高度化するサイバー攻撃から組織を守るには――対抗の“鍵”はクラウド時代の新たなセキュリティ対策にあり:モバイル、クラウド……複雑化する企業ITを安全に活用するために
現在では、標的型攻撃に代表されるように攻撃が高度化され、その防御はますます困難になってきている。例えば、機密情報を狙った攻撃では、以前のように、感染していることが一目で分かるような派手に動作するマルウエアは使用されず、一見しても動作しているかどうかも気付かないほど地味だが、企業にとってはよりダメージの大きいマルウエアが使用される。そのため、現在ではこれまで以上にセキュリティが重要視されている。日本マイクロソフトのセキュリティアーキテクトであり、筑波大学で『情報セキュリティ概論』の教鞭をとる蔵本雄一氏に、昨今のセキュリティ事情とマイクロソフトの取り組みについて伺った。
攻撃者にとって“アクセス権を持つID”の価値が向上
近年では、ユーザーアカウントを奪取することで、データベースや重要なファイルへのアクセスを容易にするケースが目立つ。こうすることで、より容易に攻撃を成功させることができるためだ。まさに“将を射んと欲すればまず馬を射よ”といえる。
日本マイクロソフトの蔵本雄一氏によると、「最近はActive Directoryを含む、資格情報の奪取を狙った攻撃が増えてきている」という。
2014年12月には、JPCERTコーディネーションセンター(JPCERT/CC)がActive Directoryのドメイン管理者アカウントを悪用するサイバー攻撃について注意喚起を行っている。また、情報処理推進機構(IPA)も2015年6月に発した注意喚起の中で、Active Directoryのログやサーバーの確認についての項目を設けた。
- Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起(2014年12月19日:JPCERTコーディネーションセンター)
- 【注意喚起】組織のウイルス感染の早期発見と対応を(2015年6月10日:情報処理推進機構)
「近年のマルウエアやサイバー攻撃では、『Pass the Hash』など、資格情報を狙った攻撃を仕掛けるものが増えています。特に大規模組織が狙われるようです。大量のPCを導入する際などには、PCの初期設定を行うためのアカウントを同一のアカウントで設定することが多いため、これを奪取されてしまうと、一気に被害が拡大する恐れがあります」(蔵本氏)
クラウドサービスで包括的なセキュリティ機能を提供
従来のように、「社外に情報が出さえしなければよい」というコンセプトに基づいた対策では、現在の多様なワークスタイルに対応することは難しい。なぜなら、企業競争力を向上するため、デバイスやデータは社内だけに収まらず、社外へ持ち出される事が常識になってきたからだ。そのため、デバイスやデータなど、複数のレイヤーで対策を行う多層防御が、より重要性を増してきているのだ。
以下の図1を見れば、ネットワーク、ゲートウエイ、サーバー、認証基盤、エンドポイント、データ、資産管理・構成管理などのマネジメント、および取引先や自宅、クラウド環境まで、どこをどのように保護すべきか、その多様性が分かるだろう。その各レイヤーについて、マイクロソフトの製品・サービスは対策を講じている。
例えば、「Office 365」は人気の高いクラウドサービスだが、一般的なメールサーバーなどでも必要となるマルウエア対策/スパム対策/電子文書管理が標準で実装されている。さらに、セキュリティ対策とマネジメントを強化したいユーザーに、蔵本氏は「Enterprise Mobility Suite(EMS)」の活用を勧める。EMSはクラウド時代の新たなセキュリティ対策ニーズに応えるべく、さまざまなサービスが統合されたクラウドソリューションである。EMSを活用することで、前出の図1に示したように、セキュリティ対策の範囲を広げることができる。
- Enterprise Mobility Suite(マイクロソフト サーバー&クラウド プラットフォーム)
EMSによるセキュリティマネジメントは多岐にわたるが、今回は「特に使ってほしい機能」について、蔵本氏にピックアップしていただいた。
Enterprise Mobility Suiteのお勧め機能紹介
●ユーザー認証を強化する「Azure Active Directory Premium」
「Microsoft Azure Active Directory」は、クラウドサービスのID管理における中核となる機能の一つだ。Office 365だけでなく、他社のクラウドサービスとも親和性が高く、安全な利用を促進するサービスといえる。EMSには、標準で上位版の「Microsoft Azure Active Directory Premium」(以下、Azure AD Premium)が含まれている。
- Microsoft Azure Active Directory(Microsoft Azure)
Azure AD Premiumでは、Office 365やSalesforce.com、Dropboxなどのクラウドサービスとの連携でシングルサインオン(SSO)を実現できる他、パスワードリセットやグループ管理など、一部の管理業務をユーザー自身に任せるセルフサービス機能によって、管理負荷の軽減を図ることが可能だ。
Azure AD Premiumの最大のポイントは、多要素認証への対応である。一般的に最も利用されているID/パスワードによる認証は、安全性が疑われてから久しい。多要素認証を有効にすることで、専用のアプリを通じてワンタイムパスワードを利用したり、電話認証を用いたりすることで、より安全なアクセスが実現する。
「EMSは、企業が将来的に“フルクラウド”環境への移行を検討するときでも、基盤を支える機能として役立つでしょう。マイクロソフトは、クラウド技術、サービスへの投資を強化しています。AzureやOffice 365など、弊社のクラウドサービスが稼働しているデータセンターや物理環境など、インフラのセキュリティはマイクロソフトだからこそ実装できる非常に堅固なものになっており、高いレベルの安全性を実現しています。大規模なネットワーク攻撃への備えも万全なため、安心してデータやシステムを預けていただくことができます」(蔵本氏)
●社内外での安全なデータアクセスを実現する「Azure RMS Premium」
データ保護を考える際には、「正しいユーザーが、正しいデータにアクセスできる環境」を用意することが重要になる。
マイクロソフトでは、情報漏えい対策ソリューションとして、社内設置型の「Active Directory Rights Managementサービス(AD RMS)」と、クラウドソリューションである「Azure Rights Management Services Premium(Azure RMS Premium)」を提供している。これらは、重要なメール/ドキュメントなどの機密データを暗号化し、情報漏えいを防止するソリューションである。AD RMSとAzure RMS Premiumは、暗号化したデータを開く際に、単なるパスワード認証ではなく、認証サーバーに対して認証を行う必要があるため、非常に強固である。
さらに、Azure RMS Premiumでは、認証サーバーがクラウド上に設置されているため、例えば、取引先や社外のユーザーとのデータ共有においても、機密性を確保しながらのやりとりが可能になる。このようにAD RMSよりも柔軟に各種要件に対応することができる。
- Azure Rights Managementの概要(マイクロソフト TechNet)
Azure RMS Premiumで安全性と利便性がさらに強化する機能の一つが、「Tracking Portal」だ(現在はプレビュー提供、年内にも正式提供される予定)。Tracking Portalの機能を利用することで、攻撃や事故そのものが検知できずにファイルが流出してしまったとしても、ファイルを開いた国を特定することができ、なおかつ、後からデータの閲覧権限を剥奪することができる(画面1、画面2)。
- Welcome to Azure RMS Document Tracking[英語](Microsoft TechNet Blogs)
画面1 Azure RMS Premiumの「Tracking Portal」では、どのユーザーがアクセスしたのか、何回閲覧されたのか、何度閲覧が拒否されたのかなど、ファイルへのアクセス履歴を追跡できる
「検出精度の高いアンチウイルスソフトや、サンドボックスを導入しても、ウイルス感染やサイバー攻撃を完璧に防げるわけではありません。また、従業員がミスや悪意で情報を流出させることもあります。重要なことは、セキュリティ侵害が発生した後、どう対処すべきかという点です。Tracking Portalは、そうした事後の対策として非常に有効なソリューションとなります」(蔵本氏)
●管理業務を安全かつ便利にする「Microsoft Identity Manager」
蔵本氏がもう一つオススメするのが、EMSの一機能として提供しているID管理製品「Microsoft Identity Manager(MIM)」(旧名称は「Forefront Identity Manager)である。最大のポイントは、「特権IDを一時払い出しできる」機能が搭載されることだ。
近年発生している情報漏えい事件で、特に内部不正に関連するような事件に関しては、管理者権限の付与についての運用が問題となるケースが散見される。
例えば、特権IDのユーザーIDやパスワードを特定の従業員に知らせておくような運用だ。こういったケースでは、この従業員が悪意を持ってしまった場合の意図的な情報漏えいを防ぐことが非常に難しい。MIMの新機能により、必要な場合に限って特権IDを払い出すことができるため、常に管理者権限で運用するといった必要以上の権限を与える危険な運用ではなく、常に最小権限での安全な運用を可能にすることができる。
●資格情報への攻撃を感知する「Microsoft Advanced Threat Analytics」
EMSの最新機能として注目したいのは、2015年8月に提供が開始された「Microsoft Advanced Threat Analytics(ATA)」である。ATAは、ドメインコントローラーに対するアクティビティを自動的に分析、学習、識別し、「Pass the Hash」や「Brute Force Attack」など、資格情報を狙ったサイバー攻撃を検知、通知する機能になる。
- Microsoft Advanced Threat Analytics(マイクロソフト)
最新のマルウエアは、検知回避技術の実装や大量の亜種、新種の登場により、アンチウイルスソフトだけでは、十分な検知能力を発揮することは難しい。そのため、200日以上も組織内に潜伏して攻撃を継続するケースも増えてきている。Microsoft ATAは、そうした悪意のあるプログラムの活動を分析することで、感染から検知までの時間をできる限り短縮するものだ。蔵本氏によれば、現在では、マルウエアへの感染を防いだり、サイバー攻撃を防御したりするだけでなく、被害を最小限に食い止めるための検知、分析のソリューションが非常に重要であるという。
「複数の層で防御する多層防御では、防御が困難なサイバー攻撃への対抗や端末の持ち出し、クラウドソリューションの導入といった企業競争力を高めるための機動力を同時に確保できるので、ぜひ、セキュリティと生産性の向上を同時に実現してほしい」(蔵本氏)
Copyright © ITmedia, Inc. All Rights Reserved.