多様化するセキュリティ対策ツール

 2020.08.03  株式会社ジェイピー・セキュア

情報セキュリティの分野に携わるようになって日が浅い方や何年か接してきた方でも、セキュリティ対策ツールの種類と新語の多さに戸惑うことがあるのではないでしょうか。

特にここ数年、サイバー攻撃の先鋭化に呼応して、対策ツールと技術が複雑化してきた点は専門家も指摘するところです。今回は“現状の大づかみ”を目的に、代表的な脅威とツールをまとめてみました。

巧妙化・先鋭化した脅威

企業に降りかかる情報セキュリティの脅威には、大別すると外部からのサイバー攻撃と内部からの情報流出があります。サイバー攻撃は、攻撃者が企業の情報資産を窃取する、サーバを機能停止に追い込む、Webサイトを改ざんして閲覧者にマルウェアに感染させるなどの行為を指します。

セキュリティ分野の団体や企業から注意勧告の出ることが多い攻撃の手法としては、標的型攻撃、ビジネスメール詐欺、ランサムウェアなどのマルウェア、DoS(Denial of Service attack)、ゼロデイ攻撃などがあり、攻撃者はあらゆる角度から企業システムの僅かな隙を突こうとしてきます。

内部の脅威は、企業や団体の職員、元職員、関係者からの情報漏えいや、売買目的の犯罪行為だけでなく、どこの組織でも起こり得る不注意からの流出があります。規則は遵守していても、メール送信時の誤操作、Webサイトの設定ミス、モバイル機器やUSBメモリの紛失などによる情報の漏えいも後を絶ちません。

企業に降りかかる情報セキュリティの脅威

・外部からの攻撃/マルウェア/標的型攻撃/ビジネスメール詐欺/DoS/etc. 
・内部からの流出/悪意による情報の持ち出し/不注意(誤操作、紛失)/事故

セキュリティ対策ツール・運用管理体制の整備

以下の項では、脅威に対するセキュリティ対策の手法と代表的なツールを見ていきましょう。

防御の起点はネットワーク対策と物理的なガード

2000年代の中頃あたりまでは、企業に対するサイバー攻撃は、メールに添付したマルウェア、Webサイトの改ざん、大量のデータを送り付けてサーバ機能を停止させるといった手口が中心で、セキュリティ対策も(いまと比べればですが)シンプルなものでした。

メールに対しては、不用意に添付ファイルを開かないことや、リンクはクリックしないなどの運用上の注意を前提に、適用するツールは「アンチウイルス(AV)ソフト」が主流でした。サーバに対する攻撃には、インターネットと社内LANの境界に設置して不正な通信をブロックする「ファイアウォール(防御壁)」が軸になります。

ここまでは現在のセキュリティ対策にも共通する土台の部分で、PC、サーバ、ネットワークの保護に加えて、エリアの区分や入退室管理、盗難対策など、物理的な資産のガードに力点を置いた施策だったと言えるでしょう。

攻撃の先鋭化に向けツールは細分化

2010年代には、個人情報保護法(2005年施行)も浸透し、企業では顧客と従業員の情報を厳重に管理する体制が整備されました。製品開発に関するデータ、事業計画、顧客リストなどと並んで、個人情報も企業の重要な資産としての価値が高まり、サイバー攻撃や内部の不正・不注意による流出から守る体制の強化が求められていったのです。

資産価値が上がれば、犯罪の標的になるリスクが増すことは避けられません。

この頃から、個人情報や顧客リストを狙った攻撃は先鋭化し、アンチウイルスソフトによる検査を回避するマルウェアやファイアウォールをかいくぐる攻撃が増加しました。DoSのような“力業”とも言える比較的単純な攻撃も、その方法が知れ渡り、頻発するようになりました。

一方、企業の実情を調べ上げてピンポイントで攻撃を仕掛ける標的型攻撃や、人間の心の隙を突いてくるビジネスメール詐欺など、より巧妙化した手口も急増します。インターネットと社内LANの境界をガードする「境界防御」と、端末をウイルスから守るソフトだけでは被害の阻止は難しくなり、対策ツールも細分化してきました。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

基本戦略は3方向からの監視

セキュリティ対策は以前から、“入り口”と“出口”、そして“内部”の三つの角度からガードすべきとされてきました。現在は複数の領域に跨がって機能するツールも多いのですが、ここでは脅威との対応のしやすさから3分野の視点から抽出し、別項で総合的な対策ツールを取り上げることにします。

(1).入り口対策

ファイアウォール(FW:firewall)

FWの基本機能は、“許可する通信と許可しない通信を設定し、不許可の通信をブロックする”ことです。通信先のIPアドレスやポート番号(アプリケーション番号に相当するもの)などを基準に通信の許否を判断します。主に外部からのアクセスを制御することでシステムを保護するほか、DoS攻撃などに対してFWが有効に機能します。

IDS/IPS(Intrusion Detection System/Intrusion Prevention System)

不正な通信をブロックする機能はFWと重なりますが、ネットワークの下位層(IPアドレスやポート番号)で識別するFWと異なり、OSとミドルウエアの層もカバーします。入り口の監視はIPS(侵入防止)の部分ですが、IDS(侵入検知)と一体化して提供されるサービス/アプライアンス(専用機器)が多いようです。

WAF(Web Application Firewall)

Webアプリケーションの脆弱性を突く攻撃に対して機能するFWです。“ワフ”と発音します。攻撃の手口として多いSQLインジェクションやクロスサイトスクリプティングの阻止、Webアプリやサーバーソフトなどに脆弱性が発見された後、修正プログラムが提供される前の対策としても有効です。

FW、IDS/IPS、WAFがガードするレイヤ(プロトコルの階層)

アンチウイルス(AV)/次世代アンチウイルス(Next Generation AV)

入口対策としては、メールやWebアクセスを介して、外部から侵入するマルウェアをブロックするツールを指します。既知のマルウェアのパターン(シグネチャ)と照合する方法に加えて、プログラムの振る舞いを観察し、新種と亜種に対する耐性を高めたNGAVも使われています。現在、AVとして稼動するソフトの多くは、NGAVの要素を備えています。

EPP(Endpoint Protection Platform):エンドポイント保護プラットフォーム

エンドポイントセキュリティ(後述)が重視されると共に、クローズアップされたコンセプトです。その実態は、より高度な検出技術を採り入れたNGAVと考えていいでしょう。この分野を扱うベンダーの多くはEDRとセットで提供し、攻撃の多くを占める既知のマルウェアをEPPで遮断、EPPを突破した少数の脅威はEDRで対処する体制を整備しています。

(2).出口対策

メールセキュリティ

メールセキュリティツールは、攻撃メールを遮断する入り口対策としても機能しますが、機密情報を添付したメール送信の阻止、誤送信の防止など出口対策も担います。

フィルタリング

URLなどでフィルタリングするツールは、有害サイトや業務と無関係なサイトへのアクセスを制御し、情報漏えいやマルウェアへの感染リスクを低減します。

DLP(Data Loss Prevention)

機密情報の外部への流出を防ぐためのツールです。データ自体に着目する点が特徴で、データに対してポリシーを設定し、外部に出る際に内容を照合して可否を判断します。マルウェアや不正アクセスに加えて、悪意や不注意による内部からの情報流出の防止に有効です。

(3).内部の監視

エンドポイントセキュリティ

先鋭化する攻撃を100%阻止することは困難という現実を直視し、侵入を前提とした対策も進んできました。エンドポイントセキリティは、FWなどの入り口を守る境界防御を補完するもので、PCやサーバー、企業ネットワークの構成機器(エンドポイント)の単位で保護するツールや技術のことです。

もともとはシグネチャによるウイルス対策を主とし、脅威の変化とともに、パーソナルファイアウォールやアンチスパイウェア、Webフィルタリング、デバイス制御などの機能が追加され、総合的なセキュリティ対策製品として進化してきました。

EDR(EndPoint Detection and Response)

エンドポイントを常時監視し、異常が発生した際に不正な動作を阻止し、被害を最小限に抑えるためのツールです。バックアップファイルを操作するランサムウェアやAVによる検知が難しいファイルレス攻撃に対しても、EDRがその兆候を検出します。LANの内部だけでなく社外で稼動する端末が多いビジネス環境では、エンドポイントの状態に関わらず同レベルの監視ができるクラウド型のEDRが最適です。

代表的なEDR製品 「Falcon Insight」の管理画面
組織の現状における脅威の状況をリアルタイムで可視化した例

変更監視システム

外部からの不正侵入や、内部犯行によるシステムの変更を監視するツールです。OSやネットワーク、サーバソフト、通信機器のログ、DBのデータなどに加えられた変更を正しい状態と比較し、不正の可能性がある変更を検出します。

新しいニーズに呼応したセキュリティツール

以下の項では、複合的な機能を持つセキュリティツールのほか、ここ2~3年でニーズが高まってきたツール/ソリューションを取り上げます。

UTM(Unified Threat Management):統合型脅威管理

複数のセキュリティツールの機能を統合したシステムです。FW、IDS/IPS、AV、Webフィルタリングなど、企業のセキュリティ対策に必要とされる機能を統合したもので、1個所に集約することでコストダウンと運用負担の軽減が期待できます。

VPN(Virtual Private Network)

仮想的な専用回線を構築するツールです。通信事業者が運用する閉域の通信網でユーザー企業のネットワークを構成するIP-VPNと、インターネット上で暗号技術を使ってセキュリティを担保するインターネットVPNがあります。通常、在宅勤務や外出先でのリモートワークでは、インターネット経由で任意の場所からアクセスでき、比較的短期間、低コストで開通できる後者が利用されます。

SIEM(Security Information and Event Management)

FW、AV、UTM、ルータなどのセキュリティ機器、ネットワーク機器のログを一元管理し、さまざまなイベントの相関関係をリアルタイムに分析するツールです。脅威の可視化とインシデント発生時の迅速な検出ができる点が特長で、標的型攻撃や新種のマルウェア、ファイルレス攻撃など、先鋭的な攻撃に対する迅速な初動や被害最小化が期待できるソリューションです。

SOAR(Security Orchestration,Automation and Response)

セキュリティツールの運用の自動化と効率化を図るソリューションです。インシデント対応とインシデント情報の管理を自動化するもので、脅威の検出精度を上げるため脅威インテリジェンス(次項)のデータを活用します。多機能化したセキュリティツールの運用には大きな負荷がかかるため、これを軽減するSOARへの期待が高まっています。

脅威インテリジェンス

世界中で発生するサイバー攻撃やインシデントなどのセキュリティに関する情報を集約し、攻撃の兆候を検知することや防御に生かすためのシステムです。大企業を除き一般の企業が直接つなぐことは少ないのですが、脅威インテリジェンスから随時配信される情報は、セキュリティ機器やソフトウェアのメーカー、クラウド事業者、研究機関など、多くの組織が活用しています。

ツールを補完する“広義のツール”

最新のツールを装備しても、攻撃を100%阻止することは難しいという現実があります。例えば、虚偽の振込先を指示するビジネスメール詐欺。送信元やメールヘッダを精査すれば見破れるのですが、巧妙な偽装はメールセキュリティツールをすり抜けることもあり、ビジネスが佳境に来ているときの目視による気づきは至難の業でしょう。

こうした巧妙な攻撃に対して有効な施策は、請求に関する連絡を複数の担当者がチェックするなど、運用管理の強化とセキュリティ教育です。ビジネスメール詐欺や標的型攻撃に対する耐性を高めるための「攻撃メール訓練プログラム」も国内外のセキュリティ企業が実施しています。

Webサイトにおいては、ある企業の報告によると、調査対象になったWebサイトの85%以上から何らかの脆弱性が見つかっています。脆弱性を抱えたサイトは、情報漏えいや改ざんなどのリスクが高まります。企業や団体の顔と言えるWebサイトに対しては、「Webアプリケーション診断」を受診して実態を把握することも重要です。

EDRなどのエンドポイント保護の精度も上がり、攻撃の兆候はリアルタイムに検知できるようになってきていますが、企業側の管理体制が追いつかず、これを見落とすケースも皆無ではありません。こうしたニーズを受けてエンドポイントセキュリティの運用まで支援する「MDR(Managed Detection and Response)」というサービスも拡がってきました。

このような“広義のツール”も活用しながら、企業システムの安全を維持するようにしてください。

信頼の純国産ソフトウェア型WAF SiteGuardシリーズ製品概要

RECENT POST「動向」の最新記事


多様化するセキュリティ対策ツール
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング