エンドポイントとネットワーク
それぞれのセキュリティアプローチ

　セキュリティソリューションは、端末にソフトウェアをインストールしてマルウェアを検知するタイプの製品と、ネットワークトラフィックを監視して攻撃の検知や遮断を行うタイプの製品に大別される。標的型攻撃に対応するという観点で、それぞれの導入にあたってのポイントを探る。


●定義ファイルに頼らず新種のマルウェアも発見可能

　定義ファイルの内容と合致するプログラムをマルウェアと判定するパターンマッチング型のウイルス対策ソフトは、前述の通り、多くの標的型攻撃に対して無力だ。セキュリティ業界では「ウイルス対策ソフトの役割は終わった」という意見も散見されるようになったが、パターンマッチング以外の技術を用いることで、新種のマルウェアも発見可能なセキュリティソフトもある。

　その代表例が、国内ベンダーのFFRIが開発する「FFR yarai」だ。yaraiは「振る舞い検知型」と呼ばれるタイプのセキュリティソフトで、プログラムの挙動や構造を分析することでマルウェアを判定する。パターンマッチング型の対策ソフトは定義ファイルに反映されるまで新種のマルウェアを検出できないが、yaraiはそもそも定義ファイルを使用せず、未知のマルウェアにも対応できるのが特徴となっている。導入ユーザーは官公庁や、電力など重要インフラ企業が中心だが、最近は一般企業からの引き合いも増えているという。

　「検出できない未知のマルウェアはない」という証明を行うことは理論的に不可能だが、今回、年金機構を狙ったマルウェアの「Emdivi（エンディビ）」についていえば、現在のyaraiはもちろん、昨年8月にリリースした前バージョンでも検出可能だったことが確認されたという。

　FFRIの鵜飼裕司社長は、「セキュリティ人材が足りないといわれるが、専門的な知識をもった人材は簡単には増えない」と話し、多くの組織でセキュリティ専任の担当者を設置することが現実的に難しい以上、脅威への対応回数自体を極力減らすことが求められていると指摘する。定義ファイルに依存しないyaraiはアップデートのサイクルが比較的長く、運用の負荷が軽いこともメリットの一つとなっている。

　ファイアウォールの大手ベンダーとして知られるパロアルトネットワークスも、従来のネットワーク型の製品に加えて、端末にインストールするタイプのセキュリティソフト「Traps（トラップス）」を発売した。昨年買収したイスラエル企業・Cyvera（サイベラ）が開発した製品で、攻撃に使用される技術を検知した瞬間に、マルウェアの動きを停止させることができる。


　以前から国内でCyvera製品を取り扱ってきたインテリジェントウェイブの手塚弘章・セキュリティソリューション本部副本部長は、「現場で起こってしまう脅威を止めたいというニーズが大きい」と話し、マルウェアの活動が始まってから脅威を検知するのではなく、活動そのものを未然に防げる点が評価され、金融機関などで導入が始まっているという。Trapsも定義ファイルに頼らない製品なので、アップデートは年数回程度で済み、未知のマルウェアにも対応できる。また、「CPU負荷が低いことも特徴」（渡邉達也・営業部第二課マネージャー）としている。

　標的型攻撃で送られてくるマルウェアに対応するには、これらのようなパターンマッチングに依存しない検出技術が求められる。ただ、yaraiは亜種の少ないマクロウイルスや広告を表示するアドウェアは検出対象外としている。Trapsはマルウェアが動くのを防げるものの、以前から端末内に保存されていた過去のマルウェアを見つけることはできない。従来のウイルス対策ソフトとの併用が必要だ。

　また、これらの製品は、あくまで標的型攻撃に対抗するための「防御」を厚くするというアプローチだ。パターンマッチング型のソフトに比べると高い実効性が期待できるが、万が一防御を破られた場合はどう動くべきか、前ページで述べたような事前準備が必要であることに変わりはない。

●ネットワーク型製品は運用の効率化が課題

　ここ数年「次世代ファイアウォール」や「サンドボックス」など、アプライアンス型のネットワーク機器として提供されるセキュリティ製品が人気を集めている。プロトコルの種類やポート番号などに応じてアクセスを制御していた従来のファイアウォールとは異なり、パケットの中身を分析したり、添付ファイルを仮想環境で実際に開いたりして、トラフィックが安全なものかどうかを判定する高度なソリューションで、標的型攻撃の検知にも役立てることができる。

　ただし、高機能であるだけに、管理・運用が難しい。どのような挙動のトラフィックを検出したらそれを脅威とみなすのか、組織ごとに異なるネットワークトラフィックに応じたチューニングが必要なほか、製品がもつさまざまなセキュリティ機能をすべてオンにするとスループットの低下を招くケースもあり、安全性と生産性のバランスをいかに取るかという課題もある。

　セキュリティ関連のコンサルティングサービスや、パロアルトネットワークスのファイアウォール、ファイア・アイのサンドボックスなどを取り扱うNRIセキュアテクノロジーズでは、ユーザー企業に設置したセキュリティ機器の監視・運用を行うマネージドセキュリティサービス（MSS）事業にも力を入れている。同社が製品の導入から運用までトータルで請け負うという考え方で始まった事業だが、関根忠彦・MSS事業本部ITセキュリティコンサルタントによれば、「高度な機器を導入したものの、使いこなすことが難しく、当社に運用を委託されるケースも増えている」ということで、セキュリティ機器の運用の難しさが浮き彫りとなっている。

　セキュリティ機器は、脅威を検知するとその通信を自動的に遮断する機能をもっているが、誤検知で業務が止まってしまうことを避けるため、実際には脅威を検知したことを通知するだけのモードで運用されていることが多いという。

　標的型攻撃では、攻撃の開始から情報流出までに半年以上かかるなど、長期間にわたるケースも少なくない。このため、本来は機器から得られるログを元にして、被害につながる不審な動きがないか継続的に分析する作業が必要だが、専任のセキュリティ技術者がいない組織では、ログが単に機器の肥やしになってしまう。MSSに機器の運用を委託すれば、24時間365日の監視サービスを受けられるというだけではなく、ログ分析によって危険の兆候をより早く知ることができるという利点もある。

　とくに今はユーザー側もニーズを強く訴えているため、販売側としては高額で機能豊富な機器を売りやすい状況にある。しかし、ユーザーの手に余る機器を納入した結果、それが死蔵されるだけならまだしも、もし「高いものを買ったのにセキュリティ事故が起きた」といった結果につながった場合、将来のセキュリティ投資意欲を著しく削いでしまうことになりかねない。SIerには、運用に必要な体制やコストも含め、トータルでバランスの取れた「持続可能なセキュリティ投資」を提案する力が求められる。

●セキュリティ業務にも生産性向上が必要

　EMCジャパンRSA事業本部の能村文武・ビジネスデベロップメントマネージャーは、「セキュリティは“コストセンター”として認識されているためか、監視や分析といった仕事を効率化するという考え方が希薄」と、セキュリティ業務の問題点を挙げる。同社の「RSA ECAT」は、端末インストール型の標的型攻撃対策ソフトで、メモリ上のプロセスをリアルタイムに分析し、マルウェアを検知することができる。定義ファイルに依存せず未知のマルウェアも発見できるという点ではyaraiやTrapsと共通の特徴をもつが、マルウェアの検知・ブロックだけでなく、組織内のどの端末の対応を優先すべきかの順位づけや、事故発生時に証跡となる情報の取得が行えるなど、組織的な運用・管理を前提とした機能が充実している。

　能村マネージャーは、「運用の外部委託は可能だが、セキュリティを高める最終的な責任はユーザー企業自身にある。ECATは、セキュリティの専門知識をもたないIT管理者でも利用できるツールで、端末の継続的な監視により、マルウェアの早期発見や事故対応の迅速化に貢献する」と述べ、IT管理者のセキュリティ業務の効率を改善できるツールであるとアピールする。

　最近、サイバー攻撃に備えて、組織には「CSIRT（Computer Security Incident Response Team、シーサート）」と呼ばれるセキュリティ対応チームを設置すべきという提言を目にすることが多くなってきた。ECATのような検知と管理の両機能をもった製品は、CSIRT運営支援ソリューションとしても有用といえる。

●形から入るCSIRTも有効な対策の一つ

　中央省庁や大企業では、ここ1～2年で急速に設置が進んだCSIRTだが、それ以外の多くの組織は「セキュリティ対応チームを編成せよといわれても、何から手をつければいいのかわからない」という状況であることは想像に難くない。

　7月1日、組織のセキュリティ体制整備に役立つ指標「組織対応力ベンチマーク」が、電子政府の実現を目指す業界団体「オープンガバメント・コンソーシアム」のCSIRT普及作業部会から発表された。これは、組織のサイバー攻撃への対応能力を測るチェックシートと解説書で構成されており、「インシデント対応チームの組織体制を決定しているか？」「異常を検知する仕組みがあるか？」といった設問に答えていくことで、サイバー攻撃に対して社内体制がどれだけ整っているかを知ることができる。


　このベンチマークシートと解説書が画期的なのは、コンソーシアムのウェブサイトから誰もが自由に入手でき、しかも無償で商用利用することも可能という点だ。作業部会を構成する8社のなかには大手セキュリティベンダーのシマンテック、トレンドマイクロ、マカフィーが含まれているが、その知見をベースとしたベンチマークを用いて、SIerがユーザー企業の組織対応力をコンサルティングすることもできる。

　現在「形だけのCSIRT」が全国の企業で次々発足しているが、「まずは形から入るのも、セキュリティ意識向上の第一歩としてはあり」とみる専門家も少なくない。セキュリティ製品の活用で解決できる問題、外部の力を借りるべき部分、そしてユーザー自身でないとできない体制づくりや最終判断。セキュリティベンダーやSIerは、これら三要素をきちんと整理したうえで製品を納入することが、標的型攻撃からユーザーを守るために求められている。

[次のページ]