基幹システム×クローズド環境を守る パターンファイル不要のウイルス対策「ロックダウン」：緊急レポート「基幹システム×クローズド環境」のセキュリティ

インターネットに直接アクセスしないクローズド環境は、ウイルスの侵入機会が限定されるため、これまでセキュリティリスクは低いと考えられてきた。しかし近年、USBメモリや限定的に接続された社内ネットワークなどを介したウイルス感染事例が増加。クローズド環境内で運用されている、稼働を重視したり機密性の高い情報を扱ったりする基幹システムが被害に遭うことで、ビジネスの重大危機に直面する企業が続出している。こうしたリスクを未然に防ぐため、企業がとるべきアプローチとは。

[PR／ITmedia]

PR

高まるクローズド環境のセキュリティ脅威　基幹システムを脅威からどう守るか

　企業活動のあらゆる面でITが必須となった現在、ウイルスや重要情報を狙う攻撃といった脅威も、日々巧妙化・悪質化している。脅威は、様々な手口でシステムに侵入し、機器の不具合や情報漏えいといった、ビジネス継続性をゆるがすような被害をもたらす。

　これに対し、企業や自治体組織は各種セキュリティ対策製品を活用することで対策を実施。また、特に稼働を重視したり機密性の高い情報を扱ったりする基幹システムについては、インターネットに直接アクセスしない環境（以下、クローズド環境）で運用することで、安全性を高めてきた。具体的には、金融機関のATM、小売業で用いられるPOSシステム、あるいは自治体の住民情報を扱うシステムなどがその例だ。

　しかし近年、このクローズド環境におけるセキュリティリスクの高まりが指摘されている。

　USBメモリやポータブルHDDといった可搬媒体を介したウイルス感染が増加。特にUSBメモリは、社内でのデータの受け渡しや、機器の保守ベンダーによる作業時などに多用されており、そこから侵入した脅威が、システムを停止させるといった重大な被害をもたらす事例が報告されている。また、直接インターネットには接続していないものの、電子メールの送受信やインターネット接続が可能な通常の社内ネットワークと限定的につながっている環境において、社内ネットワークにある端末を介してウイルス感染が広がり、情報の漏えいを引き起こしたとみられる事例も報告されている。

　こうした状況の背景には、クローズド環境特有の「守りにくさ」も関係している。一般的なセキュリティ対策ソリューションは、パターンファイルの更新が必須となるため、インターネットに接続できない環境ではパターンファイルの更新が難しく、本来の効果が期待できない。もちろん、CD-Rなどを使って手動で更新作業を行うことも可能だが、頻度や工数を考えると現実的とは言い難い。加えて、稼働を重視するシステムは、パターンファイル更新の度に動作検証が必要。そのため、そもそもパターンファイルによってウイルス対策する製品自体を適用しにくいという事情もある。

　こうした制約を抱えるクローズド環境のシステムを、企業はどう守るべきか。

パターンファイル不要のウイルス対策　Trend Micro Safe Lock

　この課題に対し解決策を提示するのが、トレンドマイクロのウイルス対策ソフト「Trend Micro Safe Lock（以下、TMSL）」による「ロックダウン」のアプローチである。

　ロックダウンとは、「特定の用途にのみシステムを使用できるようにする」ということ。例えばTMSLの場合、あらかじめ許可リストに登録したアプリケーションのみ実行を許可することでウイルスや業務外アプリケーションなどの実行を防止したり、脆弱性を利用した攻撃による不正侵入・実行を防止したりする。これにより、USBメモリやネットワーク経由でのウイルスの侵入や、バッファオーバーランといったシステムの脆弱性を利用した攻撃、DLLインジェクション、APIフッキングといった攻撃、さらには未知の脅威^※1が侵入してきた場合も、その「実行」を食い止めることで、情報漏えいや稼働停止からシステムを守ることが可能となる。

　この製品の最大の特長は、パターンファイルを必要としない点にある^※2。これにより、クローズド環境でも問題なく効果を発揮できる上、大容量のパターンファイルの読み込みやウイルス検索によるパフォーマンスへの影響もない。ATMやPOSなどのミッションクリティカルなシステムを保護することができるのである。また各端末においては、指定したファイルやレジストリの変更を禁止する機能も備えているため、攻撃やユーザーの誤操作によって重要ファイルが改ざんされることで、攻撃の発見が遅れたり、基幹システムの稼働を不安定にしたりすることを防ぐこともできる。

■図1：Trend Micro Safe Lockの製品イメージ

特定用途のみにシステムを使用できるようにする「ロックダウン」で、端末を保護。パフォーマンスへの影響を抑えつつ、重要情報を扱うことも多いクローズド環境下のシステムを守る（クリックすると拡大）

大規模導入・リモート監視に対応　迅速な異常検知・原因分析も可能

　TMSLは、具体的には次のような構成で運用する。

　管理者は、エージェントと管理コンソールをワンセットで導入^※3。管理コンソール配下に、保護対象となる端末を置く（エージェントをインストールする）ことで、すべての保護対象端末の運用状況を一元的に把握することが可能となる。

　また、各エージェントが許可リスト未登録のEXEファイルやDLLファイル、スクリプトなどの実行をブロックした際は、当該ファイルを検体として管理コンソールに送り、代理ウイルス検索を行うことが可能。代理ウイルス検索は、管理コンソール側で実施されるため、エージェントが導入されている基幹システム側には負荷を与えない。また、解析結果を基に、ファイルを許可リストに登録する、隔離するといった操作も管理コンソール上で実行できるようになっている。

　さらに、エージェント側から送信されたログ情報を用いて、当該ファイルの「侵入経路」や「実行ルート」を図に起こす機能も搭載。イベント発生時の管理者通知機能とあわせて、発生原因の速やかな究明や再発防止策の検討も支援できる。

　2015年7月にはWindows Server 2003のサポートが終了する。アプリケーションの対応状況や移行コストの事情から、やむを得ずクローズド環境下で使い続けなければならないといった悩みを抱える企業は多いだろう。そうしたケースを含むクローズド環境のウイルス対策において、TMSLの「ロックダウン」は有力な選択肢となるはずだ。

■図2：Trend Micro Safe Lockの特長

2015年1月にリリースされたバージョン2.0では、集中監視や書き込み制御機能が新たに搭載され、これまで以上に安全性と運用性が向上している（クリックすると拡大）

※1　全ての未知の脅威に対応するものではありません。
※2　ウイルス対策を行うためのパターンファイルは不要です。ただし、エージェントの事前検索や管理コンソールの代理ウイルス検索を利用する場合は、パターンファイルが必要となります。なお、事前検索時に使用する検索エンジンやパターンファイルは、エージェントインストール後に削除されます。
※3　エージェントと管理コンソールがセットで提供される「TMSL スタンダード」の場合。エージェントのみ提供される「TMSL ライト」の場合は、管理コンソールの機能はご利用いただけません。

お問い合わせ

トレンドマイクロ株式会社

東京本社　〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー

TEL：03-5334-3601（法人お問い合わせ窓口） FAX：03-5334-3639

URL：http://www.trendmicro.co.jp/tmsl/

TREND MICROおよびTrend Micro Safe Lockは、トレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。本稿は、2015年2月現在の情報をもとに作成されたものです。今後、価格の変更、仕様の変更、バージョンアップ等により、内容の全部もしくは一部に変更が生じる可能性があります。