情報セキュリティの分野に携わるようになって日が浅い方や何年か接してきた方でも、セキュリティ対策ツールの種類と新語の多さに戸惑うことがあるのではないでしょうか。
サイバー攻撃の先鋭化に呼応して、対策ツールと技術が複雑化してきた点は専門家も指摘するところです。今回は“現状の大づかみ”を目的に、代表的な脅威とツールをまとめてみました。
巧妙化・先鋭化した脅威
企業に降りかかる情報セキュリティの脅威には、大別すると外部からのサイバー攻撃と内部からの情報流出があります。
サイバー攻撃は、攻撃者が企業の情報資産を窃取する、サーバを機能停止に追い込む、Webサイトを改ざんして閲覧者にマルウェアに感染させるなどの行為を指します。
セキュリティ分野の団体や企業から注意勧告の出ることが多い攻撃の手法としては、標的型攻撃、ビジネスメール詐欺、ランサムウェアなどのマルウェア、DoS(Denial of Service attack)、ゼロデイ攻撃などがあり、攻撃者はあらゆる角度から企業システムの僅かな隙を突こうとしてきます。
内部の脅威は、企業や団体の職員、元職員、関係者からの情報漏えいや売買目的の犯罪行為だけでなく、どこの組織でも起こり得る不注意からの流出があります。規則は遵守していても、メール送信時の誤操作、Webサイトの設定ミス、モバイル機器やUSBメモリの紛失などによる情報の漏えいも後を絶ちません。
企業に降りかかる情報セキュリティの脅威
↓
・外部からの攻撃/マルウェア/標的型攻撃/ビジネスメール詐欺/DoS/etc.
・内部からの流出/悪意による情報の持ち出し/不注意(誤操作、紛失)/事故
↓
セキュリティ対策ツール・運用管理体制の整備
以下の項では、脅威に対するセキュリティ対策の手法と代表的なツールを見ていきましょう。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
防御の起点はネットワーク対策と物理的なガード
2000年代の中頃あたりまでは、企業に対するサイバー攻撃は、メールに添付したマルウェア、Webサイトの改ざん、大量のデータを送り付けてサーバ機能を停止させるといった手口が中心で、セキュリティ対策も(いまと比べればですが)シンプルなものでした。
メールに対しては、不用意に添付ファイルを開かないことや、リンクはクリックしないなどの運用上の注意を前提に、適用するツールは「アンチウイルス(AV)ソフト」が主流でした。サーバに対する攻撃には、インターネットと社内LANの境界に設置して不正な通信をブロックする「ファイアウォール(防御壁)」が軸になります。
ここまでは現在のセキュリティ対策にも共通する土台の部分で、PC、サーバ、ネットワークの保護に加えて、エリアの区分や入退室管理、盗難対策など、物理的な資産のガードに力点を置いた施策だったと言えるでしょう。
攻撃の先鋭化を受けツールは細分化
2010年代には、個人情報保護法(2005年施行)も浸透し、企業では顧客と従業員の情報を厳重に管理する体制が整備されました。製品開発に関するデータ、事業計画、顧客リストなどと並んで、個人情報も企業の重要な資産としての価値が高まり、サイバー攻撃や内部の不正・不注意による流出から守る体制の強化が求められていったのです。
資産価値が上がれば、犯罪の標的になるリスクが増すことは避けられません。
この頃から、個人情報や顧客リストを狙った攻撃は先鋭化し、アンチウイルスソフトによる検査を回避するマルウェアやファイアウォールをかいくぐる攻撃が増加しました。DoSのような“力業”とも言える比較的単純な攻撃も、その方法が知れ渡り、頻発するようになりました。
一方、企業の実情を調べ上げてピンポイントで攻撃を仕掛ける標的型攻撃や、人間の心の隙を突いてくるビジネスメール詐欺など、より巧妙化した手口も急増します。
インターネットと社内LANの境界をガードする「境界防御」と、端末をコンピュータウイルスから守るソフトだけでは被害の阻止は難しくなり、対策ツールも細分化してきました。
基本戦略は3方向からの監視
セキュリティ対策は以前から、“入口”と“出口”、そして“内部”の三つの角度からガードすべきとされてきました。現在は複数の領域に跨がって機能するツールも多いのですが、ここでは脅威との対応のしやすさから3分野の視点から抽出し、別項で総合的な対策ツールを取り上げることにします。
入口対策
不正アクセスやWebアプリケーションの脆弱性を突いた攻撃、メールなどを介したマルウェア感染など、外部から脅威の侵入を防ぐことを目的としたセキュリティ対策です。
ファイアウォール(FW:firewall)
FWの基本機能は、“許可する通信と許可しない通信を設定し、不許可の通信をブロックする”ことです。通信先のIPアドレスやポート番号(アプリケーション番号に相当するもの)などを基準に通信の許否を判断します。
主に外部からのアクセスを制御することでシステムを保護するほか、DoS攻撃などに対してFWが有効に機能します。
IDS/IPS(Intrusion Detection System/Intrusion Prevention System)
OSやミドルウェアに対する攻撃や、不正アクセスからサーバーやネットワークを保護するセキュリティツールです。
不正な通信をブロックする機能はFWと重なりますが、ネットワークの下位層(IPアドレスやポート番号)で識別するFWと異なり、OSとミドルウエアの層もカバーします。
WAF(Web Application Firewall)
Webアプリケーションの脆弱性を突く攻撃に対して機能するFWです。“ワフ”と発音します。
攻撃の手口として多いSQLインジェクションやクロスサイトスクリプティングなどの阻止、Webアプリやサーバーソフトなどに脆弱性が発見された後、修正プログラムが提供される前の対策としても有効です。
クラウド型、ホスト型、アプライアンス型のWAFがあり、近年では手軽に導入できるクラウド型WAFが選ばれることが増えています。
FW、IDS/IPS、WAFがガードするレイヤ(プロトコルの階層)
国内WAF市場シェアNo.1「SiteGuardシリーズ」の詳細はこちら
アンチウイルス(AV)/次世代アンチウイルス(Next Generation AV:NGAV)
入口対策としては、メールやWebアクセスを介して、外部から侵入するマルウェアをブロックするツールを指します。
既知のマルウェアのパターン(シグネチャ)と照合する方法に加えて、プログラムの振る舞いを観察し、新種と亜種に対する耐性を高めたNGAVも使われています。現在、AVとして稼動するソフトの多くは、NGAVの要素を備えています。
EPP(Endpoint Protection Platform):エンドポイント保護プラットフォーム
エンドポイントセキュリティ(後述)が重視されると共に、クローズアップされたコンセプトです。その実態は、より高度な検出技術を採り入れたNGAVと考えていいでしょう。
この分野を扱うベンダーの多くはEDRとセットで提供し、攻撃の多くを占める既知のマルウェアをEPPで遮断、EPPを突破した脅威はEDRで対処する体制を整備しています。
出口対策
侵入されることを前提とした対策で、侵入された脅威によって、個人情報など重要情報を外部に漏えいしないようにすることを目的としたセキュリティ対策です。
メールセキュリティ
メールセキュリティツールは、攻撃メールを遮断する入口対策としても機能しますが、機密情報を添付したメール送信の阻止、誤送信の防止など出口対策も担います。
フィルタリング
URLなどでフィルタリングするツールは、有害サイトや業務と無関係なサイトへのアクセスを制御し、情報漏えいやマルウェアへの感染リスクを低減します。
データ暗号化
データを暗号化することによって攻撃者による改ざんや閲覧を防止します。また、データを持ち出されてしまった場合でも暗号化されているため、個人情報などの機密情報を保護することができます。
DLP(Data Loss Prevention)
機密情報の外部への流出を防ぐためのツールです。データ自体に着目する点が特徴で、データに対してポリシーを設定し、サーバやネットワークのスキャンによりデータの位置をチェックします。
これにより、マルウェアや不正アクセスに加えて、悪意や不注意による内部からの情報流出の防止に有効です。
内部の監視
出口対策と同様に侵入されることを前提とした対策です。不審・不正な動作を監視してマルウェアなどの脅威による攻撃が成立しないようにするセキュリティ対策です。
エンドポイントセキュリティ
先鋭化する攻撃を100%阻止することは困難という現実を直視し、侵入を前提とした対策も進んできました。エンドポイントセキュリティは、FWなどの入口を守る境界防御を補完するもので、PCやスマートフォン、サーバー、企業ネットワークの構成機器(エンドポイント)の単位で保護するツールや技術のことです。
もともとはシグネチャによるウイルス対策を主とし、脅威の変化とともに、パーソナルファイアウォールやアンチスパイウェア、Webフィルタリング、デバイス制御などの機能が追加され、総合的なセキュリティ対策製品として進化してきました。
EDR(EndPoint Detection and Response)
エンドポイントを常時監視し、異常が発生した際に不正な動作を阻止し、被害を最小限に抑えるためのツールです。
バックアップファイルを操作するランサムウェアやAVによる検知が難しいファイルレス攻撃に対しても、EDRがその兆候を検出します。LANの内部だけでなく社外で稼動する端末が多いビジネス環境では、エンドポイントの状態に関わらず同レベルの監視ができるクラウド型のEDRが最適です。
代表的なEDR製品 「Falcon Insight」の管理画面
組織の現状における脅威の状況をリアルタイムで可視化した例
変更監視システム
外部からの不正侵入や内部犯行によるシステムの変更を監視するツールです。
OSやネットワーク、サーバソフト、通信機器のログ、DBのデータなどに加えられた変更を正しい状態と比較し、不正の可能性がある変更を検出します。
新しいニーズに呼応したセキュリティツール
ニーズが高いツール/ソリューションの例
UTM(Unified Threat Management):統合型脅威管理
複数のセキュリティツールの機能を統合し管理できるシステムです。
FW、IDS/IPS、AV、Webフィルタリング、メールフィルタリング、アプリケーション制御など、企業のセキュリティ対策に必要とされる様々な機能を統合したもので、1個所に集約することでコストダウンと運用負担の軽減が期待できます。
VPN(Virtual Private Network)
仮想的な専用回線を構築するツールです。通信事業者が運用する閉域の通信網でユーザー企業のネットワークを構成するIP-VPNと、インターネット上で暗号技術を使ってセキュリティを担保するインターネットVPNがあります。
通常、在宅勤務や外出先でのリモートワークでは、インターネット経由で任意の場所からアクセスでき、比較的短期間、低コストで開通できる後者が利用されます。
しかし、VPNにも課題があります。例えば、VPN接続時のID、パスワードの漏えいによる社内ネットワークへの不正アクセスや端末のウイルス感染による社内への感染拡大などが挙げられます。
これらは、二要素認証や利用端末へのセキュリティ対策ソフトの導入のほか、後述のZTNA(Zero Trust Network Access)の採用といった対策が必要です。
ZTNA(Zero Trust Network Access)
ZTNAはVPNに代わるリモートアクセスの方法です。VPNでは基本的にID、パスワードを用いた認証の後、ネットワークへのアクセスがほぼ制限されませんが、ZTNAでは事前に定義したポリシーに基づいて、ユーザーのアクセス認可を都度行います。
ポリシーに従って不要なネットワークへのアクセスを拒否したり、端末の判別やセキュリティソフト、OSのアップデート状況を評価してアクセスを拒否します。
※参考)ゼロトラスト(Zero Trust)とは
従来、ネットワーク内部(信頼できる)と外部(信頼できない)に境界線を引いてセキュリティ対策を講じる「境界防御」が一般的でしたが、リモートワークの導入や、内部不正による情報漏えい、クラウドサービスの普及もあり「内部」「外部」を区別せず、セキュリティ対策を講じる必要があるという考えが「ゼロトラスト(すべての通信を信頼しない)」です。
「ゼロトラスト」と「境界防御」の比較(イメージ)
|
項目 |
ゼロトラスト |
境界防御 |
|
攻撃者 |
すべて |
境界外部 |
|
情報資産の保存場所 |
すべて |
境界内部 |
|
利用者のアクセス場所 |
すべて |
境界内部 |
|
防御すべき脅威 |
すべて |
境界内部 |
|
安全性の確認 |
常時 |
境界出入口 |
|
安全性の拠り所 |
すべて |
境界防御 |
SIEM(Security Information and Event Management)
FW、AV、UTM、ルータなどのセキュリティ機器、ネットワーク機器のログを一元管理し、さまざまなイベントの相関関係をリアルタイムに分析するツールです。
脅威の可視化とインシデント発生時の迅速な検出ができる点が特長で、標的型攻撃や新種のマルウェア、ファイルレス攻撃など、先鋭的な攻撃に対する迅速な初動や被害最小化が期待できるソリューションです。
SOAR(Security Orchestration, Automation and Response)
セキュリティツールの運用の自動化と効率化を図るソリューションです。セキュリティツールの運用自動化のほかにも、インシデント発生時には予め定義したプロセスに沿って初期調査や情報収集を行います。
また、脅威の検出精度を上げるため脅威インテリジェンス(次項)のデータを活用します。
セキュリティ人材の不足、多機能化したセキュリティツールの運用には大きな負荷がかかるため、これを軽減するSOARへの期待が高まっています。
脅威インテリジェンス
世界中で発生するサイバー攻撃やインシデントなどのセキュリティに関する情報を集約し、攻撃の兆候を検知することや防御に生かすためのシステムです。
大企業を除き一般の企業が直接つなぐことは少ないのですが、脅威インテリジェンスから随時配信される情報は、セキュリティ機器やソフトウェアのメーカー、クラウド事業者、研究機関など、多くの組織が活用しています。
IAM(Identity and Access Management)
クラウドサービスをはじめ様々なサービスやツールの利用に伴い、必要なID・パスワードも増えていきます。IAMは、パスワードの使い回しや漏えいによる不正アクセスのリスクを低減する、アカウント管理、ユーザーの認証、権限などアクセス管理に関連する機能を提供するソリューションです。
ASM(Attack Surface Management)
インターネットからアクセスできるPC、サーバ、データベース、クラウドサービスなど公開されているすべてのIT資産を調査し、脆弱性などのリスクを継続的に把握・評価します。
クラウドサービスなどにより、ネットワークを介して情報を取り扱うことが増加し、IT資産に潜むセキュリティリスクの対策を推進するためのツールです。
ツールを補完する“広義のツール”
最新のツールを装備しても、攻撃を100%阻止することは難しいという現実があります。
例えば、虚偽の振込先を指示するビジネスメール詐欺。送信元やメールヘッダを精査すれば見破れるのですが、巧妙な偽装はメールセキュリティツールをすり抜けることもあり、ビジネスが佳境に来ているときの目視による気づきは至難の業でしょう。
こうした巧妙な攻撃に対して有効な施策は、請求に関する連絡を複数の担当者がチェックするなど、運用管理の強化とセキュリティ教育です。ビジネスメール詐欺や標的型攻撃に対する耐性を高めるための「攻撃メール訓練プログラム」も国内外のセキュリティ企業が実施しています。
Webサイトにおいては、ある企業の報告によると、調査対象になったWebサイトの85%以上から何らかの脆弱性が見つかっています。
脆弱性を抱えたサイトは、情報漏えいや改ざんなどのリスクが高まります。企業や団体の顔と言えるWebサイトに対しては、「Webアプリケーション診断」を受診して実態を把握することも重要です。
Webアプリケーション診断をご検討の際は、ぜひEGセキュアソリューションズ株式会社までご相談ください。
EDRなどのエンドポイント保護の精度も上がり、攻撃の兆候はリアルタイムに検知できるようになってきていますが、企業側の管理体制が追いつかず、これを見落とすケースも皆無ではありません。こうしたニーズを受けてエンドポイントセキュリティの運用まで支援する「MDR(Managed Detection and Response)」というサービスも拡がってきました。
このような“広義のツール”も活用しながら、企業システムの安全を維持するようにしてください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
