いま、企業が本当に取り組むべき標的型攻撃は?:@IT セキュリティセミナーレポート(2/2 ページ)
8月28日に都内で開催された@IT編集部主催のセミナーのテーマは「標的型攻撃対策」。「やった気になるだけ」で終わるのではなく、本当に実効性を持った対策を進めていくためのヒントが紹介された。
セッション2〜パスワードリスト攻撃が急増、狙われるWebサイト
セッション2は、「サイト運営の要は先手のセキュリティ〜頻発する脅威への防御策」と題し、日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 上席部長、安達徹也氏が登壇し、Webサイトのセキュリティの現状や対策を解説した。
同社の調査によると、日本企業の大半は自社サイトが「ある程度安全である」(69%)と考える一方で、Webサイトの脆弱性診断やスキャンを「1年以上前に実施」または「一度もしたことがない」と回答する企業が5分の2を占めたという。安達氏は「診断していないのに安全だと思い込む、根拠のない自信」と危惧する。
最近はSQLインジェクション攻撃やXSS(クロスサイト・スクリプティング)攻撃、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃、アカウントリスト攻撃など、攻撃はますます激化している。対策予算を確保できず放置するケースもあるが、その場合は被害時に数億円規模の損害を覚悟する必要があるかもしれない。
ベリサインでは、こうした問題に対して本番稼働前のテストや実際の運用時に実施できるサービスを提供している。
テスト段階では、ぜい弱性をチェックする「ベリサインセキュリティ診断サービス」を用意した。リモートまたはオンサイトで専門家が診断し、結果を報告する。内容の解説はもちろん、発見されたぜい弱性の無償再診断なども含まれる。なりすましや正常な通信など、専門家の判断を要する攻撃を見つけ出すのに有効だ。
運用段階では、SSLサーバ証明書の無償バンドルサービス「マルウェアスキャン」と「脆弱性アセスメント」、別途オプションの「ベリサイン クラウド型WAF」がある。脆弱性アセスメントは週次でWebサイトのリスク評価と影響を診断、報告する。
発見した脆弱性をすぐにふさげない場合は、クラウド型WAFを利用する。クラウド型WAFは、アプリ層の通信内容から攻撃を判断、防御する。クラウドベースなので、安価かつ手軽に導入でき、運用負担もない。最近実装された「不正ログイン抑制機能」では、パスワードリスト攻撃の影響も最小限に抑えることが可能だ。1か月のトライアルサービスもある。
「本当にWebサイトが安全かは、診断を通じてきちんと確認してほしい。そうすることで対策も見えてくる」(安達氏)
セッション3〜UTMで総合的な標的型攻撃対策を実現
セッション3「巧妙化する標的型攻撃に対抗する、クライアント・レピュテーションとは?」では、フォーティネットジャパン コーポレートマーケティング部 部長、余頃孔一氏が登壇した。
標的型攻撃は、守りの弱いデバイスからマルウェア感染し、内部で拡散して機密情報へと近づく。中でも危険なデバイスは、スマートフォンだ。「今年の第1四半期で全世界のスマートフォン出荷台数は2億1600万台で、スマートフォンを狙ったマルウェアも急増している。弊社の2013年7月のウイルス活動ランキング・トップ10にも、とうとうモバイルマルウェアが登場した」(余頃氏)
こうしたマルウェア侵入を防ぐのがファイアウォールだ。ただし、巧妙化した最近のマルウェアは、URLフィルタリングやアンチスパムなどをゲートウェイとクライアントの両方で実施しなければ止められない。そこで人気を集めるのが、UTMだ。複数の機能を統合管理できるUTMは大企業でも導入が進み、年平均成長率は14%とも言われている。
FortiGateアプライアンスは、高速・多機能・安価が特長のUTMだ。プロセッサからOS、筐体まですべて自社開発なので、機能を最適に処理して高速パフォーマンスを実現できる。
機能には、ウイルス対策やIPS、Webフィルタリング、サンドボックス、WAN最適化など豊富だ。特に出口対策となるクライアントレピュテーション機能は、疑いのある挙動を蓄積して脅威レベルを判定、外部との通信を遮断する。また、最新OS「FortiOS 5.0」ではローカルとクラウドの両方にサンドボックスに対応。クラウド側で全OS環境を用意し、ローカルで判断できなかった挙動を詳細解析できる。
なお、アプライアンスのライセンス費はどの機能を選択しても一律で、ユーザー数も無制限だ。アプライアンス選定時は、スループットを見るだけでいい。
導入実績も豊富で、NTTコミュニケーションズのOCNセキュリティゲートウェイサービスとして採用されるほか、無線LANアクセスポイント「FortiAP-221B」とFortiGateを融合した「FortiWifi」が大手化粧品会社のエスティローダーの1万5000店舗で導入されている。
「標的型攻撃対策は、入口・出口対策やクライアント対策、拡散防止、潜伏期間対策のサイクルを回すのが効果的だ。FortiGateをぜひそのサイクルの中で活用してもらいたい」(余頃氏)
特別講演〜組織内CSIRTのススメ
最後は、NECネクサソリューションズ 中西克彦氏による特別講演「可視化で備える標的型攻撃」だ。
中西氏は、標的型攻撃を防ぐのが難しい理由に「ソーシャルエンジニアリングを駆使される」「一回きりの攻撃はアンチウイルスソフトだけで検知できない」「一度侵入されるとなかなか見つけられない」と、3つのポイントを挙げた。そして、これらを解消する方法の1つが攻撃の「可視化」だと推奨する。
「いつ、どこへの攻撃が何件あり、その内容や傾向、特徴は何だったか。このように攻撃を可視化できれば目標も立てやすく、体制も構築しやすい」(中西氏)。
例えば、標的型攻撃メールを可視化すると、攻撃件数やマルウェアの通信先、攻撃者、目的が見えてくる。そうすれば、ドライブバイダウンロードの接続先をURLフィルタなどでブロックしたり、マルウェアの特徴や接続先情報に基づいてネットワーク内の拡散の可能性を予測したりできる。
また、内部感染状況を可視化することも重要だ。「最近は標的のPCにパスワードクラックツールをインストールし、内部で実行してパスワードハッシュを奪うPass-the-Hash攻撃もあり、巧妙化している。内部の状況を可視化できれば、怪しいふるまいの端末も発見でき、対策を講じられる」(中西氏)
しかし、中には自社内で対応しきれないインシデントもある。そんなとき、全情報を外部のセキュリティ会社に開示、調査してもらうことに抵抗を感じる企業もあるだろう。そこで中西氏が提案するのが、「組織内CSIRT」の整備だ。
「攻撃側は協力体制が整っているのに、守る側が整っていないのはおかしい」と、NECのCSIRT推進センターを兼務する同氏はいう。「社内外の窓口を組織CSIRTに一本化すれば情報共有はスムーズになり、対外的にも信頼関係が構築できる。インシデントの早期対応にもつながるだろう」(中西氏)
組織内CSIRTの機能は、インシデント発生時のハンドリングを行う「事後対応型サービス」、セキュリティ監視や検知、セキュリティ製品およびサービスを運用管理する「事前対応型サービス」、リスク分析や教育/トレーニングを実施する「セキュリティ品質管理サービス」の3つに大きく分けることができる。
【関連記事】
管理者のためのセキュリティ推進室
第1回 インシデントレスポンスとは?
http://www.atmarkit.co.jp/fsecurity/rensai/inci01/inci01.html
もっとも、これらすべてを自社でまかなうことを推奨しているわけではない。「特に中小企業は標的型攻撃の格好の的で、組織内CSIRTを最も設置してもらいたい領域」と話す中西氏だが、リソースや維持の不安もある。これについては、「自分たちでできることは自分たちで対応し、難しいところは信頼できるパートナーに任せる判断をしてほしい」と、中西氏はいう。外部との信頼関係を築いていれば、こうした判断も正しく行える。
自分たちの技術や対応力に不安があれば、セキュリティセミナーやトレーニングを利用する手がある。中西氏は現在、CTF形式の体験型セキュリティトレーニングやウイルス感染体験トレーニングなどで、攻撃や防御を肌で理解するための取り組みに携わっている。
「演習やトレーニングはもちろんのこと、『Hardening Project』のように競技形式で技術力や対応力を磨くイベントもある。こうしたイベントを積極的に活用し、サイバーリスクに強い、組織内CSIRTのある企業を目指すのはいかがだろうか」(中西氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 知らないほうがいいのかもね? 人の脆弱性にハラハラ
不正アクセス禁止法の改正によって、いわゆるフィッシングサイトの設置や、そこへ誘導するフィッシングメールの送信が禁じられることになった。今回は、そのフィッシングサイトの危険性、ひいてはそれにだまされる「人」というものの脆弱性を、実際にサイトを構築することによって検証してみる。 - インシデントレスポンスとは?
- 管理を無茶振りされたサーバを守り抜け! Hardening One Remix開催