第9回 情報セキュリティEXPO レポート
複雑化、巧妙化する脅威への対策は?
谷崎朋子
@IT編集部
2012/5/23
5月9日〜11日に開催された「第9回 情報セキュリティEXPO」では、複雑化する攻撃にシンプルなコンセプトで対抗するセキュリティ製品を見ることができた。そのいくつかを紹介する。(編集部)
情報セキュリティを取り巻く状況は複雑化する一方だ。昨年から話題となった標的型攻撃をはじめ、巧妙化するマルウェアへの対策はもちろん、急速に普及するスマートフォンも含めた情報漏えい対策や、仮想化/クラウドコンピューティングといった新しいインフラの保護までが求められており、何を、どの程度実施すればいいのかが見えにくくなっている。
だが、このように複雑に思えるセキュリティ対策を支援するため、分かりやすいシンプルなソリューションが登場している。5月9日〜11日に東京ビッグサイトで開催された「第9回 情報セキュリティEXPO」の会場で見つけた、そんな製品をいくつか紹介する。
シンプルな仕掛けでデータを保護
デジタルアーツは、5月8日に発表したデジタルライツマネジメント製品「FinalCode3」を紹介した。URLフィルタリングソフト「iFilter」で知られる同社だが、FinalCode3は、コンテンツそのものの保護に主眼を置く製品だ。データを暗号化し、権限を与えた人物しか閲覧、編集できないようにすることで、たとえ誤送信などがあっても情報漏えいを水際で防止する。
特徴は、テキストやOfficeドキュメントにとどまらず、CADの図面や財務情報などあらゆる種類のファイルの暗号化に対応していることだ。「顧客が本当に保護したいのは、実は業務に特化したファイル」(デジタルアーツ)。
また、いつ、どのユーザーが、どういった操作を行ったかのアクセスログを記録することもできる。ポリシーに反する操作を検出した際には、アラートを出してファイルをリモートから削除する仕組みも備えた。独自の電子証明書を用いたパスワードレス暗号によって、ユーザーの負担が少ないこともメリットだという。
写真1 デジタルアーツの暗号化/DRM製品「FinalCode3」 |
FinalCode3は、SaaS形式ならびにバーチャルアプライアンス形式で提供される。価格は1ライセンス当たり1万5000円からで、7月2日に販売を開始する。
ROM化技術を利用したセキュリティ対策製品を開発・販売するロムウィンは、同社製品群を組み合わせた在宅勤務ソリューションを提案していた。1つは、最新版の「ROM化Windows 8」だ。これはWindows 8をROMイメージ化してUSBメモリに保存した製品だ。このUSBメモリを差し込めば、使用PCの環境と完全に切り離された形でWindows 8を起動できる。作成データもUSBメモリ内にしか保存されず、使用PCには一切残らない。
さらに、PCのHDD領域をROM化する「ROM化クライアント T4」と指紋認証対応のUSBメモリ「PUPPY」を組み合わせれば、電波の届かないオフライン環境でもシンクライアントを実現できる。ROM化されたPCとPUPPYにグループIDを設定すれば、登録されていないPCにPUPPYを接続しても利用できない。「両方がそろわないと利用できない。いずれかを紛失しても情報漏えいの不安が軽減される」(ロムウィン)。
写真2 指紋認証対応「PUPPY」と「ROM化クライアントT4」による情報漏えい防止ソリューション |
領域を切り分けるという発想では、ソフトキャンプの「S-Work Point」も面白い。同製品は、新たに作成した仮想ドライブ自体を暗号化し、セキュリティ領域を設けてファイルなどを保護する。「CADの図面データなど、大容量ファイルを1つずつ暗号化・復号化するのは時間がかかる。保存領域を暗号化するだけであれば、フォルダからファイルを取り出すのと変わらない速度で処理が可能だ」(ソフトキャンプ)。
セキュリティ領域にはユーザー認証を通じてアクセスし、アクセスできるアプリケーションもあらかじめ登録できる。これによりユーザー認証、アプリケーション制御、暗号化領域の3重の保護対策を実現する。なお領域内のデータを持ち出すときは、利用者を指定して暗号化をかけるため、許可されない第三者は読むことができない。
標的型攻撃に「コロンブスの卵」の発想で対抗
今回最も多く出展されていたのは、標的型攻撃対策をテーマにした製品だろう。例えばトレンドマイクロは、メールとWeb,サンドボックスによる動的な解析という3つのコンポーネントを組み合わせて標的型攻撃を検出する「Trend Micro Deep Discovery」を紹介していた。
中でも異彩を放っていたのは、5月9日に販売開始したネットエージェントの新製品、「防人(さきもり)」だ。
同製品は、メールサーバ側で、添付ファイルを実行不可能な画像ファイル形式に変換することで、標的型攻撃を無害化する。疑わしいメールをフィルタリングする従来の手法には判断ミスの可能性があり、完全な対策とは言い難い。「プログラムが実行されない画像形式に変換して安全に読めるようにすればいい。ユーザーとしては、要は、添付ファイルの内容さえ確認できればいいのだから」(ネットエージェント)。
写真3 「防人」経由で受信したメールのサンプル画面。添付ファイルは無害な画像に変換され、送信元のIPアドレスやドメイン情報も明記される |
同製品は、仮想アプライアンスとしてメールサーバに実装される。既存システムの変更は不要だ。
なお同社ブースでは、標的型攻撃のリスクを実感してもらうため、仮想環境を用いたデモンストレーションも行っていた。同社代表取締役社長の杉浦隆幸氏が自ら、誰でも利用可能な検索サービスや「Cereberus」「Metasploit」などのツールを用いてデモを実施。検索サービスを利用して標的となりうる人物を探して連絡先を見付け出し、Cereberusを使って脆弱性を突いて感染するトロイの木馬を作成。さらに、Metasploitを用いてそのデータをPDFファイルに埋め込んで、知り合いからのメールに見せかけて送り付け、相手のPCを乗っ取るまでを示して見せた。
こうして作成されるトロイの木馬には、デバッグ機能やテスト機能、アクセス制御機能などを追加できる。特定のウイルス対策ソフトを停止させる「ブラックリスト」機能も搭載できるという“親切さ”だ。このようにして作成される“専用”トロイの木馬を用いた標的型攻撃は、「ウイルス対策ソフトだけでは検出が困難」(杉浦氏)。従って、実際の攻撃の流れを理解した上で、対策を考えることが重要だという。
ソリトンシステムズは、標的型攻撃対策の一環として、ウイルス定義ファイルに頼らずマルウェアを検出する「Zerona」を紹介した。
この製品は、フォティーンフォティ技術研究所が開発したマルウェア対策ソフトウェア「yarai」をベースにしたマルウェア対策ソフトだ。yaraiの特徴であるゼロデイ攻撃検出エンジン(ZDP)やサンドボックス技術を生かして高い精度で攻撃を検出する。ソリトンシステムズの統合PC管理ソフトウェア「InfoTrace PLUSシリーズ」との統合も図った。
写真4 InfoTrace PLUS風の管理インターフェイスを備えたマルウェア対策ソフト「Zerona」 |
これにより、これまで同社が培ってきた資産管理やUSBデバイス制御、操作ログの収集といった機能と組み合わせ、クライアントPCを包括的に管理できる。インターフェイスもInfoTrace PLUS風とすることで、運用管理を容易に行えるようにしている。
【関連記事】 ソリトン、シグネチャ非依存のマルウェア対策ソフト(@ITNews) http://www.atmarkit.co.jp/news/201202/02/soliton.html |
マカフィーは、OS上で動作する通常のアプリケーションでは検出が困難なカーネルモードのルートキット対策として「McAfee Deep Defender」を紹介した。深いレベルに入り込んでOSそのものを改ざんするような、危険性の高い攻撃を検出できるという。
McAfee Deep Defenderは、マカフィーとインテルが共同開発した「DeepSAFE」技術を活用したツールだ。Intel Core i3/i5/i7プロセッサが搭載するIntel Anti-Theftテクノロジを活用して、CPU(ハードウェア)とOSとの間に保護のレイヤを作り出す。具体的には、アドレステーブルへの書き込みやカーネルをフックするようなイベント情報(振る舞い)を監視し、悪意のある変更を阻止することで、ルートキットの動作を妨害する。
写真5 「McAfee Deep Defender」のデモンストレーション。ハードウェアを活用してルートキットの動きを検出する |
McAfee Deep Defenderは、基本的にはシグネチャ(定義ファイル)に頼らずに動作するが、マカフィーの脅威情報データベース「McAfee Global Threat Intelligence(GTI)」を参照することで、誤検出を減らす仕組みだ。日本国内でも夏以降をめどにリリースする予定という。
双方向ファイアウォールで端末を保護
スロバキアのウイルス対策ソフトベンダ、ESETとその販売代理店であるキヤノンITソリューションズは、企業向けエンドポイントセキュリティ製品の「ESET Endpoint アンチウイルス」「ESET Endpoint Security」を紹介した。展示会に合わせて来日したESETのチャネルマーケティングマネジャー、パーヴィンダ・ワリア氏は、「われわれはエンドポイントセキュリティに注力する」と述べた。
ESETはこれまで、アンチウイルス/アンチスパイウェア機能を提供する「ESET NOD32 Antivirus」と、その機能にパーソナルファイアウォールや迷惑メール対策機能を加えた「ESET Smart Security」という2種類の製品を提供してきた。新バージョンでは、名称をそれぞれESET Endpoint アンチウイルスとESET Endpoint Securityに変更し、コンシューマ向け製品との差別化を図る。5月15日からβ版の提供を開始している。
ESET チャネルマーケティングマネジャー パーヴィンダ・ワリア氏 |
元々動作の「軽さ」を特徴としてきた製品だが、新バージョンでは、システムリソースの消費量を削減しつつ、いくつか新たな機能を搭載する。「業務のスローダウンを招くことなく、セキュリティ対策を提供する」(ワリア氏)。
両製品とも、ルートキット対策機能やホストベースのIDS(HIDS)を引き続き搭載するほか、クラウドベースのファイルレピュテーション技術「Live Grid」を強化し、悪質なファイル情報だけでなく、ホワイトリスト情報も活用できるようにする。また、OS上で動作しているプロセス情報を収集、レポートする「Sys Inspector」とサードパーティ製ログ管理製品が連携できるよう、汎用ログフォーマットに対応するという。
上位製品のESET Endpoint Securityはさらに、双方向で通信を監視するファイアウォール機能を搭載する。「内向きと外向き、両方のトラフィックをチェックすることで、外からやってくる脅威を検出するだけでなく、情報の流出を防止する」(同氏)。端末が信頼できるネットワークに接続しているか、それとも不特定多数が利用する公衆無線LANサービスを利用しているか、環境に応じて適用すべきポリシーを変更する「Trusted Network Detection」機能も追加する予定だ。
Webベースで各端末の状況を把握できる管理ツール「ESET Remote Administrator」もバージョンアップする。バージョン5.0では、端末のリソースを無駄に消費しないよう、コンポーネント単位でインストールの有無を設定できるほか、不具合などが発生した場合に元の状態に巻き戻す「ロールバック」機能をサポートする計画だ。ワリア氏によるとこのロールバック機能は、キヤノンITソリューションズを介して、日本の顧客からのリクエストを反映した成果だという。
1/2 |
Index | |
複雑化、巧妙化する脅威への対策は? 第9回 情報セキュリティEXPO レポート |
|
Page1 シンプルな仕掛けでデータを保護 標的型攻撃に「コロンブスの卵」の発想で対抗 双方向ファイアウォールで端末を保護 |
|
Page2 まず基本の「入口対策」を固めよう クラウドや仮想環境向けのセキュリティ製品群も |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|