こういった攻撃には、どのような対策を実施すればよいだろうか。
まずは、必要だと思われる防御をざっくり、表に書き込んでいこう。実際に導入するかどうかはさておき、防御の理想形を描くことが目的だ。
次に、現在行っている具体的な対策や使用している機器を書き込んでいく。現場では、より具体的な対策を記述することが多い。例えば、Active Directoryで利用するアプリケーションの制限を行っている場合は、「B-5.アプリのホワイトリスト」の欄に「Active Directory グループポリシーで実行可能なアプリケーションを設定」という具合に記入する。
記入を進めていくと、セキュリティの理想形と現状とのギャップが浮き彫りになってくるだろう。空欄や記入の少ない部分が防御の手薄な分野だといえる。防御の薄い部分をどう補強すべきか。時間や予算といったリソースをふまえて、セキュリティの「現実解」を模索することが、セキュリティ担当者のミッションとなる。
ホストセキュリティ(上図の緑色のセル)については、ホストIPS(不正侵入防御システム)が有効なケースが多い。最近は、多機能なエンドポイント・セキュリティ製品が主流で、ホストIPS機能を含むタイプも増えている。多機能であるがゆえに対策目的が分かりづらい製品(またはサービス)もあり、導入をためらってしまうかもしれない。しかし、事例から分かるように、標的の手元に攻撃メールが届いてしまっているということは、サイバーキルチェーンにおける「エクスプロイト」の寸前であり、攻撃が深化している危険な状況だ。この場合は、エンドポイント・セキュリティこそが“最後の砦”とも言える。標的型攻撃には、エンドポイント・セキュリティが非常に有効な対策であることをぜひ心に留めてほしい。
一方、ネットワークセキュリティ(上図の青色のセル)は既に実施済みの対策が多いかもしれない。基本的な対策であっても疎かにせず、ソフトウェアの更新やポリシーの見直しといった日々の運用も欠かせないセキュリティ対策の一つだ。特に、サンドボックスがあれば、使い捨ての仮想マシン上で添付ファイルをまず開き、その安全性を確認する。サンドボックスの導入は、標的型メール攻撃の被害に遭う確率を大きく低下させる。しかし、最近のマルウェアには、実行環境を識別し、サンドボックス内では攻撃的な振る舞いを控え、チェックをすり抜けようとするタイプもある。やはり、単一の防御策で攻撃を防ぎ切ることはできないのだ。
多額の予算を費やしても、一点豪華主義の防御ではあまり意味が無い。サイバーキルチェーンと多層防御をしっかり理解した上で、はじめて”セキュリティの迷子”を卒業できる。セキュリティ対策の第一歩は、紙とペンでセキュリティの「見える化」を行うことだ。今回紹介した「多層防御の見える化テンプレート」が、より現実的な対策を考える一助となれば幸いである。
執筆者紹介:香取弘徳(かとり ひろのり)
NHN テコラス株式会社 データホテル事業本部SE部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた経験を持つ。現在はフルマネージドホスティングや支援アプリケーションの開発を担当。“Secured Hosting”をテーマに、新プラットフォームの開発にも取り組んでいる。
Copyright © ITmedia, Inc. All Rights Reserved.