サイバー攻撃への対策、いま最優先すべきは?
1つの製品で対策することが不可能なAPTという脅威
特定の組織や人を標的としてその機密情報を狙う標的型サイバー攻撃。中でも近年はAPT(Advanced Persistent Threat)という新たな脅威が急増している。
APTとは、外部からの指令を受け攻撃対象の状況に合わせて持続的に攻撃を続け、少しずつ目的の情報に迫り、既存の対策を巧妙にすり抜けて重要な情報を盗み出したり、重要システムを破壊したりする攻撃手法のこと。高度に組織化されたプロフェッショナルがビジネスや政治的な目的を達成するために関与しているともいわれ、「マルウェアの潜入工作」→「攻撃基盤の構築」→「システムの調査」→「最終攻撃目標の遂行」といったステップを経て、数ヶ月~数年といった長い時間と労力をかけて実行する。単にHPの改ざんする愉快犯やクレジットカード情報を盗み出す窃盗犯などとは、次元が大きく異なるものだ。
「中小企業はサイバー攻撃の対象にならないと考えることが最大の脆弱性」と警告するソリトンシステムズ遠藤氏
ソリトンシステムズ マーケティング本部 プロダクトマネージャの遠藤健志氏は、「標的型サイバー攻撃対策を1つの製品で実現するものはいまだ存在しない」と語る。
「ITエリアには複合的に対策技術を用い、あわせて社内教育により人的スキルの底上げを行い、会社全体としての包括的な標的型サイバー攻撃への対策を行う必要があるはずです」(遠藤氏)
標的型サイバー攻撃という概念は従来から存在していたが、あまり世間的には認識されることはなかった。しかしながら、最近になって官公庁や有名な企業が狙われるなど、被害の実態が表面化してきている。
サイバー攻撃の標的は大企業だけではないという実態
また、この標的型サイバー攻撃では2つの問題点が考えられると指摘する遠藤氏。
1つは、「多くの時間とコストとかけて実行される攻撃なので、狙われるのは大企業や政府組織などに限られていると考えるのは大きな間違い。特に、中小企業は狙われないと安易に考えがちだが、それ自体が最大の脆弱性となる。その警戒の手薄さが狙われる」と警告する。大手企業と取引関係の深い企業の情報を狙って攻撃されるパターンも多く、企業規模などは関係ないという。
メールとWebとの両方でゼロデイ対策や脆弱性の根絶が必要
2つ目は、パターンマッチング方式やシグネチャー方式など従来の対策技術の効果が薄れているということ。既存の対策に加えて、ゼロデイ対策や万が一侵入された後の対策が確実に必要になってきている
そして、最優先に考えるべきなのが、企業にとって最大の情報の出入り口である「メール」と「Web」の2つで、その両方でゼロデイ対策や脆弱性の根絶、アクセスの監視と通信制御などを実施することが必要であるという。
「メール送受信の量、ウイルスやスパムの割合、Webサイトへのアクセス状況など日々のベーシックなモニタリングはもちろんだが、特に重要なのは社内から社外への通信状況のモニタリングと怪しい通信のブロック」(遠藤氏)
世界最大の電子メール監視サービスを活用するIronPort ESA
では、メールとWebの環境をどのようにして守ればいいのか。ソリトンシステムズでは、「Cisco IronPortメールセキュリティアプライアンス」(IronPort ESA)と、「Cisco IronPort Webセキュリティアプライアンス」(IronPort WSA)の活用を提案している。
IronPort ESAの最大の特徴は、Cisco社の脅威管理センターであるCisco SIO (Security Inteligence Operations)から提供される世界最大規模のIPレピュテーションデータベースを活用していること。世界中の10万を越えるISP、大学、企業などからデータをリアルタイムに収集するとともに、1日に50億以上のクエリを受け付け、200以上の異なるパラメータによってインターネット上にあるメールサーバの挙動を常時監視している。その数は、インターネット上で流通する電子メールの30%以上を網羅するといわれている。
また、Cisco SIOが提供するレピュテーション情報をスパム送信IPアドレスの判別に利用してブロックもしくは受信制御を行うレピュテーションフィルタや、Cisco IronPortが独自に開発したCASE(Context Adaptive Scanning Engine)を利用してヒューリスティック分析やシグニチャ、画像解析、本文中のURL評価などを駆使するスパムフィルタなどのほか、標的型スパムメールやゼロデイウイルス等のグレーなメールを判断する為のアウトブレイクフィルタなどの機能を提供する。
ゼロディの脅威を改善するIronPort WSA
一方のIronPort WSAは、高性能Webプロキシサーバーであるとともに、Cisco SIOが提供するWebレピュテーションとの連携やダイナミックコンテンツ解析エンジンを持った次世代型URLフィルターである。さらに、複数のウイルス/マルウェア対策、ボット感染対策を外部サーバー不要のオールインワンで提供する。あわせて、ネットワークトラフィックをモニタリングし、怪しい通信は自動的にブロックする機能も併せ持っている。
Cisco SIOでは、全世界で稼働している約100万台のデバイスによりインターネット上のWebとメールのトラフィックの30%以上をモニタリングし、リアルタイムに全世界の脅威分析を実施。これらの複合的な脅威情報がIronPort WSAに提供されることで、ゼロデイの脅威は劇的に改善される。
ネットワーク全体のセキュリティはどうあるべきかを見直すタイミング
怪しいメール内には必ずといってよいほどURLリンクが存在する。例えば、マルウェアサイトに誘導するようなスパムメールや、詐欺サイトに誘導するようなフィッシングメールがそうである。よって、メールセキュリティとWebセキュリティとは切り離して考えるべきではないという遠藤氏。IronPort ESA とIronPort WSAを組み合わせることで、メールの入口、Webの入口、ネットワークの出口の3つを監視し制御することが可能になる。
「標的型サイバー攻撃が顕在化した今こそが、企業内ネットワーク全体のセキュリティはどうあるべきかを見直す良いタイミングなのではないか」と遠藤氏は訴える。