プリント用表示

情報セキュリティが急務:Webへの不正アクセスが続発 企業がとるべき対策は?

インターネットに接続している限り、公開しているWebサイトが狙われる危険性を排除できない。危険性を排除するために取り組むべきなのが、攻撃に対する確実な防御である。それを実現するには、自社の脆弱性を可視化・把握し、強固なセキュリティ対策を確立することだ。


自助努力だけでは追いつかない脆弱性対策

 このところインターネットを経由した悪意のある攻撃が、確実に増加している。もちろん、インターネットセキュリティ対策の技術も日々と向上しているが、OSやミドルウェア、アプリケーション、サービスなどで新たに発見される脆弱性への対策は追いついていないのが現状だ。

 IBMが運営する世界的なセキュリティ研究開発機関「X-Force」のレポートによると、2010年に報告された脆弱性は前年比で27%増加している。実数にすると、2010年の脆弱性開示数は8000件以上となっており、これは過去最高の記録だったという。そうした脆弱性のうちの半数以上は、ソフトウェアベンダーが脆弱性が発見された同日中にセキュリティパッチを提供している。しかし、脆弱性が公開された数週間後にリリースされるパッチもあるし、ソフトウェアベンダーからパッチが提供されないものもある。2010年に公開された脆弱性のうち、実に44%はパッチが提供されていないとのことだ。

 とりわけ目に見えて増えているのが、Webアプリケーションの脆弱性やWebサイトを狙った攻撃だ。2010年に発見された脆弱性の49%がWebアプリケーションに関するものとなっている。2003年に大流行した「SQL Slammer」(Microsoft SQL Serverのバッファオーバーフローに関する脆弱性を突くワーム)は、(2011年3月現在では、減少傾向にあるものの)8年後の現在もインターネット上で拡散を続けているし、2005年に問題が表面化したデータベースを扱うWebアプリケーションの脆弱性を狙った攻撃も増え続いている。動的にWebページを生成するアプリケーションの不備を意図的に悪用するクロスサイトスクリプティングは徐々に減少傾向にあるものの、今なお、多くの割合を占めている。

 そればかりか、現在もたびたび報道されているように、企業の社会的信用低下を目的に、個人情報を狙ったあからさまな悪意のある攻撃も増えている。攻撃が増えている背景には、脆弱性のあるWebサイトを容易に検索し、ハッキングの成功率が高いページの情報が容易に入手できるようになったことがある。つまり、過去のように高度な技術的知識やスキルを必要とせずに、誰でもWebサイトを簡単に攻撃できてしまうわけだ。さらに、ボットやトロイの木馬など、攻撃を自動化する悪意あるプログラムも、まん延している。

公開サーバの不正アクセス対策を考える

 あなたの会社では「ファイアウォールやアンチウイルスソフトを導入しているから安心」と考えてはいないだろうか。セキュリティ対策が万全だと言い切る企業の中にも、実は公開されたWebサーバの不正アクセス対策は疎かだという場合は少なくない。脆弱性を突いた悪意ある攻撃に見舞われることは、決して対岸の火事ではないのだ。

 まずは、公開サーバの不正アクセス対策が十分かどうか、自己診断してみると良いだろう。定期的に公開サーバのセキュリティ診断を実施しているか、OSやミドルウェアだけでなく、独自のWebアプリケーションも診断しているかどうかという基本ができていなければ、早急にWebのセキュリティ診断を実施する必要がある。独自のWebアプリケーションが稼働していれば、脆弱性がないかソースコードをレビューする。脆弱性が発見されたら、それが修正されるまでトレースするという管理プロセスを確立することが大切だ。

 公開サーバへの攻撃については、不正アクセスを検知・防御する仕組みが重要だ。具体的には、IPS(Intrusion Prevention System)を導入することが、最も手っ取り早い解決策になる。また、攻撃で狙われるのは、主にデータベースに蓄積された情報だ。データベースサーバのログを取得・監視するとともに、使わないSQLコマンドが送信された場合にチェックする仕組みが必要になる。

 こうした公開サーバのセキュリティは、専任担当者によって適切な運用が行われるとともに、PDCAサイクルを回して常に見直しを行うことが望ましい。セキュリティガバナンスの確立も求められる。

攻撃を監視・防御するIBM Security Network IPS

 このような多くの施策を講じなければならない不正アクセス対策は、やはりセキュリティベンダーに委託するのが効率的だ。セキュリティベンダーにはそれぞれ得意分野があるが、セキュリティ診断を実施して脆弱性を可視化するサービス、不正アクセスを検知・防御する仕組みやデータベースを監視・保護するソリューション、ネットワーク全体の監視サービス、セキュリティポリシーの策定など包括的な支援を行えるベンダーを選択すると良いだろう。IBM自身、そうしたセキュリティベンダーの1社だといえる。

 IBMは、Webサーバの脆弱性を診断・分析して、情報漏洩リスクを可視化する「X-Force クイックセキュリティ診断サービス」を提供している。X-Forceは、前述したようにIBMが運営するセキュリティ研究開発機関。グローバルなインターネットの脅威、脆弱性、攻撃の状態について調査・研究する、民間では世界トップレベルのセキュリティ専門組織である。同サービスは、このX-Forceの最新脆弱性情報、分析手法をベースにWebアプリケーションの脆弱性を発見、最適な対策を提言するというサービス。診断ツールだけに頼らずに、セキュリティ専門家が手動で詳細な検査を行うことが特長だ。

 Webサーバの脆弱性を可視化した上で、インターネット経由で押し寄せる外部の攻撃を監視・防御するために有効なのが、「IBM Security Network Intrusion Prevention System(IPS)」(従来製品のブランドは IBM Proventia Network IPS)である。この製品は、ファイアウォールだけでは防御できない攻撃からWebサーバを保護するアプライアンスとして提供される。

ips.jpg セキュリティ上の脅威を防ぐIPSの仕組み

 多くの企業は、セキュリティ対策に取り組んでいるはずだが、それでも不正アクセスによる情報漏洩事件が後を絶たないのは、対策に課題があるからだ。毎日のように発見される脆弱性に対し、セキュリティパッチを漏れなく適用していれば安心というわけではない。脆弱性が公開され、パッチが提供されるまでの空白期間を狙った「ゼロデイ攻撃」に対する備えが必要だ。現在のマルウェアは、伝播や亜種の発生速度が非常に早いので、パッチを待っていたのでは、手遅れになってしまう。パターンマッチングによってマルウェアから防御する、従来のアンチウイルスも、同様に防御能力に限界があると言わざるを得ない。こうした課題を解決するのが、IBM Security Network IPSなのだ。

X-Forceの技術を詰め込んだバーチャル・パッチ

 IBM Security Network IPSには、いくつかの特徴がある。まずは、脅威と防御を研究し、現在の問題に対する防御策の提供するX-Forceの最新技術が詰め込まれているという点だ。このX-Forceの脆弱性研究結果を反映させ、非常に高い検出精度を実現している機能が「バーチャル・パッチ」である。これはIBM Security Network IPSが、脆弱性が存在するWebサーバに対し、仮想的にセキュリティパッチが適用されている状態を作るというもの。パッチを適用したのと同レベルで脆弱性攻撃を無効にする。このバーチャル・パッチを適用している間に、パッチ適用作業を行うことで不正アクセスのリスクを最小化できるのだ。

p.jpg パッチを適用するタイムコントロールができる

 IBM Security Network IPSでは、X-Forceが脆弱性を発見するとその情報を分析し、その脆弱性狙った攻撃を検知、防御するシグネチャ(X-Press Update)を即座に開発してIBM Security Network IPS に反映させる。攻撃を行うマルウェアが出現した時点ではすでに対応し、安全な状態になっている。これがベンダーからのパッチだけに頼っていると、ゼロデイ攻撃や亜種の攻撃に対応できず、脆弱性に晒された危険な状態が続くことになる。ベンダーが公表した脆弱性情報をもとに、パターンファイルやシグネチャを作成する他のセキュリティベンダーも、IBM Security Network IPSのような事前防御は難しい。

 例えば、2008年にWindowsの脆弱性を突いた「Conficker」が猛威を振るったが、IBM Security Network IPSでは2006年の時点ですでに、同じ脆弱性に対応する防御シグネチャを提供、対策が完了していた。マイクロソフトが2008年に緊急パッチを提供したときには、追加シグネチャなしで防御できていたという。

Webアプリケーションを防御するWAF機能

 もう1つ、大きな特長と言えるのが、ほとんどのWebアプリケーションの攻撃を検知、防御できるWAF(Web Application Firewall)機能を搭載している点だ。Webに対する脅威のうち、SQLインジェクション、ファイルインクルード、クロスサイトスクリプティング、サーバーサイドインクルードは、攻撃の約8割を占めるという。これらを含むのはもちろん、LDAPから不正に情報を取得するLDAPインジェクション、XML検索条件を撹乱するXPathインジェクション、Ajaxで構築されたWebアプリケーションをターゲットにしたJSON(JavaScript Object Notation)ハイジャックなど、数は少ないものの将来的な脅威になる攻撃にも対応している。しかも、他のファイアウォールやUTM(Unified Threat Management=統合脅威管理)製品が備えているWAF機能とは異なり、難易度の高いパラメータ設定を行うことなく操作できる操作性も特長だ。

waf.jpg WAFの設定画面。ウイザード方式で簡単に設定できる

 さらに、日本のIBM監視センター(SOC)に常駐するセキュリティ技術者がIBM Security Network IPSをはじめとするセキュリティ機器をリモートで運用監視する「Managed Security Services」(不正アクセス防止サービス)も提供されている。同サービスでは、セキュリティインシデントの調査や対策設定を適切に実施し、企業のネットワークを攻撃から保護するとともに、サービス品質を保証している。月額費用(19万円/月から)を負担するだけで、企業はIPSを運用監視する専任技術者を置く必要がなく、運用コストを大幅に削減できるのがメリットだ。

 さらにIBMでは、アプリケーションの脆弱性を開発段階・テスト段階で検査、排除する「Rational AppScan」、データベースへのアクセス制御で情報漏洩リスクを軽減する「InfoSphere Guardium」などのソリューションを提供。IBMのセキュリティ技術とノウハウの実績をもとに、セキュリティ対策の実効性の向上と全体最適化を支援する包括的コンサルテーションも実施している。この春、IPSにはハイエンドモデルとなる「GX7800SFP」も加わった。このように、トータルなソリューションを提供するIBMは、セキュリティベンダーを選定する際の有力な選択肢になるだろう。

この記事に興味のある方におすすめのホワイトペーパー

 ネットワーク帯域や可用性を損なうことなく、悪意を持った攻撃を自動的にブロックする不正侵入防御(IPS)アプライアンスのご紹介

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)

 世界9 ヶ所の監視センター(セキュリティー・オペレーション・センター:SOC)にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境に影響を与える脅威の動向を、東京SOC が独自に分析!

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)



提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2011年9月30日


関連リンク

IBM Security Network IPS
企業ネットワークに先進的な防御機能を提供。ゲートウェイとコアネットワークの出入り口に。 パッチを当てられないシステムの境界にも。

Tivoli


ホワイトペーパー

IBM Security Network Intrusion Prevention System (IPS)
 
ネットワーク帯域や可用性を損なうことなく、悪意を持った攻撃を自動的にブロックする不正侵入防御(IPS)アプライアンスのご紹介

 

2010年下半期TokyoSOC情報分析レポート
 
世界9 ヶ所の監視センター(セキュリティー・オペレーション・センター:SOC)にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境に影響を与える脅威の動向を、東京SOC が独自に分析!