出口対策を過信しない、真の標的型攻撃対策とは

ネットワーク

技術解説

連載 :

サイバー攻撃防衛術指南

2012年4月6日(金)

広瀬努

標的型攻撃対策の勘所

標的型攻撃への対策を考える上で、最も重要なのは、攻撃の流れを想定し、「それぞれのフェーズに応じた対策を、流れの順番に合わせて配置する」事です。

各フェーズにおいて、標的型攻撃で使われる未知のマルウェアや脆弱性を狙う攻撃を防ぐために、現在使用中の製品にはない新しい技術が提供されている事があります。そうした新しい技術を備えた製品を導入する事で、各フェーズにおけるセキュリティリスクは大幅に減らす事ができます。

しかし、先に述べたように、「攻撃の流れを想定し、順番に合わせて配置」していく事が重要です。

例えば、次の様なものです。

Web、メールを侵入経路とする不正プログラムの侵入対策を強化
クライアント、サーバーPCでの未知のマルウェアの対策、脆弱性対策を強化
社内ネットワークの分割
機密データの暗号化、アクセス時の認証の強化
外部通信のモニタリング

具体的に言えば、1は、レピュテーションや挙動分析型の検出機能による未知のマルウェア検出を備えた、新しいテクノロジーの導入です。2は様々なものが考えられますが、リアルタイム挙動分析型の検出機能と、脆弱性を狙うネットワーク攻撃を防ぐ侵入防止機能はもはや必須と言えます。それ以外にパッチをリモートから適用するシステム等が挙げられます。3はVLANなどにより機密情報が含まれるPCやサーバーへのアクセスを制限し、4は機密データを暗号化し、そうしたデータや保管されているシステムへのアクセスにおいても二要素認証の活用などがあります。物理的に持っている鍵を使う事は言うまでもありません。5は既に皆さまもご存じの通りです。

攻撃者が意図した攻撃のシークエンスに乗りかかってしまっても、可能な限り早期のフェーズで食い止められれば、より機密情報に近いところで発生する異変に気づきやすくなります。

攻撃者は各フェーズでステルステクニック、検出回避テクニックを組み合わせて活動を発見されないように工夫しています。こうしたテクニックは研究されており、それに対抗する手段をセキュリティベンダーは開発しています。

冒頭に紹介した脆弱性対策をPC上に導入するだけでも、ステルス化する攻撃を防ぐ効果がある事は容易に想像できるように、新しい防御テクノロジーを搭載した製品導入するだけでも、各フェーズでの侵入リスクを大幅に低減する事が可能になります。

このように、攻撃の流れに合わせてセキュリティ強化を行うようにすれば、強化策の計画を立てやすくなります。期間の面でも予算の面でも、効率よく標的型攻撃への対策を強化していくには、このようなアプローチがベストです。

そして、各フェーズの強化と同じぐらい重要なのは、全体をひとつのシステムとして機能させる事です。例えば、各セキュリティシステムから上がってくるログを、時系列にまとめて分析する事で、個別のシステムとしては“疑わしい”というレベルの警告でも、“危険”と判断できる事もあります。

全てセキュリティ製品が、危険なものを全てきれいに判別してくれれば良いのですが、手ごわい脅威、未知の脅威の場合、そういうわけにもいきません。“疑わしい”と思うものを、人間の力で判断しなければならない事もあります。セキュリティ製品やOSのログを定期的にレビューする事が重要です。

想定外の事故が発生したとしても、対策がきちんと採られていれば、状況の把握、それに基づく対策が迅速に行えます。ITがもたらした革新によりビジネスの速度はかつてないほど加速しています。計画の遅延に対する追及の厳しさが増す中、こうした事故に関わる、先の見えない対応ほど、担当者をさいなむものはありません。

防御力を強化し、それでも万が一の可能性に備えて、日々の監視を怠らない。そして事故が発生したとしても慌てず対応するマニュアルを用意しておく事が重要です。

脅威が複合的なアプローチを用いてターゲットに対してどのような影響を与えているかを理解する事が、極めて重要です。マルウェアや出口対策といった形で脅威をひとつの視点でのみとらえるのでは、本当の影響を見極める事ができません。様々な視点と広い視野を持って複数の対策を組み合わせて行っていく必要があります。

攻撃の手段を解説する文献は多く世の中に出回っていますから、そこから事実を見極め、自社の環境を分析した上で、攻撃の流れに合わせた、セキュリティ強化と、定期的な監視、そして体制の見直しを計っていく事が、標的型攻撃から守る賢明なアプローチと考えます。