攻撃中だけでなく前後もカバーするソリューションを
脅威もIT環境も変わったのに、エンドポイント保護はこれまで通りで大丈夫?

SEC勉強会

伊藤忠テクノソリューションズ(CTC)はセキュリティをテーマとしたミニランチセミナーを定期的に実施し、その時々の最新動向や対策を、主に技術的な観点から紹介してきた。2016年12月13日に開催された最新のミニランチセミナー「サイバー攻撃の最新動向と対策 技術対策編〜脅威を知り、被害を未然に防ぐセキュリティ対策〜」の内容を紹介する。

 脅威の変化、IT環境の変化を踏まえ、エンドポイント対策にも新たなアプローチを

【 中島 氏 】

まず最初にCTCセキュリティビジネス部セキュリティインテグレーション課課長の中島嗣晶氏が「最新セキュリティ技術の動向」と題し、この数年に起こった脅威の変化と、それを踏まえて求められる新たな対策のあり方を紹介した。

この数年、マルウェアは驚異的なスピードで増加している。文字通り指数関数的な増加と言ってもいい。「5年前、10年前に比べ、マルウェアの増加率は驚異的だ。一方で、エンドポイントにおけるマルウェア対策は、5年前、10年前当時と今とであまり変わっていないのではないか」と中島氏は説明した。

2016年は特に、標的型攻撃による情報漏えいや、PC内のデータを暗号化して金銭を要求する「ランサムウェア」の被害がたびたび報じられた。いずれも最初のきっかけは、偽装した電子メールの添付ファイルを開いたり、改ざんされたWebサイトや不正な広告を閲覧することで、社員が利用するPC端末、いわゆる「エンドポイント」が不正なソフトウェア(マルウェア)に感染してしまうことだ。こうした経路は分かっていても、防ぐのは難しい。なぜなら「メールもWebも業務に欠かせないインフラだが、攻撃者はこうしたインフラを使ってくるからだ」(中島氏)

IT環境が刻々と変化していることも、対策を難しいものにしている。「PCだけでなく携帯電話やスマートフォン、タブレットなど端末が多様化し、システムもオンプレミスからクラウドへと移行している。使う場所や使い方が変化し、社内とは異なるセキュリティレベルの環境でPCを使うことも当たり前のように行われているが、その中でエンドポイントを守る必要がある」と同氏は指摘した。

こうした変化を踏まえ、エンドポイントのセキュリティ対策には新しいアプローチが求められつつある。「2010年から2015年にかけてIT環境も脅威も大きく変化しているのに、エンドポイントセキュリティの形態は2010年ごろどころか、2000年ごろからあまり変わっていない。そこに新しいソリューションが必要だ」(中島氏)

従来の対策の重心は、ネットワーク境界での監視を強化し、外部からのマルウェア侵入を防ぐ「入口対策」と、重要情報が外部に持ち出されないようにする「出口対策」に置かれてきた。しかし、マルウェアが劇的に増加し、防ぎようのない経路を介して侵入を試みようとする現在、「事故が発生したとしても、その異常を速やかに検知し、重要な場所には侵入させないようにする内部対策にも力を入れていく必要がある。それを実現するポイントの一つに、エンドポイントがある」(中島氏)

攻撃の最中にそれを検知し、阻止すると同時に、「攻撃前」の段階でセキュリティパッチ管理を適切に行い、付け入られる隙を減らしたり、仮に「攻撃発生後」には調査と緊急対応を速やかに行い、被害を最小限に留めて再発防止につなげる仕組みをエンドポイントにおいて整備していくーーこのようにあらゆるプロセスをカバーする対策が、これからのエンドポイントセキュリティには必要だと中島氏は締めくくった。

攻撃コードのテクニックに着目し、クラウド上の情報も活用して保護する「Traps」

【 池田 氏 】

続いてCTCセキュリティビジネス部セキュリティインテグレーション課の池田薫明氏が「これからのエンドポイントの守り方 Palo Alto Networks Traps」と題して、高度な技術で攻撃を阻止するエンドポイントセキュリティ製品「Traps」について、デモンストレーションを交えながら紹介した。

池田氏は、中島氏の説明を受けて「IT環境が変化している中、今までのやり方でエンドポイントを保護するのは難しい。攻撃を速やかに認識し、阻止できる仕組みを作ることが必要だ」と述べた。それも、端末に負荷を掛けることなく軽快に動作すること、クラウドや脅威インテリジェンスと連携し、最新の情報をいち早く活用できることも重要なポイントだという。

こうした条件を満たす製品の1つが、パロアルトネットワークスが開発したエンドポイントセキュリティ製品、Trapsだ。次世代ファイアウォール製品で知られるパロアルトネットワークスが、エンドポイントの保護もカバーするもので、定義ファイルに基づくウイルス対策ソフトとは異なるアプローチが特徴だ。

年間に5億種というペースでマルウェアが増加する現在、一つ一つ検体を解析し、定義ファイルを提供していては間に合わない。これに対しTrapsは、脆弱性を狙う攻撃コードやマルウェアの特徴的なテクニックを抑え、ブロックする仕組みだ。ネットワークゲートウェイでは検知が困難なパスワード付きZIPファイルや暗号通信にマルウェアが潜んでいた場合でも、水際で実行を阻止できる。「既知、未知問わずマルウェア実行を阻止する。さらに事後の解析に必要な情報も収集できる」(池田氏)

さらに、パロアルトネットワークスが蓄積してきたクラウドベースの脅威インテリジェンスを活用することで「新しい脅威に関する情報をワールドワイドで共有し、遅れをとらず対応できる」(池田氏)ことも特徴という。

攻撃前の備えと攻撃後の早期対応を支援する「Tanium」

【 吉田 氏 】

最後にCTCセキュリティビジネス部セキュリティインテグレーション課の吉田悠一氏が、「脅威の対策はリアルタイムが肝心 Tanium Endpoint Platform」と題し、攻撃「前」と「後」の対応を支援するエンドポイント管理プラットフォーム「Tanium」について紹介した。

エンドポイントの保護といっても、Taniumが力を発揮するのはマルウェアの阻止・侵入防止ではなく、攻撃の前と後のプロセスだ。具体的には、事前にクライアントのパッチ適用状況を把握してシステムの状況を可視化し、必要に応じてアップデートを配布できる。「今突然、Adobe PDFに緊急パッチが出たとしても、速やかに対応できる」と吉田氏は説明した。

もちろんIT資産の把握とパッチ管理だけならば、従来の資産管理ツールでも実現できる。しかしTaniumには、万一マルウェアに感染してしまったときの初期対応を支援し、リモートから修復作業を行って被害を最小化する仕組みも備わっている。

最近ではメディアで情報漏えいなどの事件が報じられると、経営層が「うちは大丈夫か?」と現場に確認してくることも多いが、何の準備もないままでは、そんな問いにはっきり答えるのは難しい。しかしTaniumを活用すれば、ファイルのハッシュ値やレジストリの値、起動しているプロセスやパッチ適用状況などを突き合わせて調査を行い、社内のあるウェア拡散状況を迅速に確認できる。万一不審な端末が見つかった場合には、リモートから該当するプロセスを停止させることも可能だ。

しかもTaniumでは、独自のアーキテクチャによって、数万台規模の環境でもほぼリアルタイムに情報収集・確認ができる。「気になったときから15秒で最新の状況を調べられる」と吉田氏は述べ、特に遠隔地や海外に拠点を抱える企業で運用に有効だと述べている。

このように現在、単なるウイルス対策にとどまらない新しいエンドポイントセキュリティを模索する動きが広がっている。CTCではこの動きを踏まえ、TrapsやTanium、さらに機械学習を活用した新しいエンドポイント製品をソリューションに追加し、攻撃の前と攻撃の最中、被害発生後のインシデントレスポンスに至るまで、ライフサイクル全体にまたがる対応を支援していく。

最後に、新たなソリューションの詳細は、2月24日に開催したエンドポイントセキュリティセミナーでも紹介しているので、参考にしていただきたい。

 

講師:
クラウド・セキュリティ事業推進本部  セキュリティビジネス部
セキュリティインテグレーション課  課長 中島嗣晶
セキュリティインテグレーション課     池田薫明
セキュリティインテグレーション課     吉田悠一
編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント