次世代のネットワークセキュリティ対策に幅広いインテリジェンスを活用：「Security Connected」で実現する安心と信頼

増加の一途にある企業を標的にしたサイバー攻撃。その手口もますます巧妙化して、個別の対策製品を導入するだけでは効果を発揮しにくくなっているのが現状だ。そこでマカフィーは、さまざまなソースから得た情報の相関関係を分析して脅威対策に生かす「幅広いインテリジェンスの活用」によって、プロアクティブな対策を実現することを提案している。

[PR／ITmedia]

PR

高度化・巧妙化し、勢いが止まらない標的型攻撃

　新たなマルウェアの出現が凄まじさを増している。マカフィーが公開している2012年第3四半期（7〜9月）の「脅威レポート」によると、データベースに登録されたマルウェアの件数は、今期に1億件を突破している。新種のマルウェアは1日平均10万件が確認されているという恐るべき状況だ。

ネットワークセキュリティ担当シニアバイスプレジデント兼ゼネラルマネージャー パット・カルフーン氏

　米マカフィー社 ネットワークセキュリティ担当シニアバイスプレジデント兼ゼネラルマネージャーのパット・カルフーン氏は、「非常に高度かつ洗練された手口でサイバー攻撃を仕掛ける『APT（Advanced Persistent Threat）』のマルウェアが、企業にとって深刻な問題になっています」と話す。

　攻撃者は、機密情報を盗み出すために、あらゆる手段を講じて企業や組織のネットワークの内部へマルウェアを送り込もうとする。このマルウェア自体も非常に洗練化されていて、従来のセキュリティ対策を容易に回避できてしまう。侵入に成功したマルウェアは自身の存在を隠しつつ、外部のサイバー攻撃者から指示を受けながら、標的の情報に接近して盗み出す。企業や組織がその被害に気付くことは少なく、気付いた時点で深刻な被害が既に発生している場合も少なくない。

　カルフーン氏によれば、サイバー攻撃者はマルウェアを仕掛ける相手をソーシャルメディアで探し出し、その相手と関係のある人物になりすましてメールやメッセージを送りつけ、相手をマルウェアに感染させる。

　「例えば、LinkedInで勤め先の企業や所属部署、肩書などを知り、ソーシャルメディアから標的にした相手の交友関係を追跡して趣味や関心事などを徹底的に調べ上げます。そのようにして送り付けられたメールを相手は疑うことなく見るでしょう。添付ファイルやリンク先を開かせてマルウェアに感染させることができてしまいます」

　サイバー攻撃の手口がこのように巧妙化している現状にもかかわらず、企業や組織で講じられているセキュリティ対策は昔のままというところが少なくない。従来のセキュリティ対策は、基本的に「悪意がある」と確認したものを定義ファイルとしてデータベース化し、これをもとに脅威をブロックする。だが、これでは複雑で巧妙な手口が幾重にも組み合わされたサイバー攻撃を防ぐのは容易ではないだろう。

　カルフーン氏は、「企業や組織の中でいったい今、何が起きているのかを理解できるようにすることが必要です。洗練されたサイバー攻撃に立ち向かうには、セキュリティのアーキテクチャを変えなければなりません」とアドバイスする。

統合的なアプローチで脅威をとらえて対策に生かす

　セキュリティのアーキテクチャを変えるというのは、具体的にどのようすれば良いのだろうか。そこで、マカフィーは「Security Connected」という新たなセキュリティ対策のフレームワークを提唱している。

　企業や組織のセキュリティ対策は、ネットワークの境界からネットワークの内部、PCやサーバーといったエンドポイントに至るまでさまざまな場所に講じられている。だが、これらの対策は今まで個々に運用されてきた。洗練化されたサイバー攻撃は、基本的な対策を念頭に計画されている。

　Security Connectedとは、まさにバラバラな状態にある個々のセキュリティ対策をつなぎ合わせ、統合的に運用していくことで、セキュリティレベルを総合的に高めていこうという考え方だ。それぞれの対策を協調させて得られる幅広い情報を対策に生かすし、企業や組織の内部への侵入、内部活動、外部との通信確立をする脅威をとらえ、被害の発生を抑止していく。

　「例えば、メールにExcelファイルが添付され、そのファイルにはリンクが埋め込まれていたとします。攻撃者の最初の狙いはマルウェアに感染させることで、そのファイルを検知することも重要ですが、メールやファイルの中身に含まれている接続先などとの関係性を把握することが対策には重要な意味があります」（カルフーン氏）

　同社ではこのSecurity Connectedを実現するために広範な製品ポートフォリオ、そして、脅威の可視化に不可欠な「Global Threat Intelligence（GTI）」という仕組みを保有する。

　GTIは、同社が世界中に張り巡らせているセンサーネットワークや製品ユーザー、さらにはパートナー企業などから提供されるセキュリティの脅威情報を日々収集し、500人以上の同社のエキスパートが24時間体制で各種情報の相関関係を分析する。マルウェアやスパム、疑わしきファイルやWebサイトなどに関する膨大な分析情報をデータベースとして蓄積しているのだ。このGTIと同社の製品は常に連携して動作し、GTIで収集、分析された脅威情報はリアルタイムに製品へ反映され、最新の脅威からユーザーを保護する。

世界中のセキュリティ脅威情報を蓄積しているGTI

　こうした幅広い脅威情報によるセキュリティ対策が実際に機能したケースに、2008年秋に世界中のコンピューターで大規模な感染被害が相次いだ「W32/Conficker」ワームがある。W32/Confickerワームは、Microsoft Windowsの未解決の脆弱性（当時）を悪用して感染を広げるもので、ネットワーク経由での拡散はもちろん、USBメモリーなど可搬型記録媒体も使って感染を広げ、猛威を振るった。Microsoftは同年10月下旬に定例外の修正パッチを緊急リリースするほどの事態になった。

　一方、マカフィーではW32/Confickerが利用した異常な通信の兆候を、修正パッチがリリースされる700日前から検知できる仕組みが実装されていて、GTIでの分析を踏まえて同社のIPS（不正侵入防御）システムではいち早くこの通信を遮断できるようになっていたという。

　また、2009年7月には韓国の政府系サイトや企業サイトなどに対するDDoS（分散型サービス某号）攻撃が発生し、Webサイトがダウンする事態が相次いだ。この事件の時もマカフィーは、攻撃者の準備段階の活動時点の動向を検知しており、GTIでの解析結果をもとにした対策をユーザーの製品に反映。大半のユーザーをDDoS攻撃の被害から保護することに成功したという。

わずかな兆候から脅威を察知する

　ここまでみてきたことからも分かるように、巧妙かつ高度なサイバー攻撃から企業が自社のシステムを保護していくためには、脅威が出現し始めたタイミングでその兆候を把握し、脅威の内容を理解して適切な防御手段をいち早く講じる必要がある。

　そこで現在、セキュリティ業界では「セキュリティ情報・イベント管理（SIEM）」という手法の活用が提唱されている。各種のセキュリティ対策製品がそれぞれに察知した脅威の兆候に関する情報を利用していくものである。

　だがSIEMの活用で問題となるのは、セキュリティ対策製品から提供される情報があまりにも膨大な量に上り、ユーザーがその中から脅威に結び付く情報を見つけ出せないことだ。大企業であれば導入されているセキュリティ製品は、数千台、数万台規模になり、対策製品から出力される各種のログデータは1日だけで数億、数百億レコードにもなる。これほどの量のログから、脅威のわずかな兆候を限られた人員で見つけ出していくことなど、ほぼ不可能に近いと言えよう。

　こうしたことからも、マカフィーではGTIを始めとする同社のエキスパートによるリソースの活用も提案する。これを担うのが、2012年6月に発表した「McAfee Enterprise Security Manager」だ。McAfee Enterprise Security Managerではセキュリティイベント情報、また、ユーザーやシステム、データにおける挙動といったさまざまな情報を収集しているGTIの情報を連携することで、ユーザーが自社の環境で得た情報と広く収集しているGTIの情報を紐づけることで対策を支援する。

　各種の情報はマカフィーの統合型セキュリティ管理ツール「McAfee ePolicy Orchestrator」や「McAfee Risk Advisor」にも反映され、ユーザーはサイバー攻撃などの脅威やそのリスクを特定し、優先度に応じた迅速な対応が取れるようになる。

　カルフーン氏は、「SIEMで活用するための情報は、まさしくビッグデータといえるでしょう。当社ではこのビッグデータの中から、ユーザーの環境でいったい何が起きようとしているという視点に基づいて、脅威がもたらす不正な活動を発見できるようにしています」と話す。

プロアクティブな脅威防御システムを構築する

広範な製品連携で強固なセキュリティ基盤を実現

　マカフィーが大規模なサイバー攻撃からユーザーを保護することに成功しているのは、無数の情報源とそこからセキュリティの脅威を可視化していくGTI、そして、防御情報を迅速に多数の製品へ反映できる仕組みを確立している点にあると言えるだろう。だがこの仕組みはマカフィーの製品のみならず、同社と提携する120社以上の「Security Innovation Alliance（SIA）」のパートナー製品との連携によって実現している。

　追跡調査から具体的な攻撃活動の影響把握と攻撃に悪用された脆弱な部分を明らかにすることで、ユーザーは被害の再発防止に向けた取り組みを進めていける。製品連携が高まり、情報把握が迅速になれば自社のセキュリティ対策レベルを確実に高めていくこともできるようになっている。

---

　マカフィーは、今後もSecurity Connectedに基づくセキュリティ対策のフレームワークをより進化させていく計画だ。カルフーン氏によれば、ネットワークセキュリティ製品ではネットワークへの侵入を試みるマルウェアの分析機能を強化し、脅威の特定精度をさらに高めていくという。

　同社のセキュリティ対策ソリューションは、ネットワークからエンドポイントまでの広範な領域を網羅しており、GTIをはじめとする高度なインテリジェンスと協調してユーザーを強固に保護するものと言えよう。セキュリティ対策の再構築に迫られる企業は少なくないだけに、その検討ではこうした次世代のセキュリティ対策をぜひ導入してはいかがだろうか。

サイバーセキュリティ対策の最前線を知る