特集
» 2016年06月13日 08時00分 UPDATE

脅威に負けない我が社のセキュリティ強化大作戦:圧倒的有利な攻撃者への対抗手段 多層防御とインテリジェンスのしくみ (1/3)

セキュリティ対策の主流になった多層防御は、巧妙化や隠蔽化が進むサイバー攻撃を検知するポイントを増やして怪しい動きを見つけ、重要な情報の盗み出しを阻止するという考え方です。それでも攻撃側は潤沢な資金を背景に高度化を進めるため、今回は守る側が手にしつつある次の手段のSIEMやインテリジェンスについて解説します。

[吉澤亨史,ITmedia]

 企業などの組織を狙うサイバー攻撃は、その手法が多岐にわたっています。例えば、ウイルスに感染させる手法をみても、メールにウイルスファイルを添付して相手に送り付けるオーソドックスな手法に加え、メールの本文に記載したURLによってウイルスを仕込んだWebサイトに誘導する手法、ネットワークからパケットとして直接飛んでくるネットワークウイルスの手法、業界などでよく利用されるWebサイトを改ざんしてウイルスを仕込む手法(水飲み場攻撃とも呼ばれます)、ソフトウェアのアップデートを装う手法など、さまざまな手法がとられています。

 また、攻撃そのものもウイルス感染だけでなく、ソフトウェアのパケット通信を装って組織内部のネットワークに不正侵入しようとするものや、Webサイトの改ざん、PCを遠隔操作するためのボット化、DDoS(分散型サービス妨害)攻撃、ブラウザセッションの乗っ取り(中間者攻撃とも呼ばれます)による不正送金など、さまざまです。こういった攻撃に対応して企業ではさまざまな対策が取られていますが、わずか数年前までは、組織とインターネットの接点であるゲートウェイでのウイルス対策、ファイアウォール、IDS/IDS(不正侵入検知/防御システム)といった方法に注力していました。

検出ポイントを増やす「多層防御」

 それが標的型攻撃の登場によって、ゲートウェイという組織ネットワークへの「入口」だけの対策では守れないという認識が高まりました。標的型攻撃は特定の人物や組織だけを狙う攻撃であり、攻撃を成功させるために攻撃者は十分な準備期間を設けて、ターゲットに関する詳細な情報を集めます。また、標的型攻撃の第一歩となる攻撃メールには新種のウイルスが使用されることが多く、入口での対策によって侵入の前に検出することが非常に難しくなりました。そこで、「侵入前提」の対策も必要になりました。

 侵入を前提として重視されたのが、組織ネットワークの「出口」における対策です。標的型攻撃の場合、組織内部に潜入したウイルスが攻撃者の指令を受けて情報を収集し、外部に送信します。ウイルスに指令したり、情報の送信先となったりするのが「コミュニケーション&コントロールサーバ(C&Cサーバ、C2サーバ)」と呼ばれる攻撃者が設置したサーバです。ウイルスとC&Cサーバとの通信は、検出を難しくするために一般的なWebサイトの閲覧時と同じプロトコルであるHTTP(S)を使うようになっています。しかし、一般的な通信に紛れて情報を盗み出そうとする不正な通信を見つけ出し、その通信を遮断することで情報の流出を阻止できます。また、この通信を平時から注意深く監視できるようにしておくことで、組織で許可されていないソフトウェアの使用なども検出できます。

多層防御 多層防御は侵入を食い止める場所を増やすだけでなく、監視する場所を増やす目的もある

 さらに、組織内部のネットワークやシステムの状況を把握するための「内部」における対策も注目されています。組織の内部でやり取りされる情報を見ていくことで、巧妙なウイルスによる怪しい動きを検出することができる場合があるためです。例えば、一般的に従業員のPCが社内で通信を行うのは、サーバやプリンタ、スキャナが中心で、別のPCにアクセスすることはありません。また、サーバなどへのアクセスにおいても権限がないシステムへアクセスするケースも普通はありません。こうした通常では起こり得ない通信を検出することで、ウイルスの侵入や内部犯罪の芽を見つけることでき、実被害につながる前に対応策を打てることができるでしょう。

 標的型攻撃について具体的にみてみると、攻撃者はターゲットの事前調査を経て攻撃メールを送信し、感染に成功したウイルスが次々に別の不正プログラムをダウンロードします。それらがC&Cサーバとの通信を開始し、攻撃者による遠隔操作が可能になります。こうした準備を経て攻撃者は、重要な情報にアクセスできるPCを探します。そのPCを見つけたら利用者の権限を奪い、重要な情報にアクセスし情報を収集し、C&Cサーバに送信します。その後は攻撃者の判断によって、痕跡を消去して攻撃自体を終了することがあれば、新たな方法も使って引き続き潜入し、さらなる情報を入手しようとします。

 最近のサイバー攻撃では、不特定多数を標的にしている攻撃でも標的型攻撃のように、いくつもの段階を踏むケースが多いため、企業は多層防御を構築することで不審な動作を検出できるポイントを増やし、検出精度を向上させる必要があるというわけです。

特集まとめ読み特別冊子 プレゼント応募フォーム

特集「脅威に負けない我が社のセキュリティ強化大作戦」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。

<<< 応募はこちらから

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -