毎日数百通を超える標的型メールを検知し遮断、NECの知見を生かしたサイバー攻撃対策

数多くの大規模プロジェクトを手掛けるNECには、機密情報を狙う標的型メールが毎日送り付けられているという。NECでは長年に渡ってサイバー攻撃の脅威から情報の安全を守るノウハウを蓄積。そのノウハウを生かして同社が提供しているサイバー攻撃対策ソリューションを紹介しよう。

[PR／ITmedia]

PR

　機密情報を搾取する標的型サイバー攻撃は、いまや企業や組織にとって深刻な脅威だ。企業や組織ではさまざまなセキュリティ対策が講じられているが、標的型サイバー攻撃に対する有効な防御策になり得ていない。そこにはどんな課題があるのだろうか。2015年12月11日に開催されたITmedia エンタープライズソリューションセミナー「ビジネスを脅かす標的型攻撃対策 再点検のススメ」ではNEC サイバーセキュリティ戦略本部 シニアエキスパートの石山明浩氏が、同社が実践するサイバー攻撃対策と、そのノウハウをベースに提供している「NEC Cyber Security Platform」をはじめとするセキュリティソリューションについて紹介した。

サイバー攻撃の姿を知る

　ここ数年は、標的型サイバー攻撃による情報漏えいなどの大規模な事故が世界各地で発生している。2015年は国内でも標的型サイバー攻撃による大規模な情報漏えい事故が発生してしまった。

NEC サイバーセキュリティ戦略本部 シニアエキスパート 石山明浩氏

　この状況に石山氏は、「過去数年にわたって発生した事故に対し、『日本では起きないだろう』『他の会社での出来事でわが社には関係ない』といった意識があったのではないか。各種事故での危機管理の反省が生かされず、その後も事故が続けざまに発生してしまっている」と指摘する。

　標的型サイバー攻撃は、その手口が非常に巧妙かつ複雑であり、狙われた企業や組織が被害に気が付くまで長い時間を要するといわれる。標的型サイバー攻撃への対策を講じるには、まず脅威の姿を理解することが不可欠だ。

　攻撃に使用されるマルウェアは、攻撃者の設置する「C&Cサーバ」（コマンド＆コントロールサーバ）と通信をしながら、攻撃者の命令を受けて不正な行為を働いたり、搾取した機密情報を送信したりする。石山氏によると、従来の標的型サイバー攻撃ではC&Cサーバが国外に設置される場合が多かったものの、現在では国内の企業や教育機関に密かに設置されている場合が多いという。

巧妙な手口を用いる現代の標的型サイバー攻撃は、古代のトロイア戦争と似た特徴がいくつもみられる

　また、標的型サイバー攻撃のマルウェアはコンピュータの脆弱性を突いて感染するケースも多い。米国機関の調査によれば、既知の脆弱性を修正パッチでふさぐことができれば85％のサイバー攻撃を防御できるという。しかし、修正パッチの適用がシステムの動作に影響を与える可能性もあり、慎重に対応せざるを得ないこともあるだろう。

　「標的型サイバー攻撃ではPCやファイルサーバ、メールといったシステムのユーザーアカウントが狙われる。特にActive Directoryのようなシステムが攻撃の被害に遭うと、手の打ちようがないだろう」（石山氏）

　さらに、最近の標的型サイバー攻撃では脆弱性を悪用せずにコンピュータに感染するマルウェアも使われるようになった。いまや標的型サイバー攻撃は、高度な技術を持つ犯罪組織によって実行されており、標的にした企業や組織の弱点を確実に突いてくる。

多層防御とマネジメントで脅威に備える

　このように、巧妙で複雑な標的型サイバー攻撃の脅威を防ぐことは容易ではない。そこで提唱されているのが、「多層防御」と呼ばれる複数のセキュリティ対策を多層的に配置して機密情報の安全性を守るアプローチだ。

　「多層防御」ではWebやメールなどを通じて企業や組織の内部へ侵入を試みる脅威を検知・遮断（入口対策）し、万一侵入を許しても内部で脅威を検知し、マルウェアとC&Cサーバとの通信やマルウェアの感染拡大といった不正な行動を阻止する（内部対策、出口対策）。さらに、外部への情報漏えい後でも犯罪者に悪用させない方法を講じる。

　また、多層防御を構成するセキュリティ対策の導入だけでは不十分だといえる。標的型サイバー攻撃に対する有効な防御手段として機能させるには、各種対策を日々適切に運用することが不可欠であり、そこでは「マネジメント」の視点も求められる。

標的型攻撃を防ぐには『多層的な対策』と『対策をマネジメントする仕組み』が不可欠だ

　「サイバー攻撃の脅威へ迅速に対応するには、例えば、脆弱性を抱えるサーバがいくつあり、修正パッチを適用していないものが何台存在するのかといった状況を普段から把握して、多層防御のセキュリティ対策を活用しながら適切な防御を講じることが必要です」（石山氏）

　石山氏によれば、NECでは数多くの大規模プロジェクトを手掛けているだけに、同社を狙うマルウェアが添付された標的型メールが毎日数百通も送り付けられている。NECでは多層防御のセキュリティ対策とセキュリティ対策のマネジメントシステムを組み合わせた運用を長年にわたって実践しており、膨大な数の未知の脅威から社内の機密情報を守っているという。

リスクの可視化で適切なインシデント対応を支援

　ここまで石山氏が述べたように、巧妙かつ複雑なサイバー攻撃の脅威から情報漏えいなどの被害を防ぐには、多層防御とマネジメントの組み合わせによって脅威を迅速に把握し、適切に対処することが不可欠だ。そこでNECは、社内実践を通じて膨大に蓄積されたサイバー攻撃対策のノウハウをベースに、セキュリティの脅威の可視化からインシデント対応までを支援する「NEC Cyber Security Platform」を提供している。

　NEC Cyber Security Platformは、NEC社内で12年前から運用するセキュリティ対策のマネジメントプラットフォームを製品化し、企業におけるサイバー攻撃対策のマネジメントシステムを構築するためのソリューションとして開発されたものだ。同社が有するセキュリティの脅威に関する知見や脆弱性管理などのノウハウと、国内外のセキュリティ機関やベンダー各社から提供される最新のサイバーセキュリティ情報を利用して企業・組織内部に潜む脅威の可視化と評価を行い、迅速なインシデント対応のための活動を支援する。

NEC Cyber Security Platformの全体像

　サイバーセキュリティは企業や組織の経営課題としても広く認識されるようになっている。例えば、経営層が現場に対して「社内システムにおける脆弱性の影響を早急に報告せよ」と指示することが珍しくない。もし社内システムの脆弱性状況を把握していないなら、影響範囲などの調査やその特定および評価のための作業に膨大な時間と労力をかけなくてはならない。

　NEC Cyber Security PlatformはPCやサーバ、ネットワーク機器などにインストールするエージェントと管理サーバから構成され、NECのサイバーインテリジェンス基盤と連携する。サイバーインテリジェンス基盤から提供される最新情報をもとに、エージェント側で脆弱性のチェックを定期もしくはオンデマンドで実行でき、その結果を管理サーバで集約、システム管理者は社内のIT資産のリスク状況を迅速かつ正確に把握できる。

　「例えば、2014年4月に発覚したOpenSSLの脆弱性（通称Heartbleed問題）では5月の長期休暇にもかかわらず、システム管理者が自社の影響調査などの対応に追われる事態が相次ぎました。NEC Cyber Security Platformでは、例えばライブラリのバージョンや設定ファイルも含めて調査して脆弱性の影響を迅速かつ詳細に評価し、脆弱性を悪用する攻撃を防ぐまでの対応を速やかに実施できます」（石山氏）

　NECでは社内にある約18万台のPCやサーバのリスク状況をわずか1時間程度で把握できる運用体制を実現しているとのことだ。

　マルウェアが検知された場合は、感染端末を特定して自動的に検疫モードへ移行し、ネットワークから遮断することで被害の拡大を食い止める。自身を消去するタイプのマルウェアであってもその痕跡を発見するため、インシデント対応における調査や分析も行える。

NEC Cyber Security Platformは組織CSIRTの意思決定を支えるプラットフォームにもなる

　石山氏によれば、NEC Cyber Security Platformは企業や組織のCSIRT活動における意思決定をサポートするシステムになるという。いざ標的型サイバー攻撃に直面すれば、事実の確認や感染端末の特定、影響範囲の調査、被害抑止策の実施といった行動や意思決定を速やかに行わなければならなくなる。そこで、平時および有事における情報収集・セキュリティ対策のプラットフォームとしてNEC Cyber Security Platformを活用すれば、CSIRTはセキュリティ事故を未然に防ぎ、万一事故が発生した際でも被害抑止のための行動に専念できるようになる。

課題解決を支援するセキュリティサービス

　また、NECでは企業や組織のさまざまなセキュリティ課題の解決を支援するサービスも提供している。特に標的型攻撃対策として注目したいのが、「クラウドメールセキュリティサービス」「セキュリティゲートウェイサービス」「仮想パッチ管理サービス」「クラウドWAF（Webアプリケーションファイアウォール）サービス」だ。

企業や組織に応じた対策を講じられるNECのセキュリティサービス

　クラウドメールセキュリティサービスではユーザーあてに送信されるメールについて、NECのデータセンターの仮想環境でウイルスチェックや挙動解析などを行うことにより、なりすましの手口を使うような高度な標的型メールの脅威からユーザーを保護する。企業から送信されるメールについても誤送信対策やIRMによる保護といったセキュリティを提供している。

　セキュリティゲートウェイサービスは、企業からのWebアクセスをNECのデータセンター経由で行うことにより、通信の安全性を確保。同社が次世代ファイアウォールやIPS/IDS（不正侵入検知／防御システム）などを利用した監視やインシデントの検知・分析、対策などを行うサービスだ。仮想パッチ管理サービスではトレンドマイクロのソリューションを活用して顧客のサーバをNECが監視し、脆弱性を悪用する攻撃の通信を遮断する。クラウドWAFサービスではWebサーバやWebアプリケーションを狙う攻撃を防ぐWAFの運用監視をNECの専門家が実施するため、Webのセキュリティ対策に詳しくない企業でもすぐに利用できる。

　NEC Cyber Security Platformとこれらのセキュリティサービスを組み合わせることにより、企業や組織は自分たちのビジネス環境に即したセキュリティ対策を柔軟に講じることも可能だ。標的型サイバー攻撃の脅威に立ち向かい続けるNECのノウハウに基づいたセキュリティソリューションは、日本の企業や組織の情報セキュリティ対策の一助となるだろう。