工作」→「攻撃基盤の構築」→「システムの調査」→「最終攻撃目標の遂行」といったステップを経て、数ヶ月~数年といった長い時間と労力をかけて実行する。単にHPの改ざんする愉快犯やクレジットカード情報を盗み出す窃盗犯などとは、次元が大きく異なるものだ。


「中小企業はサイバー攻撃の対象にならないと考えることが最大の脆弱性」と警告するソリトンシステムズ遠藤氏

 ソリトンシステムズ マーケティング本部 プロダクトマネージャの遠藤健志氏は、「標的型サイバー攻撃対策を1つの製品で実現するものはいまだ存在しない」と語る。

 「ITエリアには複合的に対策技術を用い、あわせて社内教育により人的スキルの底上げを行い、会社全体としての包括的な標的型サイバー攻撃への対策を行う必要があるはずです」(遠藤氏)

 標的型サイバー攻撃という概念は従来から存在していたが、あまり世間的には認識されることはなかった。しかしながら、最近になって官公庁や有名な企業が狙われるなど、被害の実態が表面化してきている。

サイバー攻撃の標的は大企業だけではないという実態

 また、この標的型サイバー攻撃では2つの問題点が考えられると指摘する遠藤氏。

 1つは、「多くの時間とコストとかけて実行される攻撃なので、狙われるのは大企業や政府組織などに限られていると考えるのは大きな間違い。特に、中小企業は狙われないと安易に考えがちだが、それ自体が最大の脆弱性となる。その警戒の手薄さが狙われる」と警告する。大手企業と取引関係の深い企業の情報を狙って攻撃されるパターンも多く、企業規模などは関係ないという。

メールとWebとの両方でゼロデイ対策や脆弱性の根絶が必要

 2つ目は、パターンマッチング方式やシグネチャー方式など従来の対策技術の効果が薄れているということ。既存の対策に加えて、ゼロデイ対策や万が一侵入された後の対策が確実に必要になってきている

 そして、最優先に考えるべきなのが、企業にとって最大の情報の出入り口である「メール」と「Web」の2つで、その両方でゼロデイ対策や脆弱性の根絶、アクセスの監視と通信制御などを実施することが必要であるという。

 「メール送受信の量、ウイルスやスパムの割合、Webサイトへのアクセス状況など日々のベーシックなモニタリングはもちろんだが、特に重要なのは社内から社外への通信状況のモニタリングと怪しい通信のブロック」(遠藤氏)

世界最大の電子メール監視サービスを活用するIronPort ESA

 では、メールとWebの環境をどのようにして守ればいいのか。ソリトンシステムズでは、「Cisco IronPortメールセキュリティアプライアンス」(IronPort ESA)と、「Cisco IronPort Webセキュリティアプライアンス」(IronPort WSA)の活用を提案している。

 IronPort ESAの最大の特徴は、Cisco社の脅威管理センターであるCisco SIO (Security Inteligence Operations)から提供される世界最大規模のIPレピュテーションデータベースを活用していること。世界中の10万を越えるISP、大学、企業などからデータをリアルタイムに収集するとともに、1日に50億以上のクエリを受け付け、200以上の異なるパラメータによってインターネット上にあるメールサーバの挙動を常時監視している。その数は、インターネット上で流通する電子メールの30%以上を網羅するといわれている。

 また、Cisco SIOが提供するレピュテーション情報をスパム送信IPアドレスの判別に利用してブロックもしくは受信制御を行うレピュテーションフィルタや、Cisco IronPortが独自に開発したCASE(Context Adaptive Scanning Engine)を利用してヒューリスティック分析やシグニチャ、画像解析、本文中のURL評価などを駆使するスパムフィルタなどのほか、標的型スパムメールやゼロデイウイルス等のグレーなメールを判断する為のアウトブレイクフィルタなどの機能を提供する。


ゼロディの脅威を改善するIronPort WSA

 一方のIronPort WSAは、高性能Webプロキシサーバーであるとともに、Cisco SIOが提供するWebレピュテーションとの連携やダイナミックコンテンツ解析エンジンを持った次世代型URLフィルターである。さらに、複数のウイルス/マルウェア対策、ボット感染対策を外部サーバー不要のオールインワンで提供する。あわせて、ネットワークトラフィックをモニタリングし、怪しい通信は自動的にブロックする機能も併せ持っている。

Cisco SIOでは、全世界で稼働している約100万台のデバイスによりインターネット上のWebとメールのトラフィックの30%以上をモニタリングし、リアルタイムに全世界の脅威分析を実施。これらの複合的な脅威情報がIronPort WSAに提供されることで、ゼロデイの脅威は劇的に改善される。

ネットワーク全体のセキュリティはどうあるべきかを見直すタイミング

 怪しいメール内には必ずといってよいほどURLリンクが存在する。例えば、マルウェアサイトに誘導するようなスパムメールや、詐欺サイトに誘導するようなフィッシングメールがそうである。よって、メールセキュリティとWebセキュリティとは切り離して考えるべきではないという遠藤氏。IronPort ESA とIronPort WSAを組み合わせることで、メールの入口、Webの入口、ネットワークの出口の3つを監視し制御することが可能になる。

 「標的型サイバー攻撃が顕在化した今こそが、企業内ネットワーク全体のセキュリティはどうあるべきかを見直す良いタイミングなのではないか」と遠藤氏は訴える。



関連ホワイトペーパー

関連記事



連載インタビュー

ホワイトペーパー
本資料では、スマートフォンにも対応できる「社内Wi-Fiホットスポット」の構築方法を解説。
セキュリティ担当者はどんな備えをすべきか?その答えとなる最新ソリューションをご紹介。
本資料では、スマートデバイスとその利用者を確実に認証する方法として再注目される、デジタル証明書やワンタイムパスワードを活用し、スマートデバイスに対応するネットワークを容易に実現する方法をご提案します。
侵入、潜伏、攻撃の各段階の挙動を解説したうえで、その対策手法を提示します。アウトブレイクフィルターの活用、マルチ防御、L4トラフィックモニタなどによる、高度かつプロアクティブな驚異の排除について、ご覧下さい。

関連ソリューション記事
期待が高まる、スマホによる業務改善。 利便性の裏に潜むセキュリティリスクとは
アプライアンスたった1台で実現する解答 Cisco IronPort の底力を詳細レポート
管理者の悩みに応える 検疫+IPSの「CounterACT」
安全に管理者の作業負荷を大幅軽減 スマートフォン簡単導入の決定版
提供:株式会社ソリトンシステムズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2012年9月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]