中小企業も狙われている!! 限りある『知識』『費用』『技術』で標的型マルウェアから身を守るには:中堅中小企業も手軽に導入できる標的型攻撃対策サービス
デル・ソフトウェアとソフトバンク コマース&サービスが2016年11月から、新たな標的型サイバー攻撃対策ソリューションの展開を開始する。最大の特徴は、高品質なサンドボックス機能を低価格で導入できるようにしたこと。新しいソリューション「Dell SonicWALL Capture」は企業のセキュリティ対策にどのように貢献するのか。
第一世代サンドボックスでは最新の標的型マルウェア攻撃は防げない!
標的型マルウェア攻撃の凶暴化が止まらない――。マルウェアの数が増えているだけでなく、マルウェアを使った攻撃自体の数も増加の一途をたどっているのだ。
デルが毎年発行しているセキュリティ脅威レポートの最新版「2016 Dell Security Annual Threat Report」(https://www.sonicwall.com/whitepaper/2016-dell-security-annual-threat-report8107907)によると、2014年から2015年の1年間にマルウェアの脅威は倍増。具体的には、2014年にはマルウェア数が3700万個、攻撃数が42億件だったのに対し、2015年にはマルウェア数は6400万個、攻撃数は約82億件に達したという。
恐ろしいのは総数の増加だけではない。同レポートが指摘しているのは、標的型マルウェアがサンドボックスによる検知をすり抜けるように作られ、初期型のサンドボックスではほとんど検知できなくなっているということだ。デル・ソフトウェアの長田正也氏(ネットワークセキュリティ技術部 セキュリティエンジニア)は、最新の標的型マルウェアを次のように解説する。
「第一世代のサンドボックスはシステムコールをエミュレーションするだけで、CPUやメモリまではエミュレーションしません。攻撃者はそれを利用して、サンドボックス内で実行されていることを認識するマルウェアを作成するのです。現在、標的型マルウェアはツールキットを使って、誰でも簡単に作成できるようになっています。サンドボックス回避オプションを備えたツールも数多く出回っているほどです」(長田氏)
長田氏によると、凶暴化の兆候はその他にも多々見られるという。例えば、これまではマルウェアの攻撃対象はWindows PCがメインだったが、それがモバイルデバイスやネットワーク機器にまでターゲットを広げ、より広範囲な領域で活動するようになった。
また、一般の通信だけでなく、HTTPSのような暗号化通信を使って検知をすり抜ける「見えない化」も進んでいる他、さまざまなファイルタイプやファイルサイズに偽装して、通常の通信に紛れ込もうとする傾向も強まっているという。
デル・ソフトウェアとともにセキュリティソリューションを展開するソフトバンク コマース&サービスの鈴木善敬氏(ICT事業本部 MD本部 セキュリティマーケティング室)は、中堅中小規模の企業ほど標的型マルウェア攻撃のリスクが高まっているとし、次のように指摘する。
「もともとサンドボックス製品は導入にコストが掛かることもあり、中堅中小規模の企業が利用するにはハードルが高いのが現実でした。しかし、近年の標的型マルウェアは、企業規模を問わず、あらゆる企業が攻撃対象となっています。むしろ、予算やリソースの関係で対応が遅れ、防御が手薄になっている中堅中小の企業が狙い撃ちにされている傾向もあります。中堅中小規模の企業でも、より効果的なゼロデイマルウェア対策を導入することが必要になってきています」(鈴木氏)
標的型攻撃対策で求められる技術的要件とは?
凶暴化する近年の標的型攻撃への対策には、どのような技術要件が求められるのだろうか。長田氏は、次のようなポイントを挙げる。
(1)マルウェアの検知回避活動をより難しくするための多層防御技術
(2)一般通信に加え、暗号化通信に対するセキュリティ検査
(3)幅広いファイルタイプ、対応OSが解析可能であるシステム
(4)検査ファイルの解析が完了するまでネットワークへの侵入を遮断可能な仕組み
(5)確認された新たなマルウェアに対する高速なシグネチャ展開
(6)モバイル向けマルウェアへの対策
こうした技術要件を全て満たすことはなかなか難しい。例えば、1つ目の多層防御の仕組みを実装できたとしても、2つ目の暗号化通信の検査や、3つ目のさまざまなファイルタイプに対応した解析ができなければ、マルウェアへの感染リスクは低下しない。
また、仮に未知のマルウェアをうまく検知できたとしても、4つ目の要件のようにマルウェアを速やかにブロックしたり、5つ目の要件のように高速にシグネチャとして展開したりする仕組みがなければ、ネットワーク内への侵入と感染を止めることはできない。
さらに、6つ目にあるように、一人で複数台のデバイスを所有したり、BYOD(Bring Your Own Device:個人所有端末の業務利用)が進んでいる企業では、Windows PCだけでなくAndroidやMacといったスマートフォンやタブレットを対象にしたマルウェアへの対策も講じていく必要がある。
これまでの標的型マルウェア対策は、サンドボックスを使った未知の脅威の検知から、グローバルな脅威インテリジェンスを使ったマルウェアの解析と情報共有、そしてシグネチャの迅速な展開といった形で発展してきた。そうした発展段階に合わせて社内のセキュリティ対策もアップデートしていくことができればよいが、実際には予算や時間、リソースなどの問題でアップデートが追いついていないのが現実だろう。
「防御にところどころ穴があることは理解していても、現実的に対処できずに頭を悩ませている企業は多いと思います」と長田氏は指摘する。特に、中堅中小規模の企業は切実だという。また、鈴木氏は「3つの項目の“不足”が、中小企業のセキュリティ対策の大きな課題として立ちはだかっている」と指摘し、次のように説明する。
「まず、標的型マルウェアが世間一般でどんな状況にあるか、また自社のネットワークがどんなリスクにさらされているかといった“知識が足りない”ことが挙げられます。次に、それが分かったとしても、対策するための費用を生み出せないという“お金の問題”が出てきます。そして、費用を生み出せても、対策を講じる上で新しい事を覚える“技術者が足りない”ことも課題になります。中堅中小規模の企業は『知識』『費用』『技術』3つの“不足”によって、今現在も危険にさらされ続けているのです」(鈴木氏)
5つの特徴で最新の脅威に対抗する「SonicWALL Capture」
こうした企業の状況に対し、デル・ソフトウェアとソフトバンク コマース&サービスが協力して2016年11月から提供開始予定なのが標的型攻撃対策サービス「Dell SonicWALL Capture」(以下、SonicWALL Capture)だ。
- デル・ソフトウェア、新たな標的型攻撃対策サービス「Dell SonicWALL Capture」を発表(プレスリリース)
- SonicWALL Captureによる高度な脅威対策サービス(デル・ソフトウェア)
SonicWALL Captureは、デル・ソフトウェアの定評あるUTM(Unified Threat Management:統合脅威管理)製品「SonicWALL」にクラウド型のマルチエンジンサンドボックス機能を加えて提供される新しいサービスになる。
UTM製品としてのSonicWALLの特徴は、「RFDPI(Reassembly-Free Deep Packet Inspection:再構築不要なDeep Packet Inspection)」と呼ばれるパケットを再構築せずにマルウェアをスキャンする独自技術によって、高いパフォーマンスで動作し続けること。
▲パケットを再構築せずにマルウェアをスキャンする独自技術「RFDPI(Reassembly-Free Deep Packet Inspection:再構築不要なDeep Packet Inspection)」《クリックで拡大します》
長田氏によると、UTM製品の中にはウイルススキャンなどの機能を有効にすると、性能が著しく低下するものが多いという。対して、SonicWALLはRFDPIでパフォーマンス低下を抑えると同時に、機能ごとに処理を実行するCPUコアを分ける「マルチコアアーキテクチャ」を採用することで、全ての機能を高いパフォーマンスで実行することができる。
このSonicWALLのUTMの特徴を生かしながら、さらにサンドボックスとしての機能を強化して提供されるサービスがSonicWALL Captureだ。SonicWALL Captureでは、まずアンチウイルスエンジンによる検査を行い、問題があった場合にSonicWALL Captureクラウドにファイルを送信し、そこでさらにフィルターで検査後、サンドボックスエンジンで詳細にチェックを行うという多層防御の仕組みを採用している。
SonicWALL Captureには、以下の5つの特徴がある。
(1)世界初マルチエンジン搭載
(2)小規模/低価格から導入可能
(3)幅広いファイルタイプ、OS環境をサポート
(4)日本国内にデータセンターを設置
(5)高度なセキュリティを提供
1つ目の特徴は、サンドボックスとして米Lastline、独VMRAY、SonicWALL独自エンジンというタイプの異なる3つのサンドボックスエンジンを使って脅威を検知することが最大の特徴。これにより、特定のエンジンをすり抜ける回避機能を備えたマルウェアも確実にチェックすることができる。
2つ目の特徴は、導入の容易さだ。SonicWALL Captureは、小規模向けの「TZ」シリーズ、中規模向けの「NSA」シリーズ、大規模向けの「SuperMassive」シリーズというSonicWALLネットワークセキュリティアプライアンスに対応し、規模にあったコストで導入することが可能だ。むしろサンドボックス導入を見合わせていた企業にこそメリットがある。
3つ目の特徴は、多様な脅威に対抗できること。検査可能なファイルタイプは、PE、Microsoft Office、PDF、アーカイブ、JAR、APK。OSはWindows、Android、Mac OSに対応する。また、怪しいファイルは手動でアップロードしてサンドボックスで検査することも可能だ。
4つ目の特徴は、米国(カリフォルニア、マイアミ)、欧州の他、日本にもSonicWALL Captureサービスを提供するデータセンターの設置を秋に予定している。日本のデータセンターを利用すれば、国外へデータが転送されることがない上、ファイル送信の際のレイテンシを低く抑えることが可能だ。
5つ目の特徴は、脅威を判定するまでにマルウェアの実行を遮断したり、シグネチャを高速展開したりといった高度な機能を有していることだ。実行を遮断することでマルウェアがネットワークに侵入することへの対策が可能だ。また、シグネチャと脅威情報は直ちに共有されるが、SonicWALL Captureサービスを利用していないユーザーであっても48時間以内に共有が行われる。
なお、SonicWALL Captureには「脅威分析ダッシュボード」とレポート機能が用意されており、SonicWALL Captureでのファイル分析結果の詳細を確認することができる。レポートで確認できる情報は、セッションデータ、OS情報、OSおよびネットワークの活動など。ファイル履歴レポートには、スキャンおよび分析された全てのファイルと分析結果の判定が表示される。また、ファイアウォールログのアラートでは、SonicWALL Captureに送信された疑わしいファイルの通知と、ファイル分析の判定が提供される。
こうした特徴やレポート機能からも分かるように、長田氏が先に挙げた技術要件の全てを満たしつつ、さらに企業にとって使いやすいサービスに仕上がっていることが、SonicWALL Captureの大きな魅力となっている。
中堅中小規模の企業にこそ利用してほしい
その上で、長田氏はSonicWALL Captureを展開する意図について、次のように説明する。
「サンドボックスは、その価格が導入のボトルネックになっていました。一方、安価に導入できるサンドボックスは品質面で課題を抱えていました。SonicWALL Captureはそうしたサンドボックス導入の課題を解消し、あらゆる規模の企業が利用できるサービスです。サンドボックスの検知率が低くて悩んでいる方、サンドボックスを使いたいという方にぜひ利用していただきたいと思います」(長田氏)
また、鈴木氏も次のようにアドバイスする。
「10人規模の企業から数万人規模の企業までが利用できるセキュリティソリューションは、なかなかありません。これまで中堅中小規模の企業が抱えていた課題に応えられるソリューションがようやく出てきたという印象です。セキュリティは難しいと思っている中堅中小企業にこそ、利用してほしいサービスですね」(鈴木氏)
導入の容易さという点で興味深いのは、必ずしも既存のセキュリティ製品を置き換える必要はないという点だ。UTMの特定の機能だけを有効にしたり、SonicWALL Captureの仮想サンドボックス機能だけを有効にしたりして、既存環境のセキュリティレベルをプラスアルファで向上させるといった導入も可能だ。
標的型マルウェア攻撃の多くが金銭目的である以上、今後も企業を狙った攻撃は止むことはないだろう。これまではコストやリソース面で十分なセキュリティ対策を講じられない企業、特に中堅中小企業にとっては、サンドボックスの導入は大きな課題だった。
だが、SonicWALL Captureでは、標的型マルウェアに対して、大規模環境と同等レベルのセキュリティを低コストで確保することが可能だ。標的型攻撃防御ソリューションの決定版として、ぜひ検討してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク コマース&サービス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年10月28日