MapReduceで大規模なメールの相関分析が容易に
クラウドの力で「未知の脅威」を特定、プルーフポイント
2011/09/12
「新たな脅威が初めて現れたとき、それをきちんとストップすることがわれわれの課題だ」――米プルーフポイントのエンジニアリング担当エグゼクティブバイスプレジデント、ウェード・チェンバース氏が同社のセミナーに合わせて来日し、未知の脅威やターゲット型攻撃がまん延する中での対策について語った。
プルーフポイントは、電子メールセキュリティソリューションに特化した企業だ。スパム/ウイルスメールのフィルタリングのほか、外部に送信されるメッセージの暗号化や情報漏えい防止のための製品を開発、提供している。
米プルーフポイント エンジニアリング担当エグゼクティブバイスプレジデント ウェード・チェンバース氏当初は、企業ゲートウェイに導入するオンプレミス型のアプライアンス製品「Proofpoint Messaging Security Gateway」やソフトウェアの「Proofpoint Protection Server」を中心に提供していたが、近年はクラウド基盤を活用したSaaS型サービス「Proofpoint on Demand」も展開。いまでは、「新規顧客の50%以上がクラウド型を利用している」(チェンバース氏)という。
オンプレミス型の製品には、顧客自身がセキュリティポリシーを細かくコントロールできるという利点がある。一方、クラウド型サービスの導入が広がっている理由としてチェンバース氏は、コスト削減に加え、インフラ運用の複雑さを減らせる部分が大きいと述べた。
「10年前のメールシステムはExchange Serverのみで成り立っていた。しかしいまのメールシステムはMTA本体のほか、アンチスパムにアンチウイルス、コンプライアンス順守のためのアーカイブにディザスタリカバリなど、さまざまな仕組みが取り巻いていて、運用には多くの人手が必要だ」(同氏)。そういった面倒な部分をすべて、専門家に任せられる点がクラウドのメリットだと説明した。
クラウドを活用してホワイトリストを作成
近年、標的型攻撃はますます細分化/高頻度化する傾向にある。また、bit.lyをはじめとするURL短縮サービスの普及により、スパムメールから悪質なサイトへの誘導が格段に容易になった。
チェンバース氏は、このように「イノベーション」を続けているスパマーに対抗していくためにも、スパム排除エンジンの自動学習機能や振る舞い分析機能の改良を続けていくと述べた。その切り札として、クラウド基盤が活用できるという。
すでにクラウド基盤を活用したスパム対策技術は存在する。世界中から情報を収集して悪質な送信元のブラックリストを作成し、それに基づいてスパムをブロックする「レピュテーション」技術で、いくつかのセキュリティベンダが実装済みだ。だが「スパマー側はこれを迂回するために、正規のユーザーの端末を乗っ取ってゾンビ化し、スパムの配送率を上げようと試みている」(同氏)。
「レピュテーションにしてもコンテンツフィルタリングにしても、『悪いコンテンツ』を見つける方向で学習してきた。悪質なコンテンツを見つけたら、それを定義ファイルに反映させるという方法だ。だがこれらの仕組みでは、悪いものを見つけてから防御が可能になるまでに時差が生じてしまう。すべての攻撃が新規のものであり、かつターゲット化されていると仮定した場合の対策が必要だ」
そこでプルーフポイントでは、ブラックリストだけでなく、「『正規のもの』『良いもの』を把握するためにクラウドの力を活用していく」とチェンバース氏は説明した。
正規のものをリスト化するといっても、単なるホワイトリスト方式ではない。「誰から誰宛にメールが送られており、その返信はあるのかないのか、といった情報をデータベース化する。例えば、あるメールに対してすぐ返信があれば、その2者間には信頼が確立していると見なして学習する」(同氏)。もし、ある人が初めてメールをやり取りする相手でも、すでに同僚がメールを交換していれば信頼できるだろう、といった判断を下すこともできる。
ほかにも、OSやメーラー、文字セットやメッセージサイズ、IPアドレス、送信時間などの情報をプロファイリングし、それらのデータを基に、アカウントごとに「正常時の動き」を把握。もし、そこから外れた兆候が見つかれば詳しく分析する仕組みだ。企業単位でマクロなメールの送受信傾向を把握しておき、トラフィックがスパイク状に急増すれば相関分析を行って脅威を特定するといったことも可能という。
「単に白か黒かという二者択一ではない。実際にリスクが含まれているのは、その間のグレーな部分だ」とチェンバース氏。多様な情報を収集、分析することで、グレーの中から新しい脅威を特定できるようにするという。
「かつてはこれだけの情報を分析するのはとても大変だった。しかし今ではMapReduceやHBaseといった技術が登場し、この手の分析がとても容易になっている。メールの領域ではますますクラウドの活用が進むだろう」(同氏)。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
