未知のマルウェア感染を入口で食い止めることは極めて困難な状況にあり、侵入を前提とした内部対策が必須となっている。この課題を解決するためにはOS上の対策では十分とは言えず、より下位階層に位置する仮想化ハイパーバイザーのレベルでのダメージコントロールが重要だ。そこでの2本柱となる「CSIRTの迅速かつ的確な初動対応」と「強制的なITガバナンスの徹底」の実現に向けた効果的なアプローチを紹介しよう。
既存のセキュリティ対策が無力化されるリスクまで
想定したダメージコントロールが重要
サイバー攻撃は悪質化・巧妙化の一途をたどっており、高度標的型攻撃による情報漏えい事件が後を絶たない。さらに近年では、ランサムウェアのような新手の脅威による被害も拡大している。これらのマルウェアの多くはメールを経由して送り込まれてくるため、ファイアウォールで完全に遮断することができない。作りも非常に巧妙で、ウイルス対策ソフトウェアを適用しても半分以下しか検知できないのが現実だ。また、侵入されてから半年以上も気付かずに放置されているケースが珍しくない。
ヴイエムウェア株式会社
ソリューションビジネス本部
先進ソリューション
シニア セキュリティ ソリューション アーキテクト
楢原 盛史 氏
そこで急務となるのが、脅威の侵入を前提としたセキュリティ対策の強化だ。すでにそれなりの対策が施されている入口対策に追加投資を行っても、得られる効果は限定的と言わざるを得ない。これに対して「ほとんど手付かずだった『ダメージコントロール』を中心とした内部対策を施すことで、セキュリティの大幅な改善が可能となります」と語るのは、ヴイエムウェア ソリューションビジネス本部 先進ソリューションのシニアセキュリティソリューションアーキテクトの楢原盛史氏である。
では、具体的にどのような対策を施せばよいのだろうか。これまで一般的に行われてきたのは操作ログ監視や振る舞い検知などのツールを導入するといったアプローチだ。だが、いまやこれでは十分とは言えない。楢原氏は、「犯罪者のモチベーションとハッキング思考を考える必要があります」と語り、「不正プログラム感染によってOSの管理者権限が窃取され、コントロールが奪われる場合があるのです」と強調する。既存のセキュリティ対策が無力化されるリスクまで想定した上でのダメージコントロールが求められるのだ。
マイクロセグメンテーションで実現する
迅速なCSIRTの初動対応
OS 上にどんなセキュリティ対策を実装しても現在のサイバー攻撃に対して万全ではないため、より下位の階層での対策が求められる。「その意味でも今後のダメージコントロールは仮想化が前提となります」と楢原氏は語る。
そこでヴイエムウェアが一貫して提供しているのが、サーバ仮想化の「VMware vSphere」および仮想デスクトップ (VDI)の「VMware Horizon」、ネットワーク仮想化の「VMware NSX」といった仮想化基盤だ。侵入した脅威の「無害化(脅威発生源の分離)」から「最小化(脅威影響範囲の最小化)」「健全化(汚染環境の健全化)」に至るダメージコントロールを仮想化ハイパーバイザーのレベルで実行する。
ここでのベースとなるのはVMware NSXを活用した「マイクロセグメンテーション」という考え方だ。セキュリティゾーンをセグメント単位から仮想デスクトップや仮想サーバのホスト単位に最小化して分散ファイアウォールを配置し、ホスト間の不必要な通信を完全に遮断することでマルウェアの拡散を防止するのだ。これにより、「ホストベースの分散ファイアウォールにおけるログ分析の高度化が可能となり、かつてない高速な"臨戦態勢"のステップが実現します」と楢原氏は語る。
そのステップとは、次のようなものだ。
いずれかの仮想デスクトップにマルウェアが侵入した場合、そのマルウェアは他のデスクトップやサーバに足場を拡散すべく不正アクセスを開始する。この攻撃を仮想マシン単位に実装された分散ファイアウォールが遮断するとともに、そのブロックログをアラート出力するのだ。これを受けて管理者は即座に予兆分析を開始する。同時に当該デスクトップまたはサーバのPCAP(パケット・キャプチャー)ファイルを取得し、組織内 CSIRT もしくは外部のセキュリティ専門家にフォレンジック調査を依頼する。
このように既存のセキュリティシステムを突破して感染した仮想マシンをいち早く特定し、後段のログ分析プロセスへ迅速かつ的確につないでいくセキュリティの初動対応が、マイクロセグメンテーションによって確立できる。
※クリックすると拡大画像が見られます