社内外の脅威から“手間なくミスなく”ビジネスを守る方法：標的型攻撃対策、URLフィルタリング、コンテンツフィルタリングを統合

標的型攻撃などのサイバー攻撃が相次ぎ、情報漏えい事件・事故が多発している。しかし企業を取り巻くセキュリティ脅威は外部からの攻撃だけではない。ビジネスメール詐欺（BEC）、フィッシングサイトへのアクセスなど、企業内部に起因するリスクも確実に抑えなければならない。企業規模を問わずセキュリティ人材が限られている現実に対し、“社内外の脅威”から効率的・効果的に自社を守るにはどうすればよいのだろうか？ 1999年に提供開始した「GUARDIANWALLシリーズ」で多数のユーザーに知られるセキュリティソリューションの老舗、キヤノンITソリューションズに話を聞いた。

[PR/＠IT]

外部、内部、いずれも安全なWeb通信を実現するには

　サイバー攻撃が年々高度化、巧妙化している中、企業は常にセキュリティ脅威にさらされている。特に近年は“攻撃の技術的なハードル”が下がっていることも問題を一層深刻化させている。さらにここ最近では、ランサムウェアをサービスとして提供するRaaS（Ransomware as a Service）、フィッシングメール攻撃をサービスとして提供するPhaaS（Phishing as a Service）など、クラウドを利用した「as a Service」による攻撃が急激な広がりを見せている。

キヤノンITソリューションズ
セキュリティリサーチャー 西浦真一氏

　「さまざまなサイバー攻撃がクラウドサービス化されており、知識のない初心者でも簡単に実行できるようになっています。犯罪がサービス化され、“Crime as a Service”として広まっているような状況です。いわば攻撃の"カジュアル化"が進んでいるのです」と語るのは、キヤノンITソリューションズ（以下、キヤノンITS）のセキュリティリサーチャー、西浦真一氏だ。

　これまでもツールを使ってフィッシングメールなどをばらまく手口はあったが、最低限の知識は必要だった。ところが今はWebサイトで検索すれば攻撃のツールから使用方法までのガイドが簡単に手に入ってしまう。個人情報などを盗んだ後は、サイト上で情報を売却して現金化するブラックマーケットまで存在しているという。

　「小遣い稼ぎ感覚の標的型攻撃が増えている一方、昔ながらのバラまき型のフィッシングメールは攻撃と気付けないほどに巧妙化しています。さらにフィッシングサイトは昨年時点でライフサイクルが4〜8時間とどんどん短くなっておりURLフィルタリングデータベースを日次で更新していたら到底検知できません。つまり、これほど犯罪のハードルが下がり攻撃手法も巧妙化している今、企業はもはやセキュリティ対策としてアンチウイルスソフトさえ入れておけば万全という時代ではなくなってきています。マルウェアに感染することを前提に、感染した後、どのように情報漏えいを防ぐかを考えることが重要です」

　ただし、留意すべきは「セキュリティ脅威は外部だけではなく、内部にも複数存在する」ということだ。西浦氏はありがちな具体例を挙げる。

　「例えば、情報漏えいの主原因は情報の管理ミスや誤操作などです。実は情報漏えいの過半数は、こうした内部的な要因によって占められているのです。紙媒体やUSBメディアの置き忘れからの漏えいもいまだに多いですが、最近は不用意にクラウドサービスへファイルをアップロードしてしまうなど、Web通信からの漏えいが増えています」

　では、こうした外部、内部の脅威による被害を防ぐためには、どのようなアプローチが有効なのだろうか。西浦氏は、「外部、内部の両面で“安全なWeb通信”を実現することが重要です」と指摘する。

　2018年8月に発表された、IPA（独立行政法人情報処理推進機構）の「情報セキュリティ10大脅威2018（組織）」では、「内部不正による情報漏えい」や「犯罪のビジネス化（RaaS やPhaaSなど）」が挙げられている。これらは、「インターネットへアクセスする内部からの通信」や「インターネットを介した外部からの攻撃」をチェックし防ぐことができる。具体的には、マルウェア不正通信遮断などの標的型攻撃対策、URLフィルタリング、外部送信データの検査などにより、Webへの情報漏えいを防ぐというアプローチだ。

内外の脅威から自社を守る「GUARDIANWALL Webファミリー」

　そうした考え方の下、キヤノンITSから提供しているのが「GUARDIANWALL Webファミリー」だ。この名称を見て、メール誤送信や標的型メール攻撃などによる情報漏えいに対応したキヤノンITSのメールセキュリティ製品「GUARDIANWALL Mailファミリー」を想起する方も多いのではないだろうか。

　というのも、GUARDIANWALL Mailファミリーは1999年の提供以来、3000社以上、460万ユーザーが利用する「17年連続国内シェアNo.1」（※）を誇る多くのユーザーにとって身近な製品。GUARDIANWALL Webファミリーはそのメールセキュリティで長年培った技術ノウハウをURLフィルタリングや送信データ検査に応用したものとなっているのだ。

※富士キメラ総研2018ネットワークセキュリティビジネス調査総覧（メールフィルタリングツール）より

　GUARDIANWALL Webファミリーの中核となるのが、Webフィルタリングソフト「GUARDIANWALL WebFilter」だ。GUARDIANWALL WebFilterは、いわゆるWeb Proxyとして動作する。

図1　Webフィルタリングソフト「GUARDIANWALL WebFilter」の概要図。Web Proxyとして動作し、内外からのWebへのアクセスをチェック。各種機能で脅威をブロックする《クリックで拡大》

　外部からのサイバー攻撃の入り口はほとんどがWebとメールと言われている。内部から外部への情報漏えいについても、公開Webサーバの設定ミス、フィッシングサイトやC&Cサーバとの通信など、Webが起点になることがほとんどだ。最近はメールもWebメールとして利用するスタイルが広がった。従って、Webへの内外からのアクセスはProxyを通すことでほとんどの通信をチェックできるというわけだ。

　GUARDIANWALL WebFilterが提供する主な機能は、URLフィルタリング、コンテンツフィルタリング、標的型攻撃対策、送信ファイル・ログアーカイブ、ログ統計表示などだ。

図2　GUARDIANWALL WebFilterの機能一覧《クリックで拡大》

　URLフィルタリングでは1.4億以上のURLを72のカテゴリに分類した精度の高いURLデータベース（URLDB）を使用する。具体的には、世界6億ユーザー以上への保護実績を持つCYREN社のURLDBを利用することで、Webサイト網羅率99.9％（キヤノンITS調べ）を実現。URLやカテゴリ単位で容易にアクセス制限をかけることができる他、ポリシー設定により、「誰が」「いつ」「どこに対する」「どのような通信を」「どう処理する」かを柔軟に組み合わせて実行することが可能だ。

　「前述のように、フィッシングサイトのライフサイクルが短くなったことで、URLフィルタリングデータベースのアップデートが間に合わないケースが増えています。Webサイト網羅率の高いURLDBを利用することで、そうしたリスクを最小化しています。また、設定したポリシーに一致した通信を『どう処理するか』についても、『通信をそのまま流す』『禁止メッセージを表示し、Web閲覧や情報送信をブロックする』など6種類のアクションを用意しています。これにより、危険なWebサイトによる被害を防ぐとともに、対処すべき通信の選別、その後の対応まで自動化することで、Web利用者の業務を妨げず、運用者の負担を軽減しながら、人的ミスを確実に防止できるのです」

図3　柔軟なポリシー設定ができるURLフィルタリング機能。管理者の運用負担を抑えながら、社内由来の脅威を確実に防止する《クリックで拡大》

高度な日本語解析処理技術を用いたコンテンツフィルタリングで情報漏えいを防止

　以上のようなURLフィルタリングの精度の高さ、設定の柔軟性は、GUARDIANWALL WebFilterの特長の1つとはいえ、同様の機能は、品質の違いこそあれ、他社製品にも存在する。その点、GUARDIANWALL WebFilterならではの大きなアドバンテージとなっているのが、高い日本語解析処理技術を用いた「コンテンツフィルタリング」機能だ。

　「コンテンツフィルタリングには、送信データに特定キーワードを含む通信を制限する『キーワード検査』機能、送信データに個人情報・マイナンバーを含む通信を制限する『個人情報検査』機能があります。検査する送信データは、Office 365などのWebメールやSNSへの書き込みを対象とします」

図4　日本語解析処理技術を用いた「コンテンツフィルタリング」機能。設定したキーワードや個人情報などが、WebやWebメールなどから外部に漏えいすることを未然に防ぐ《クリックで拡大》

　「『機密』や『社外秘』など、あらかじめ禁止キーワードを登録しておき、送信データにそのキーワードが含まれていた場合に接続を拒否します。特定のキーワード検査では発見が難しい個人情報についても、当社の特許取得済みの独自技術を使ってブロックします。マイナンバーはチェックデジットを検査することで正確な検知が可能です」

図5　会社のネットワークを介する通信である以上、シャドーITによる情報漏えいにも確実に対処できる《クリックで拡大》

　これらはHTTPSで暗号化されている状態でも実施可能な他、検査ログに含まれるクレジット番号などの機微情報を、指定条件に基づいてマスク表示する「プライバシー情報保護」機能（特許出願中）によって管理者からの情報漏えいを防げる点もポイントだ。

いかに業務を阻害せずに、標的型攻撃、内外の脅威から自社を守るか

　一方、標的型攻撃対策としては、特定サーバとの長時間の通信を検知すると自動的にブロックする「コネクトバック通信検知」機能や、標的型攻撃メールなどに含まれる脅威URL情報を受け取ることができる「脅威情報連携」機能を持つ。脅威URL情報は、キヤノンITSの「GUARDIANWALL Mailファミリー」やトレンドマイクロの「Deep Discovery Inspector（DDI）」から自動で連携される。脅威URL情報を使うことで、既知の脅威にくわえ、未知の脅威の可能性が高いURLもブロック対象とすることが可能だ。

　この他、「期間」「時間範囲」「特定のURL」など検索条件を指定することで、Webアクセスログ全体から特定のログを抽出できる「ログ」機能、Webメールの添付ファイルやWebサイトにアップロードされたファイルをアーカイブして「利用者がどのようなファイルを外部へ送信したか」を確認できる「アーカイブ」機能、ユーザーのWeb利用の統計情報をグラフ化して閲覧できる「統計情報」機能など、セキュリティツール運用の経験が浅い担当者にとっても過去や現状を把握・分析しやすい機能を備えている。

　「こうした機能群は、いかに業務効率を阻害せずにセキュリティを担保するかという、セキュリティ対策の前提をクリアできるよう開発しています。GUARDIANWALL WebFilterは、標的型攻撃対策も含めた総合的なWebフィルタリングソフトです。外部、内部の脅威から効果的・効率的にビジネスを守ることができます」

　西浦氏は「自社のセキュリティ対策について、以下のポイントに絞った確認をぜひお勧めしたい」と話す。

• 現在利用しているセキュリティツールは、機能の有無だけでなく、自社のセキュリティポリシーを満たしているか
• 業務にフィットする柔軟性を備えているか
• 管理者の運用負荷を軽減できているか
• うっかりミスや設定ミスなど人的ミスを防止できているか
• 標的型攻撃対策まで一元的にカバーできているか

◇

　一般に、セキュリティ対策はポイントソリューションの組み合わせが求められるなど、管理者にとって煩雑になりがちなものだ。その点、内外のセキュリティリスクを抑えるキモとなるWebフィルタリングの観点で対策を実施するアプローチは、企業規模を問わず、導入しやすく成果も上げやすい対策と言えるのではないだろうか。