侵入リスクを減らすには
脆弱性を狙った攻撃からどのように防御すればよいのか
では、脆弱性を狙った攻撃からどのように防御すればよいのでしょうか。
脆弱性を狙った攻撃に対する最善策は、修正パッチの適用です。OSやWebブラウザ以外のアプリケーションに対しても最新のパッチを適宜適用すべきでしょう。
すべてのアプリケーションのパッチ適用を最新の状態にしておくのは困難かもしれません。しかし、常に最新情報を入手する事が必要です。情報配信サービスやパッチ管理支援製品の活用も考慮に入れましょう。
パッチが存在していない脆弱性については、影響を緩和するための対策が重要です。例えば、ファイアウォールやIDS(侵入検知システム)、IPS(侵入防御システム)のルールやシグネチャを事前に変更する事が推奨されます。
最近のIDSやIPSには、「攻撃のパターン」を識別して検出するもの以外にも、「狙われている脆弱性」を識別して検出するものも存在します。後者の場合、脆弱性を狙った未知の攻撃に対してプロアクティブに保護する事ができます。しかも、同一の脆弱性を狙う複数種の亜種も1つのシグネチャで対処できます。
PC上で動作するIPS製品も存在します。Webブラウザ上で復号され実行されるエクスプロイトコードや、ブラウザプラグインの脆弱性を悪用する攻撃などもあるため、PC上のIPSは効果的です。社外に持ち出され、インターネットに直接接続される機会が増えているノートPCにとって、搭載は必須と言えるでしょう。
メディアで「侵入を防止する事は不可能」というフレーズを目にする事が多いのですが、古典的なパターンマッチングに頼るアンチウイルスソフトではリスクが高いという事を警鐘する意図が背景にはあると思います。
こうした報道を誤解する事なく、APTのような特殊なケースとその他の標的型攻撃をしっかり区別し、「攻撃のフェーズに応じた対策を、流れの順番に合わせて配置する」事に注意を払っていただきたいと思います。
前述の様な対策を施して侵入のリスクを減らす事が可能になります。もちろん社員に対するセキュリティ教育も稚拙な偽メールを見分けるためには有効です。
あらかじめこうした対策で侵入リスクを減らした上で、攻撃者の指令(C&C)サーバーとの交信を見つけ出し止める外部への通信を監視システムや、情報漏えい対策ソフト、アクセス履歴の監視など追加のセキュリティを導入すべきです。
安易に「出口対策」に飛びついて、取り返しのつかない無駄な投資をしてしまう事だけは避けなければなりません。
次回は標的型攻撃対策の勘所を解説いたします。