山積みのサイバーセキュリティ課題、解決に導く次のアプローチとは何か？：Enterprise Security Special セミナーレポート（1/2 ページ）

ITmediaエンタープライズ編集部が協力して10月22〜23日に開催されたセキュリティセミナー「2日間で習得するサイバーリスクの最前線とセキュリティの最適解」では標的型攻撃やモバイルのリスクといった企業が抱えるセキュリティ課題の解決を支援する方向性が示された。

[ITmedia]

　ITmediaエンタープライズ編集部が協力するセキュリティセミナー「2日間で習得するサイバーリスクの最前線とセキュリティの最適解」が10月22と23日、日本ヒューレット・パッカード本社で開催された。2日間にわたるセミナーでは巧妙化するばかりの標的型サイバー攻撃やモバイル活用でのセキュリティリスクといった、企業を取り巻くさまざまなセキュリティ課題の解決を支援する方法が紹介された。セミナーの中から注目セッションの内容をレポートする。

不意を突く脆弱性攻撃への対処

日本ヒューレット・パッカード エンタープライズセキュリティ統括本部 セキュリティセールススペシャリスト 藤田平氏

　日本HP エンタープライズセキュリティ統括本部 セキュリティセールススペシャリストの藤田平氏によるセッション「巧妙化、多発化する標的型攻撃に備えよ。『対策をしていたのに…』にならないための勘所」では脆弱性を悪用する標的型攻撃への対策が紹介された。

　2013年上半期に多発したサイバー攻撃の1つに、Webサイトの改ざんによるウイルス感染や不正アクセスでの情報漏えいがある。Webサイトの改ざんでは2008年ごろに多発した「ガンブラー攻撃」が有名だろう。その手口ではWebサイトの更新や管理に使うFTPパスワードの漏えいが知られ、当時はアカウント管理やアクセス制御の強化といった対策が講じられた。それにも関わらず、なぜ再びWebサイトの改ざんが目立つようになったのか――。

　藤田氏は、「その当時の原因と対策のイメージが強くあるものの、現在はWebサイトに用いられるさまざまなプログラムの脆弱性の方が原因の多くを占めている。例えば、コンテンツ管理システム（CMS）は気軽に使えるツールだが、脆弱性を修正しているユーザーは少ない」と指摘する。

　同社の2012年のサイバーリスクレポートによれば、Webアプリケーションに影響する脆弱性は、脆弱性全体の4割を占める状況だ。脆弱性の数も2011年に比べて19％増加している。こうした状況にあって、脆弱性に逐一対応したり、全てのコンピュータに修正パッチを適用したりする作業は非常に大きな負担だろう。標的型攻撃の一連の手法の中でも、脆弱性の悪用はマルウェアを感染させるフェーズにおいて多用されている。

　この脆弱性対策としては、コンピュータを常に最新の状態にすることが鉄則であることは言うまでも無い。ただ、現実には膨大な数の脆弱性にきめ細かく対応するのは負担が伴うので、どうしても漏れが生じてしまう。

　そこで藤田氏は3つの対策手法を提示する。1つは、TippingPointの次世代型IPS（不正侵入防止システム）を活用した「仮想パッチ」だ。これは同社のセキュリティ研究機関「DVLabs」が提供する最新の脅威情報をIPSに反映させ、脆弱性を突く外部からの攻撃をIPSが事前に遮断するというものだ。

　もう1つはアプリケーションの解析による脆弱性の修正対応である。同社の解析ツール「Fortify」ではソースコードベースの静的解析と動的な解析によってアプリケーションに潜む脆弱性を検出する。IPSの仮想パッチ機能で攻撃を防ぎつつ、その間にアプリケーションの脆弱性を解決して、攻撃のリスクを低減させるというアプローチになる。

　藤田氏が最後に示した対策が、セキュリティログ解析の「ArcSight」とIPSの連携だ。システムのさまざまログを相関分析して内部に潜む不正な通信などの脅威を可視化する。その情報をIPSに生かすことで、外部からの通信だけなく、内部から外部に対して行われる不正な通信も遮断することで、機密情報の流出を防ぐ。

　同氏は脆弱性対策と脅威の可視化という手法を組み合わせることで、標的型攻撃のリスクを低減していくべきだと提起している。

このセッション興味のある方にはこちらのホワイトペーパーがおすすめです。

巧妙化、多発化する標的型攻撃、その傾向と対策

ホワイトペーパーのダウンロードページへ （TechTargetジャパン）

グローバル環境での対策の第一歩は「可視化」

トレンドマイクロ エンタープライズSE部 パートナーSE課担当課長代理 栃沢直樹氏

　トレンドマイクロ エンタープライズSE部 パートナーSE課担当課長代理の栃沢直樹氏のセッション「サイバー攻撃対策は『企業内通信の可視化』がポイント！　海外拠点も可視化するDeep Discovery Inspectorの先進的手法」では巧妙化する標的型サイバー攻撃へ対処するための新たなアプローチについて解説が行われた。

　栃沢氏によると、標的型サイバー攻撃は幾つかのタイプに分類できるが、特定の組織に対して時間や手段、手法を問わず、目的達成のために標的に特化して行われる「持続的標的型サイバー攻撃」が非常に深刻な問題となっている。攻撃内容も巧妙化するばかりであある。

　例えば、攻撃者が標的のコンピュータをマルウェアに感染させるために、「なりすましメール」が攻撃の初期段階で使われる。かつては細工した添付ファイルをいきなり送りつけていたが、今では標的をだまして信用させるために、何度かやり取りをしてからマルウェアを送り付ける。「怪しいメールは開かないといった対応や、セキュリティのリテラシーが高い人でも簡単にだまされてしまうほどの状況だ」（栃沢氏）という。

　同社の分析でも2012年上期は細工された文書ファイルを送り付ける手口が最多だったものの、下期には実行形式のファイルが最多になるなど、手口は目まぐるしく変化している。また、近年はシステム更新ツールなどの正規のアプリケーションを悪用して、侵入範囲を広げていく手口もみられるようになった。

　こうなると、ウイルス定義ファイルのようなブラックリストに基づくセキュリティ対策だけでは検知が非常に難しくなる。同社が対策の新たなアプローチとして提示しているのが、通信内容やファイルの詳細な解析などから不審な兆候を可視化し、迅速に対応していくというものである。そのために同社では「Deep Discovery Inspector（DDI）」という製品を提供している。

　栃沢氏によると、DDIではクライアントとサーバ間、あるいはサーバ同士など組織内部での通信を監視し、独自の解析エンジンやブラックリストなど多様なソースを利用しながら不審な挙動を可視化する。同社の対策製品と連携することで、DDIの情報に基づく脅威の遮断もできるようになっている。

　昨今では日本企業の海外進出も活発化しており、海外拠点から脅威が社内に侵入して不正行為を働くリスクも高まりつつある。DDIを海外拠点の内部通信と日本と海外の拠点間通信の監視にも活用することで、グローバル企業の環境でも脅威の可視化が可能になるという。

　また、同社では日本HPとDDIを利用した連携ソリューションも提供する。HPのIntegrated Light-Outと仮想アプライアンス版のDDIを組み合わせ、日本から海外拠点の通信を監視するDDIを運用できるというもので、「誤検知への対応やレポートに基づくコンサルティングをHPでも提供している」（日本HPテクノロジーコンサルティング統括本部の齋藤光司氏）とのことだ。

このセッション興味のある方にはこちらのホワイトペーパーがおすすめです。

標的型攻撃対策、カギは「可視化」にあり

ホワイトペーパーのダウンロードページへ （TechTargetジャパン）