「多層防御」を強化するサンドボックス技術と「可視化」でセキュリティ対策の全体レベルをアップせよ：複雑化する脅威に備える最適解

企業や組織を狙って次から次に出現するセキュリティの脅威に、もはやバラバラなセキュリティ対策では有効な手をタイムリーに打ちづらいのが現状だ。チェック・ポイント・ソフトウェア・テクノロジーズは、脅威の可視化と対策手法を重ね合わせていくことによってセキュリティ対策全体をレベルアップさせる方法を提案している。

[PR／ITmedia]

PR

「兵に常勢無く・水に常形無し」

　企業や組織を狙うサイバー攻撃者は、標的とする企業や組織から金銭につながる情報を盗み出す、あるいはITシステムをダウンさせてビジネスにダメージを与えるといった目的を達成すべく、常に新たな攻撃手法を開発し、実行している。中国の孫子の古語に「兵に常勢無く・水に常形無し」という言葉がある。これは、水の形が常に一定では無いように、戦況は常に変化するという意味だが、これは企業や組織を狙う現代のセキュリティの脅威と対策にも当てはまる構図といえるだろう。

　かつてのサイバー攻撃は、攻撃者がスキルを誇示する目的で行うケースが一般的だった。不正プログラムを大規模に拡散させたり、コンピュータの画面に“いたずらメッセージ”を表示させたりというように目立つものばかりだ。しかし現代の攻撃者は、目的を達成するために幾つもの手口を複雑に組み合わせ、時には新たな手法を開発して、標的とする相手に全く気付かれないよう攻撃を実行してくる。

　例えば、「APT（Advanced Persistence Treat＝高度で持続的な脅威）」では攻撃者が標的の企業や組織へ侵入するために、まずSNSなどを使って侵入口となりそうな人物に関する情報を収集し、メールやSNSのメッセージでマルウェアを送り込む。マルウェアは標的に合わせてカスタマイズされていることが多く、感染時に未公開の脆弱性を悪用することも少なくない。

　さらに、相手のコンピュータへの侵入・感染に成功すると、長期間に渡ってそのコンピュータを踏み台にネットワークやシステムの深部に潜入、目的の情報を探り、密かに盗み出す。企業や組織が攻撃に気付いた時には、既に攻撃の発端から長い時間が経過しており、深刻な被害を受けているケースも珍しくない。その理由は、攻撃の手口や経路が複雑かつ巧妙であり、従来のセキュリティ対策を回避する技術にも長けているためだ。

　多くの企業や組織は、これまで新たな脅威が出現する度に、その脅威に立ち向かうための対策を導入してきた。ところが、バラバラに導入されたセキュリティ対策は一貫性を欠き、セキュリティ対策全体でみると実は隙間だらけになっている。その隙間を突く別の新たな脅威が出現し、隙間を防ぐための別の対策手法をさらに導入しようとする。こうしたアプローチを繰り返すばかりでは、いつまで経ってもセキュリティ対策全体でのレベルアップは望めない。

「多層防御」と「可視化」で一貫性のある対策

　複雑なセキュリティの脅威へ対処するには、セキュリティ対策全体に一貫性を持たせて個々の対策の隙間をできる限り埋め、全体的なセキュリティレベルを高めていく。そのアプローチとして近年注目されているものの1つが、「多層防御」という考え方だ。

　多層防御とは、複数のセキュリティ対策を重ね合わせることによって、複雑な脅威の侵入や脅威による被害を抑止していく方法である。個々のセキュリティ対策に“つながり”を持たせることで対策間の隙間を埋め、攻撃シナリオを崩し、脅威が及ぼす影響を食い止める。この多層防御を実現するためにチェック・ポイント・ソフトウェア・テクノロジーズは、「Software Blade」というアーキテクチャに基づく製品やセキュリティ防御情報基盤「ThreatCloud」によるソリューションを提供している。

Software Bladeによる基盤とセキュリティ防御情報基盤「ThreatCloud」の連携によって、ユーザーが協調、共闘していける対策環境を実現する

　Software Bladeは、個々のセキュリティ対策機能を提供するソフトウェアをブレードサーバに見立て、1つのプラットフォーム（セキュリティアプライアンス）にユーザーが必要に応じて機能を追加実装できるアーキテクチャだ。同社では定評のあるファイアウォールに加え、IPS（不正侵入防御）やアンチウイルス、アンチボット、アンチスパム、Webセキュリティといった様々なSoftware Blade製品やDDoS（分散型サービス妨害）向けの対策を用意する。

　ユーザーは、Software Bladeに基づくソリューションを活用して、導入済みの対策をベースに機能を拡張していくことにより、ネットワークにおけるセキュリティ対策全体に一貫性を持たせることができる。また、同社ではDDoS対策やWebセキュリティなど個別の対策機能として高負荷の処理に対応する専用アプライアンスも提供。ネットワークのゲートウェイ部でSoftware Bladeを利用した多層防御によるセキュリティ対策を実施し、インライン上には専用アプライアンスを配備して、局所的な脅威に特化した対策も一緒に組み合わせることができる。また、インライン上に導入できる同社のアプライアンスにより、同社以外のメーカーのソリューションが境界ゲートウェイとして導入されている場合にも、セキュリティ強化が実現可能だ。

　このSoftware Bladeによる多層防御の対策をより有効的に機能させるサービスがThreatCloudだ。ThreatCloudは、世界中のユーザーのゲートウェイやセンサなどから提供される脅威情報をクラウド上に集約し、これを分析して防御に必要な情報をユーザーへリアルタイムに配信する。この情報をアンチウイルス、アンチボットなどのSoftware Bladeに適用して、迅速に脅威をブロックする。

　進化が早い現代の脅威に、ThreatCloudのような仕組みは必須といえるだろう。例えば、ボットの発見を目的とした分析によって、ThreatCloudには2億8000万件以上のボットアドレスや1200万件以上のマルウェアのシグネチャ、100万件以上の不正サイトに関する情報が蓄積され1日平均15万以上の防御情報がアップデートされている。こうした膨大な情報は、ユーザー同士が協調できる環境が無ければ難しい。

Threat Emulationにおける未知の脅威を解析するフロー

　さらに同社は、新しいSoftware Bladeである「Threat Emulation」により、標的型サイバー攻撃などで使用される未知の脅威を検知するソリューションを提供し、ThreatCloudの連携によってさらに効果を上げている。

Threat Emulationでは「サンドボックス」と呼ばれる仮想的なコンピュータ環境の内部で標的型マルウェアなどが疑われるファイルを解析し、実際にマルウェアであるかを特定する。ユーザーは、Threat EmulationのSoftware Bladeを利用して自社のネットワークで解析を行ったり、あるいはThreatCloudサービスで提供されるオンライン上のサンドボックス環境でも解析できる。

　サンドボックスによる解析で未知の脅威を検知する仕組みは他にもあるが、同社によればThreat Emulationは、大規模なシステムを必要とすることなく簡単に導入でき、検知だけではなく、発見された新しいマルウェアをブロックできることが特徴だ。

Threat EmulationではMTA(Mail Transfer Agent)機能も利用でき、解析時間によってメールの通信に影響が出ないような工夫もされている。また、解析可能なファイル形式ではMicrosoft Office 2010までのオフィスソフトやPDF、Zip、EXE形式など、日本のビジネスシーンでも頻繁な利用される形式に幅広く対応する。

Threat Emulationではサンドボックス解析に対するユーザーの不安を払拭している

　実際に、2013年10月にはThreat Emulationを通じて欧州連合（EU）の関連機関を狙う標的型サイバー攻撃が検知された。この機関では外部から送信されてくる全ての文書ファイルをThreat Emulationで解析しているが、解析した文書ファイルの中に、記載のURLを受信者にクリックさせてマルウェアを受信者のコンピュータに送り込む攻撃が見つかった。

　チェック・ポイントでは同機関から提供された解析情報を、ThreatCloudを通じて世界のユーザーに配信。その結果、わずか5日間でこの攻撃に関連するとみられる500件以上もののイベントが検知され、140以上のドメインとの不正な通信が行われていることも判明した。

　チェック・ポイントによれば、この攻撃に使われたマルウェアを検知できるアンチウイルスソフト製品は、当時では46製品中4製品しかなく、受信者のコンピュータにマルウェアを送り込むためのURLの文字列もファイルごとに異なるなど、攻撃者が既存のセキュリティ製品の検知を逃れる細工をしていたことも分かった。この攻撃にみられるような複雑な脅威をThreatCloudやThreat Emulationによるソリューションで短期間に検知し、防御できるようになったと出来事である。

　2014年2月上旬現在、Threat Emulationでは多い日には1日に50件前後の新たな脅威を検知しており、月間では数百件に上る。同社のユーザーがこの攻撃にみられるような複雑な脅威を短い期間で検知し、防御できるのは、やはりThreatCloudやThreat Emulationなどを活用して着実にセキュリティ対策をレベルアップさせてきたからこそと言えるだろう（最新情報はこちらでチェックできる）。

まずは自社のセキュリティリスクを知るべし

　複雑化するばかりの脅威には、「多層防御」による堅牢性と一貫性を兼ね備えたセキュリティ対策基盤が有効だ。その実現に向けてお勧めしたいのがチェック・ポイントの提供している無償の「3D Security分析レポート」である。同社のセキュリティアプライアンスをネットワークのミラーポートに接続し、1日から1週間程度運用してみることで、自社のネットワーク環境がどんなセキュリティリスクに晒されているのかを知ることができるだろう。

　このレポートからは、社内に潜んでいるマルウェアの有無といったセキュリティの脅威はもちろん、脅威になる恐れのあるネットワーク上でのアプリケーションの利用実態も分かる。例えば、通信内容からアプリケーションを可視化する次世代ファイアウォールを活用して、マルウェア感染や情報漏えいなどの温床となる恐れのあるP2Pや業務とは関係性の低いSNSなどのアプリケーションが社内でどの程度利用されているのかを把握し、ユーザーの社員に注意を喚起するなども対応も取れるだろう。

3D Security分析レポートの一例

　3D Security分析レポートもソースに含まれる同社が2013年に発行した「セキュリティ・レポート 2013」によると、何と61％の組織でP2Pユーザーの存在が認められ、47％の組織では通信者の身元などを隠す「アノニマイザソフト」を使う社員がいることも分かった。マルウェアのダウンロードが行われていた組織も53％に上っていた。

　3D Security分析レポートではこうしたリスクを見つけ出して、チェック・ポイントが解説を交えながら、必要な対応策を提案してくれる。自社を取り巻くセキュリティの脅威やリスクを理解し、「多層防御」による効果的なセキュリティ対策を実現していくためにも、ぜひ3D Security分析レポートを活用してはいかがだろうか。