ヤマダ電機のソリューション提案「内部侵入」前提の対策が不可欠
次世代の新技術による“多層化防御”

猛威を振るうランサムウエアや急増する標的型攻撃など、事業者の重要情報が危険にさらされている。その対策が急務とされる中、ヤマダ電機法人事業本部は日本ユニシスとの協業による「標的型攻撃対策セミナー」を開催した。

高度化・巧妙化するサイバー攻撃

同セミナーは3つのセッションで構成され、いずれにも共通するキーワードは“多層防御”だ。

日本ユニシスの永野田淳一氏は「これからは内部侵入を前提とした多層防御による対策が欠かせない。侵入をゼロにするのではなく、攻撃が成功する可能性をできる限りゼロに近づけるという考え方が大切である」と指摘している。

これまでのセキュリティ対策といえば、マルウエアへの感染や不正アクセスをいかに未然に防ぐか(境界型セキュリティ)が一般的な考え方であっただけに、「侵入を前提とする」という発想は斬新といえる。

その理由は表に掲げた通り。サイバー攻撃は高度化・巧妙化し、従来の境界型セキュリティだけでは感染を完全に防ぐことは難しくなり、内部侵入も想定する必要があるわけだ。これは内閣サイバーセキュリティセンターや経済産業省、民間の大手セキュリティベンダーなども指摘しており、主流の考え方となっていくことは間違いないだろう。

では、内部侵入を前提としたセキュリティ対策とは、どのようなものなのか。具体的には①守るべき重要資産の特定、②多層防御措置、③マルウエア感染リスクの低減、④ネットワークのセグメント分割、⑤早期発見・早期対応──この5つだ。

最初に取り組むべきことは、①守るべき重要資産の特定である。自社にとって「重要情報は何か」「どこにあるか」「対策の状況」を整理し、守るべき情報を集約して防御するという選択と集中を行う。これにより、社内に重要情報が点在することでの防御漏れや、対策コストの高騰を防げる。

■表 内部侵入を前提とした対策が必要な主な理由

(1)パターンマッチングによるウイルス対策ソフト、IPS(不正侵入予防システム)やIDS(不正侵入検知システム)は、既知のマルウエアには効果的だが新種を防御し切れない
(2)犯罪者はウイルス対策ソフトによりテストした上でサイバー攻撃を仕掛けてくるので、検知が難しくなっている
(3)マルウエアの実行ファイルの配布やアイコン偽装、拡張子偽装など、脆弱性を悪用しない手口が増えている
(4)情報窃取を狙う攻撃では、感染しても気づかれないようなマルウエアを送り込んでくるため、感染を発見しにくい
(5)セキュリティ教育や標的型メールを見分ける訓練をしても、攻撃が巧妙化していることから、人的ミスや判断遅れのリスクがある

システムごとに対策を導入

その上で、ゲートウェイや社内ネットワーク、エンドポイント(利用者端末)など、システムのレイヤーごとにセキュリティ対策を講じる(②多層防御/図)。

多層防御は巧妙な標的型攻撃などを防ぐのはもちろん、サイバー犯罪者に内部侵入された場合でもシステム探索が困難になるため、情報窃取を断念させる効果もある。例えば、「システム内を40時間探索して情報が見つからなければ、6割の犯罪者が窃取をあきらめる」という。

セキュリティ製品を選ぶポイントとして、「ゲートウェイ製品やサンドボックス製品などは未知のマルウエアに強いものを選ぶことが大事」といい、「最後の砦となるエンドポイント対策については特にこの点を重視したい」とのこと。詳細は後述する。

内部侵入が前提とはいえ、従来型のセキュリティ対策により、③マルウエア感染リスクの低減に取り組むことも欠かせない。

既知のマルウエアや脆弱性を狙った攻撃もまだまだ多く、これまで通りの基本的なセキュリティ対策や人的教育も有効であるからだ。実際、「アプリのホワイトリスト化」や「アプリとOSへの最新パッチ適用」といった対策だけでも、85%のサイバー攻撃を防御できると報告されている。

万一、内部侵入された場合、その被害を最小限に抑える対策が④ネットワークのセグメント分割と⑤早期発見・早期対応だ。

社内LANは一律にネットワーク化するのではなく、例えば「ユーザーセグメント」「サーバーセグメント」「運用管理セグメント」など、重要度に応じて分離し、特に重要なセグメントはインターネットに接続させない。さらに、セグメント間の不要な通信を制限したり、運用端末からはウエブ閲覧やメール送受信を禁止したりといった対策が求められる。

また、社内の通信ログの収集と分析により、いち早く内部侵入を発見することが可能だ。例えば、「一般的にはあり得ない社内におけるPC同士の内部間通信や接続が見つかれば、マルウエアによる遠隔操作の可能性がある」と判断できる。継続的(最低6カ月以上)なログ保存が望ましいという。

こうしたセキュリティ対策を講じる上で、永野田氏は「攻撃が巧妙化かつ高度化している中では人的対策には限界がある。そこは自動化やシステム化により人的関与や判断を最小限にとどめてカバーするしかない」と指摘した。

次世代の新技術が課題解決

セミナーで攻撃対策の自動化やシステム化が可能な多層防御対策ツールとして紹介された製品が、パロアルトネットワークスの「次世代ファイアウォール」とFFRIのエンドポイントセキュリティ対策ソフト「yarai(ヤライ)」だ。

パロアルトネットワークスの次世代ファイアウォールは、基本機能に加えて、IPS(不正侵入予防システム)やURLフィルタリングなど、一般的には分散して設置されていることの多い機能を1台に集約。独自のトラフィック分析技術により、ネットワークを流れるすべてのアプリケーションを可視化することができる。

既知の攻撃に対しては、リアルタイムに検知・防御し、未知の脅威についてはインテリジェンスクラウド型サンドボックス「WildFire(ワイルドファイア)」の実行環境でリアルタイムにAI解析を行い、結果を防御機構に自動的にフィードバックすることにより防ぐ。

同社の広瀬努氏は、「現状における個々のセキュリティ対策は企業内で連携されておらず、被害の拡大を止められないことと、運用に人手がかかり過ぎていることが大きな問題だ」といい、これらを解決するには新しい技術によるスマートオートメーション化が欠かせないと指摘する。

一方、日本発のサイバーセキュリティベンダーであるFFRIのyaraiは未知の攻撃に強いことでユーザーからの評価が高く、セキュリティ要件が厳しい官公庁を中心に、契約台数ベースで約70万台が稼働しているという。

多層防御はシステムのレイヤーごとに対策を講じるわけだが、特にエンドポイントは「ここで防御できれば被害が広がらないという点で非常に重要」(FFRIの川原一郎氏)である。この発想に基づいて開発された製品がyaraiだ。

このため、定義ファイルによるパターンマッチングではなく、特徴や振る舞いを監視・検知して未知の脅威に対応する「先読み防御技術」を採用。特許を取得した「ZDP」をはじめ、「Static分析」や「Sandbox」など、5つの振る舞い検知エンジンが連携して既知のマルウエアはもちろん、未知の攻撃からもシステムを防御する。

エンドポイント上において、様々なサイバー攻撃から多層的に守れることが、FFRI yaraiの大きな特徴といえそうだ。