セッション3は「クライアントをアプリケーションリスクから守る戦略」で、デル ソフトウェア事業部マーケティング部 シニアマネージャー、守川啓氏が講演を行った。
「PC販売」のイメージが強いデルだが、現在はPC以外の売り上げが50%以上を占めており、その1つがセキュリティソリューションという。
守川氏は、セキュリティ対策は安全性と利便性のトレードオフや100%に決して到達しない費用対効果、防御の難しさなどの課題があり、多様化する脅威をいかに効果的に防ぐかを考える必要があると述べた。
その1つの解が、多層防御だ。「空き巣は侵入に5分以上かかると諦めると聞く。これはITでも有効で、多層防御をすれば諦めさせることが可能だ」(守川氏)。多層防御では、ウイルス対策、ファイアウォールの強化、脆弱性対策の3つが必須だ。デルは後者2つについてソリューションを提供する。
ファイアウォールの強化では、次世代ファイアウォール「SonicWALL」を提供する。侵入検知・防御、ゲートウェイアンチウイルス、ゲートウェイアンチスパイウェア、Webフィルタリング、DPI SSL、アプリケーションの制御および可視化など、複数の機能が統合されており、包括的なセキュリティ対策が実践できる。
脆弱性対策では、エンドポイント対策用の物理/仮想アプライアンス製品「KACE」がある。PCやサーバ、タブレットなどを管理する「K1000管理アプライアンス」、OSやシステムのインストールなどのシステム導入・展開を支援する「K2000導入アプライアンス」、iOSとAndroidデバイスを管理する「K3000モバイル管理アプライアンス」の3種類がある。
KACEは、米国のセキュリティ検査基準「OVAL」に基づいたアセスメントを実行し、客観的な数値で脆弱性を示す。現状を可視化して脆弱性を分かりやすい数値で把握でき、パッチの自動アップデートを含む適切な対応を支援する。
「エンドポイントの65%は標準構成が守られておらず、パッチが適用されていない状態のものが30%あるという。つまり、これらだけでも確実に実施できれば、あるレベルまでセキュリティレベルを上げることができる」(守川氏)。
続くセッション4は、NTTソフトウェア セキュリティソリューション事業部 統括マネージャー、堺寛氏による「巧妙化する標的型メール攻撃はこうして回避せよ〜従業員へのリテラシー教育と特権ID管理対策〜」だ。
標的型攻撃の大半は、メールを突破口にしてカスタマイズされたマルウェアを送り込み、情報を窃取していく。この手口に対して企業側の危機意識は非常に高いものの、TechTargetジャパンが実施した標的型攻撃対策に関する調査では、「十分な対策を行っている」と回答した人はわずか21.9%で、約8割が対策できていないことになる。「狙われるのは有名企業だけとは限らず、誰もが標的になり得る」と、堺氏は述べる。
堺氏は、対策のポイントはシステム側での制御と利用者の意識改革のバランスを取ることだと述べる。「システム側で危険度に応じてメール受信を停止するなど、対策を取ることが重要。それに加えて、利用者も受信前に事前チェックするなど、リスクを正しく認識して危機管理能力を高めることが必要だ」(堺氏)。
この問題に対して、NTTソフトウェアは2つのソリューションを提示する。
1つは、標的型メール対策システムの「CipherCraft/Mail」だ。不審なメールを検知したら隔離後、受信者に受信可否の判断をあおぐ。確認画面には隔離したメールの不審点が表示され、受信者は1つずつチェックボックスをオンにして確認し、問題なければ受信し、疑わしいものは削除する。同様の仕組みで、受信時に送信確認ダイアログが表示され、誤送信にならないかを確認するメール誤送信防止機能もある。
もう1つは、特権ID管理ソリューション「iDoperation」だ。攻撃者はシステム情報を取得するため、より上位のアカウントにアクセスしようとする。特権ID管理を徹底することで、価値ある情報入手を拒むことが可能だ。iDoperationは、IDの登録申請からユーザー管理、アクセス権管理、アクセス制御、ログ統合保存、利用監査など、特権ID管理に求められる機能をすべて備えているという。
「NTTソフトウェアでは、iDoperationと、決済や申請承認などのワークフローを管理するOpenCube Workflowを組み合わせたソリューションを提供している。サーバの利用申請から利用権限まで確実に管理し、申請外のアクセスを自動チェックすることで不正アクセスを防止できる」(堺氏)。
続くセッション5は、「巧妙化する標的型攻撃に対抗する、クライアント・レピュテーションとは?」と題し、フォーティネットジャパン コーポレートマーケティング部 部長、余頃孔一氏が登壇した。
余頃氏は冒頭、最近発生した標的型攻撃と思われる事例をいくつか紹介した。2013年5月24日に発表された農林水産省の中間報告によると、2012年1月〜4月にかけて5台の職員PCから計124点の行政文書が外部に流出した可能性があることが確認された。「標的型攻撃は長期間潜伏する。そのため、今回のように1年前、もしくはそれ以上前までさかのぼっての調査が必要だ」。余頃氏はそう指摘しながら、調査には膨大な費用がかかり、一般企業にとって大きな負担になりうると付け加えた。
しかし、最近は漏えいの可能性を発表する企業が増え、対応が後手に回る企業に対する消費者の目は一段と厳しくなっている。十分な対策に加え、事故の際は情報を公開してさらなるセキュリティ強化を明言できることが今企業には最も求められている。
こうしたニーズに応えるのが、次世代ファイアウォールの「FortiGateアプライアンス」だ。ハードウェアとソフトウェアを自社開発しているため、セキュリティ機能に最適な高速パフォーマンスを実現、ユーザー数無制限のライセンス費でコスト負担も小さい。機能も、ウイルス対策からIPS、Webフィルタリング、VPN、佐渡ボックス、WAN最適化までと豊富で、どの機能を選択してもライセンス費は一律で変わらない。
「アプライアンスのモデルの違いは、純粋にパフォーマンスの違い。管理ツールも機能も共通しているので、段階的な導入にも対応する。NTTコミュニケーションズやエスティローダーなど、業種を問わず豊富な導入実績がある。
セキュリティ機能では、特にクライアント・レピュテーション機能が潜伏中のマルウェア発見に有用だと余頃氏はいう。同機能は疑いのあるクライアントに対して、その挙動をグレー判定期間から記録、蓄積してスコア評価し、脅威レポートを作成。管理者はドリルダウンや相関分析を実行してマルウェアを特定する。
「マルウェアは、いつかはC&Cサーバと通信する。その兆候を、監視と記録で見逃さないようにする」(余頃氏)。
セッション6は、パイオリンク テクニカルサポートチーム マネジャー、川又健典氏による「標的型サイバー攻撃を実演! 内部対策『検知したら即遮断』のすすめ」だ。
川又氏は初めに、最近の標的型サイバー攻撃対策の考え方である「サイバーキルチェーン」を紹介した。攻撃者は情報搾取という最終目標を達成することが目的で、そのために事前調査・初期潜入・攻撃基盤の構築・システム調査・攻撃最終目的の遂行・情報搾取と破壊という、すべての段階を踏んで成功につなげる。「このいずれかの段階を失敗させることができれば、攻撃者の目的達成を阻める」。川又氏はそう述べ、侵入を前提とした多層防御を提案した。
同社が提供するL2セキュリティスイッチ「TiFRONT」は、攻撃段階のうちシステム調査のステップで攻撃者の手を止める。セキュリティ機能や認証機能などを搭載するL2スイッチで、収集したパケットの判定処理はTiMatrixエンジンに任せることで、スイッチング処理には影響がない。TiMatrixエンジンで問題が発見された場合、すぐに攻撃トラフィックを遮断。検知・遮断する攻撃の設定やリアルタイムモニタリング、ユーザーのIP管理などは、TiFRONT統合管理システムの「TiManager」で一元的に実施できる。
その性能を確認できるよう、川又氏は実際にTiFRONTの攻撃防御デモを行った。1つめは、TiFRONT動作確認用の攻撃ツール「BMT TOOL」を使ってネットワーク内にDoS攻撃を発生させるというもの。2つめは、主に盗聴活動を行う攻撃ツール「Cain and Abel」を用いてネットワーク内のIP電話の盗聴を実行した。いずれもトラフィックが発生した瞬間、アラートが鳴って通信は遮断、攻撃は失敗に終わった。
このほか、TiFRONTはMcAfee ePO(ePolicy Orchestrator)と連携可能だ。McAfee VirusScan Enterpriseが端末のマルウェア感染を検知すると、その情報がePOに送信され、ePOはTiManagerと情報共有、TiFRONTに対象PCの通信遮断を指示する。「夜間や休日など、システム管理者が不在で緊急対応できず、とりあえず怪しい通信は遮断しておきたいといったニーズに応える」(川又氏)。
標的型サイバー攻撃を実演! 内部対策「検知したら即遮断」のすすめ
http://wp.techtarget.itmedia.co.jp/contents/?cid=12933&spath=1
セミナーを締めくくったのは、ラック チーフエバンジェリスト、川口洋氏による特別講演「2013年前半のセキュリティインシデントを振り返る」だ。
まず川口氏は、2013年2月から6月までのセキュリティ関連ニュースを一気に紹介。JINSの不正アクセス事件、韓国の放送局や金融機関に対するサイバー攻撃、SpamhausのDDoS攻撃事件、Windows XPのサポート終了、AP通信のTwitterハッキング事件、エクスコムグローバルのSQLインジェクションによるクレジットカード情報およびセキュリティコード流出事件、Yahoo! Japan不正アクセス事件など、相次ぐWebサイト改ざん事件など、記憶に残る事件の多い上半期となった。
その中から、川口氏はWebサイトの改ざんに注目し、3つの事例を取り上げた。
1つは、5月から多発しているWebサイトの改ざん事件だ。「不正なサイトへ誘導するよう改ざんされ、誘導先ではマルウェアをダウンロードさせる、Gumblarと同様の攻撃の流れ」と指摘した。これらの改ざんでは、htmlやjs、phpなどのコンテンツ本体だけでなく、.htaccessなどの設定ファイルが書き換えられることもある。「感覚的には.htmlと.htaccessで20:1の比率」とはいうが、後者もぜひチェックしてほしいと警告した。
この連続改ざん事件について、同氏は「Gumblar事件を受けて、コンテンツサーバへのアクセス方式をFTPからSSHに変える対策をとるところもあった。だが今は、SQLインジェクションやSSHブルートフォース攻撃、CMSの設定不備やぜい弱性を狙った攻撃、BGPやARPなどのポイズニングなど、攻撃手法は多様化している。昔の対策で安心しないこと」と指摘した。
2つめは、「JINS」のオンラインショップの不正アクセス事件だ。このケースではミドルウェアの「Apache Struts2」のぜい弱性が悪用され、「Ruby on Railsなどのアプリケーションフレームを悪用するケースが増加中」と川口氏は述べる。ただし、Webアプリケーションやミドルウェアのぜい弱性対策には、修正プログラムの適用や改修、テストなどが必要で、コストと時間がかかってしまう。「即時対応が難しい。WAF(Web Application Firewall)などを利用することも検討したい」(川口氏)。
3つめは、Webサーバ「Apache」に不正なモジュール「Darkleech Apache Module」が仕込まれた事件だ。「コンテンツファイルではなくApache本体を改ざんする珍しいパターン」という同事件は、国内での導入率が高いサーバ管理アプリケーション「Plesk」のぜい弱性を不正利用したケースと、バックドア「Apache Binary Backdoor(Cdorked)」を利用したケースとがあり、いずれもroot権限を奪取し各種捜査を実行する。
Darkleech Apache Moduleの対策として、川口氏はPleskやサーバOSおよびソフトウェアの最新版への更新、安全性の高いパスワードの設定、Webサーバからインターネットへのアウトバウンド通信の監視や遮断、ログチェックを列挙。後者のApache Binary Backdoorについては、httpdのバイナリ内に「open_tty」という文字列がないかどうかの確認、httpd更新日付の確認、長時間動き続けているhttpdの確認などを挙げた。
このような事故に巻き込まれないために今すぐやるべき対策として、システム全体のログ保存、サーバアプリケーションのバージョン確認やウイルス対策製品の定時スキャンログの確認、クライアントで使用しているJavaのバージョンの確認、ファイアウォールやプロキシ、URLフィルタリングなどのログ確認、アクセス制御ルールの不備の確認、緊急時の連絡網の整備、セキュリティ情報の収集が挙げられるという。
「セキュリティ対策は、事業継続性の観点で経営者の理解を得ることが重要。予算や組織体制によってバランスを取り、情報や人財を生かし、よりよい対策を行ってほしい」(川口氏)。
川口洋のセキュリティ・プライベート・アイズ 連載インデックス
http://www.atmarkit.co.jp/fsecurity/index/index_kawaguchi.html
Copyright © ITmedia, Inc. All Rights Reserved.