ヤマダの標的型攻撃対策/セミナーレポート(後編)次世代ツールがリスクも手間も削減
エンドポイントにも多層防御が必要

日本ユニシスとの協業により開催された「標的型攻撃対策セミナー」のセッション2とセッション3は、セッション1の講演ポイントである「侵入を前提に多層化防御を考える」というコンセプトを具現化するツールなどが紹介されました。

次世代の新技術がセキュリティの課題を解決

セッション2のテーマは、「セキュリティも働き方改革!~スマートアンドオートメーションセキュリティとは?~」です。世界150以上の国に3万7500社以上の顧客を持つパロアルトネットワークス(*1)のシニアプロダクトマーケティングマネージャーの広瀬努氏が講演を行いました。
(*1)パロアルトネットワークスは2005年設立。当初、ファイアウォールを中心に手掛け、現在はエンドポイントやSaaSアプリケーション向けセキュリティ、クラウドサービスのセキュリティなど幅広い製品やサービスを提供する総合セキュリティベンダーとして展開。同社のマーク・マクローリーCEOは、セキュリティベンダーの同盟となる「サイバースレッドアライアンス」の立ち上げに関わり、国家安全保障局通信諮問委員会(NSTAC)の初代委員長に就くなど、米国におけるセキュリティ分野をけん引している

セッションの前半、まず広瀬氏はサイバー攻撃の現状について海外のインシデント事例などを交えながら解説。標的型攻撃などへのセキュリティ対策について、以下のようなポイントを掲げました。

・外部の委託業者や子会社なども含めたセキュリティネットワークを構築する必要がある

・情報流出事件が発生した場合の報告は、意味が伝わるよう社内で標準化しておく必要がある(インシデント発生時に専門用語だらけの情報では各部署を動かすことができない)

・情報セキュリティの専門スタッフを充実させる(単に人数を増やすということではなく、リソースの適材適所を考慮)

さらに、情報の共有やシステム連携の重要性を指摘すると共に、やはり多層防御が不可欠な取り組みであることを改めて強調しました。「軍事防衛システムが攻撃手法に合わせてミサイルや戦車を配備しているように、サイバー攻撃に対しても攻撃ごとに適したシステムを用意してセキュリティを強化する多層防御が欠かせない」と広瀬氏。ただし、「どれほど個々のセキュリティを強化しても、それぞれが連携して適切に動かないと防御システムとしては働かない」と語りました。

しかし、「現状における個々のセキュリティ対策は企業内で連携されていないことが大きな問題」と断じました。攻撃対象や手法の複雑化に伴い、その対策もファイアウォールやIPS(不正侵入防御システム)、URLフィルタリング、サンドボックス、エンドポイントセキュリティなど、インターネット黎明期から技術の継ぎ足しで多様化。しかも企業内部では様々なベンダーの製品が混在しているため、各ツールの連携が取れずに被害の拡大を止めることが困難な状況に陥っているといいます。

●セキュリティ対策ツールが孤立して連携していないと被害の拡大は止めきれない。画像はセミナー資料より引用

また、セキュリティについて企業が直面している共通課題として、ブラックリストやホワイトリストの管理、ログ管理、ベンダー間調整などがマニュアルオペレーションにより運用され、人手がかかり過ぎていることを指摘。セキュリティは生産性に寄与しないコストだけに、必要以上に人手をかけるのは企業成長の阻害要因にもなりかねません。

こうした課題の解決に役立つのが、技術革新により実現される新しいセキュリティソリューション(スマートオートメーション)によるプラットフォーム化だとしています。

その一例として、パロアルトネットワークスが手掛ける次世代ファイアウォールが紹介されました。ファイアウォールとしての基本機能に加え、IPS、URLフィルターなどの機能も1台に集約されています。独自のトラフィック分析技術により、ネットワークを流れるすべてのアプリケーションを可視化。既知の脅威をリアルタイムに検知・防御するのはもちろん、未知の脅威に対してはインテリジェンスクラウド型サンドボックス「WildFire(ワイルドファイア)」の実行環境でリアルタイムにAI解析を行い、結果を防御機構に自動的にフィードバックするといったことが特徴です。

セッション1で講演を行った日本ユニシスの永野田淳一氏も、パロアルトネットワークスの次世代ファイアウォールについて「検知されたマルウエアに対するシグネチャが5分間隔で配信されるので、一般的なファイアウォール製品ではすり抜けてしまう可能性のあるマルウエアを阻止できる確率は高い」と評しています。

多層防御としては、「ネットワーク境界を守るファイアウォールだけでなくエンドポイント対策も必要」と広瀬氏。同社の次世代エンドポイントセキュリティ「Traps(トラップス)」にも触れ、トータルでセキュリティプラットフォームを構築できることに言及してセッションを締めくくりました。

標的型攻撃対策の最後の砦「エンドポイント」

セッション3は、「エンドポイントにも多層防御化~FFRI yaraiを付加したこれからのハイブリッド防御~」がテーマ。FFRIのセキュリティ本部・執行役員・プロダクトソリューション部長の川原一郎氏が登壇しました。

FFRIは日本発のサイバーセキュリティ企業。同分野では欧米企業が圧倒的に多いことを問題視し、もともと海外ベンダーで働いていた鵜飼裕司社長が「日本の技術で日本の企業を守りたい」との思いで設立しました。

講演では、近年のサイバーセキュリティ事件がいくつか紹介され、いずれも既存のセキュリティ対策だけでは守り切れなかったと指摘。その理由として「セキュリティの常識が変化している」といい、以下のような具体例を挙げています。

・PCを最新の状態にしていても、未知の脆弱性を悪用した攻撃

・ウイルス対策ソフトを最新の状態にしても、マルウエアの激増と進化により効果は限定的

・怪しいWebサイトを開かなくとも、正規Webサイトの改ざんが多発

・不審メッセージは開かないと意識しても、巧妙なソーシャルエンジニアリングにより騙される

・出所不明なソフトやアプリをダウンロードしないと意識しても、大手メーカーのアップデートサーバーの改ざんや偽アプリがまん延

こうした変化の背景として、サイバー犯罪が産業(ビジネス)化されていることを挙げています。例えば、サイバー攻撃を行うためのSaaS型サービスさえも存在しているとのこと。話題のランサムウエアでは、その作成からばら撒き、Bitcoinによる身代金の徴収まで対応。Chatなどでのサポートサービスまで用意されているそうです。サービス提供者は、対価として身代金収入の20~30%を徴収するといったビジネスが成立しています。

サイバー攻撃の多くはメールを起点としており、しかも巧妙化する一方であることから「不審なメールは開かない」との注意喚起や教育だけでは防ぎ切れません。さらに、気づかれないように多段階攻撃で侵入してくるので、どこか一カ所だけを防御すれよいというものではなく、多層防御の必要性を強調。その中でもエンドポイント(利用者端末)対策は、「ここで防御できれば被害が広がらない」という点で非常に重要であると指摘しました。

こうした発想に基づき開発されたエンドポイント対策ソフトウエアが「FFRI yarai(ヤライ)」です。セキュリティ要件が厳しい官公庁を中心に、契約台数ベースで約70万台が稼働しています。

yaraiでは、防御をすり抜けられてしまうリスクがある定義ファイルによるパターンマッチング技術ではなく、特徴や振る舞いを監視・検知することにより未知の脅威に対応する「先読み防御技術」を採用。先読み防御は、「ZDPエンジン」「Static分析エンジン」「Sandboxエンジン」「HIPSエンジン」「機械学習エンジン」という5つの振る舞い検知エンジンで構成されています。

各エンジンの役割を簡単に説明すると、同社が特許を持つ「ZDPエンジン」はアプリケーションを脆弱性攻撃から防御します。「Static分析エンジン」は端末上に作れられたファイルの特徴からマルウエアかどうかを判断。ここでグレーと判断されたものは「Sandboxエンジン」に引き継がれ、さらに詳細な分析が行われます。そして、「HIPSエンジン」と「機械学習エンジン」は、端末上で動いているアプリケーションを監視しています。エンドポイント上で、様々な角度やレイヤーから多層的にサイバー攻撃を防御できることが、yaraiの大きな特徴といえるのではないでしょうか。

川原氏は、yaraiの実際の防御力にも言及。日本年金機構を狙ったマルウエアや2017年5月に世界的流行となったランサムウエア「WannaCry」を使い、実際に感染を防げるかどうかを検証しました。いずれも被害発生以前にリリースされた旧バージョンにより、未知のマルウエアとして測定した結果、しっかりと感染を防御。高い防御性能が実証されています。

エンドポイント向けのサイバー攻撃対策ソフトには様々なタイプが用意されていますが、既知はもちろん、多層防御により未知のマルウエアにも強いyaraiは、導入を検討したい製品の選択肢のトップに名前を挙げてもよいのではないでしょうか。ぜひ注目してください。(長谷川丈一)