サイバー攻撃が、進化し続けています。標的型攻撃に使われるマルウェアでは続々と新種が生まれ、一昨年はシステムをロックして金銭を要求する「ランサムウェア」、昨年は仮想通貨を不正に発掘する「マイニングマルウェア」と流行も毎年変わっています。ファイル拡張子の偽装、仮想環境でスリープ状態となるなど、セキュリティ対策ソフトを回避する手口も登場しています。
次々と現れる新たな攻撃手法から自社のリソースを保護するためには、それらの手法を検知できる新たなセキュリティ製品を導入しなければなりません。しかしサイバー攻撃者は、それを突破するさらに新たな手法を編み出します。
こうした“いたちごっこ”を解決するセキュリティ対策として金融業を筆頭にサービス業・製造業など多くの企業から注目され導入されているのが、「最強のセキュリティ対策」といわれる「インターネット分離・無害化」です。いったい、どのようなソリューションなのでしょうか。
現状のセキュリティ対策において、基本的な考え方として広まっているのは多層防御です。これは複数のセキュリティソリューションを多層的に組み合わせ、脅威を検知するポイントを増やすことで、サイバー攻撃を回避する可能性を高めることを狙いとしています。
この多層防御の考え方に従い、多くの企業がセキュリティ対策を行っていますが、その手法には弱点があると、NTTコミュニケーションズ株式会社(以下、NTT Com)の中村勇介氏は指摘します。
「多層防御を含む従来の一般的なセキュリティ対策は、セキュリティ装置で検査を行い、そこで脅威を検知すれば遮断します。しかし攻撃手法が変わると検知できなくなる恐れがあります。それによってさらにセキュリティ投資を行って新手の攻撃を検知できるソリューションを導入するといったことになり、“いたちごっこ”が続くわけです。セキュリティ投資が終わらない上、サイバー攻撃を受けるリスクもゼロにはできない。これが従来の多層防御の弱点です」
この弱点を表す数値として中村氏が示したのが、従来型のウイルス対策ソフトにおける検知率で、現状では30%に過ぎないといいます。またUTM(統合脅威管理)やIDS(侵入検知システム)/IPS(不正侵入防止システム)といったセキュリティ機器のアラート検知精度も低下傾向にあります。
多層防御
こうした課題を解決するため昨今広まりつつあるのが、「検知し遮断する」という従来の手法ではなく、Webやメールから侵入するウイルスをエンドポイントから分離されたクラウド上で無害化する「インターネット分離・無害化」と呼ばれるセキュリティソリューションです。
インターネット分離・無害化が広まるきっかけとなったのは、2015年5月に発生した日本年金機構における個人情報の流出問題です。総務省や独立行政法人情報処理推進機構(IPA)は、安全性の高いセキュリティ対策としてインターネット分離・無害化を官公庁などで使われるシステムで採用し、経済産業省は、「サイバーセキュリティ経営ガイドライン」において民間企業に対してもインターネット分離を推奨しました。
民間企業でこれをいち早く採り入れたのは、高いレベルのセキュリティ対策が求められる金融業界でした。それが他業界にも拡大し、「現在ではこれまで多層防御でセキュリティ対策を行ってきた製造業や流通業などにおいても、インターネット分離・無害化の導入が始まっている」と中村氏は説明します。
このように業界の垣根を越えて広まり始めたインターネット分離・無害化の仕組みの1つがWebとメール、ファイル(ドキュメント)の3つのポイントで無害化処理を行う手法です。
インターネット分離・無害化の全体像【3つの無害化】
まずWebについては、クライアントからWebサイトへ直接アクセスするのではなく、その途中で無害化処理を行います。方法としては、「画面転送方式」と「スクリプトリライト方式」の2つがあります。画面転送方式は、分離された仮想環境でコンテンツを表示し、その画面の内容をクライアントに転送するというもの。スクリプトリライト方式は、仮想環境にコンテンツをダウンロードし、そこに含まれるコンテンツを書き換え、安全な状態にした上でクライアントに転送するという形です。
Web分離・無害化の代表的な方式
画面転送方式について中村氏は、「安全性の高い方式ですが、導入プロジェクトが大規模になりがちでコスト負担も大きくなります」と課題を指摘します。それに対してスクリプトリライト方式は、「既存のWebブラウザをそのまま利用でき、SaaSとして提供されているサービスが多く、導入のハードルが低いのがメリットです」と説明します。
メールでは、標的型攻撃や昨今広まりを見せているビジネスメール詐欺(BECメール詐欺)対策としてHTMLメールのテキスト変換やメール本文に記述されたURLの書き換え・削除を行います。多くのマルウェアが感染経路の1つとしてメールを利用していますが、このように無害化を行うことで感染リスクを回避するというわけです。
メール無害化とは?
インターネットからダウンロードしたファイル、あるいはメールで受信した「添付ファイルの無害化」も重要なポイントです。具体的な方法としては、受信したファイルのPDF変換、あるいはマクロの除去などがあります。
たとえばWordやExcel、PowerPointといったオフィスアプリケーションでは、自動処理などのためのマクロをファイルに組み込むことが可能です。こうした仕組みは便利である一方、攻撃者にとっては悪意のある処理を行うための仕組みとして使えると、中村氏は指摘します。
「無害化処理によって、悪意のあるコードを仕込まれるリスクがある箇所が削除されます。それによってマルウェアに感染するリスクを排除するのです。もちろん、WordやExcel、PowerPointなどのアプリケーションは普通に開くことができます」
ファイル無害化とは?
こうしたWebやメール、ファイルの無害化を実現するソリューションとして挙げられるのがMenlo Security社が提供する「Menlo Security Isolation Platform」です。同社のコアとなっているのは、すべてのコンテンツに悪意があると仮定し、隔離されたクラウド環境で実行した画面描画(レンダリング)情報だけをユーザーに提供する、アイソレーションと呼ばれる技術です。
Menlo Security Isolation Platformは、前述したWebとメール、ファイルのそれぞれの無害化を行う仕組みを備えています。その1つであるWebページの無害化について、同社の寺田大地氏は次のように特長を説明します。
「Webページでは、HTMLのほかに、JavaScriptやFlash動画、画像やフォントなど、さまざまな種類のコンテンツが使われています。ポータルサイトのトップページになると、そのコードは1000行を超えます。画像やフォントに悪意のあるコードを埋め込む攻撃も実在しており、それらの膨大なコードに含まれるすべてのアクティブコンテンツにリスクが存在します。Menlo Security Isolation Platformでは、そういったコンテンツまでを含めて無害化を行っています」
Webの無害化では、前述のスクリプトリライト方式が採用されています。その利点として寺田氏が話したのは、ユーザーの「使い勝手に影響を与えない」という点です。
「画面転送方式では、描画されているのが文字情報なのか、画像や動画なのかといったことをWebブラウザで判断することが難しくなります。スクリプトリライト方式で描画情報を転送するMenlo Security Isolation Platformであれば、Webブラウザがテキストや画像を認識できます。そのため、文字検索やテキストを音声で出力するといったこともできます。
また、Menlo Security Isolation Platformでは、SSL/TLSでWebサーバーとの通信内容が暗号化されていても、復号して無害化処理が可能です。昨今は多くのWebサイトでSSL/TLSが使用されており、復号できなければ十分にセキュリティを確保できないため、重要なポイントと言えます」(寺田氏)
メールでは、本文に記載されたURLの書き換えによる無害化を行います。メール本文にURLがあると、それをMenlo Security Isolation Platformを経由するURLに置き換えます。それによってハイパーリンクされたWebサイトがマルウェア感染を目論むものだったとしても、ユーザーがマルウェアをダウンロードすることはありません。
受信したメールの添付ファイルは、ユーザーがダブルクリックするとクラウド上でファイルが開かれ、その内容をHTML形式でWebブラウザに表示します。仮にファイルに悪意のあるマクロが含まれていたとしても、それが実行されることはありません。
添付ファイルが暗号化されていても、Webブラウザが開いてパスワードの入力が求められます。パスワードを入力すると、ファイル内容が変換されてWebブラウザに表示されます。マクロを含めたオリジナルファイルが必要な場合は、オプションのアンチウイルスとサンドボックスを使って安全性を確かめた上でダウンロードを許可することができるようになっています。
Menlo Security Isolation Platformはクラウドサービスとして提供されているため、導入に際して何らかの機器をネットワークに組み込んだり、追加のアプリケーションをインストールしたりする必要はなく、容易に導入することが可能です。また、グローバルを含めた拠点全体で利用することもできます。
Menlo Security Isolation Platformはすでに多くの企業で導入されていますが、そうした事例の1つとして、前述の中村氏が紹介したのは「夜間休日問わず、セキュリティアラートに即時対応できる人員や体制を確保できない」という課題を持っていたA社です。
UTMやIPSなどといったセキュリティ機器は、通信状況を監視し、脅威の兆候を発見した場合はアラートとして管理者に通知します。それが本当に脅威なのか、それとも無視しても構わないものかを判断するのは人間であるため、アラートを受けた管理者は1つずつチェックしなければなりません。A社では、出力されるアラートの数が膨大で、人手で対応するのは極めて困難でした。
「この事例は当初、Web無害化のみが希望要件でした。しかしヒアリングしたところ、『アラート対応の日々から解放されたい』というのが本当の課題とわかりました。そこでMenlo Security Isolation PlatformによるWeb無害化だけでなく、メールやファイル無害化も加えた複合ソリューションを導入したところ、アラートを人間が判断する必要はなくなり、セキュリティ対応にかかる負担の大幅軽減につながりました」
もう1つの事例は、Web無害化に加え、メールセキュリティとNTT Comが提供するマネージドEDRを導入したB社です。
「メールはMenlo Security Isolation Platformではなく、別のセキュリティソリューションが導入されました。しかし、その形ではメールの無害化は行われていないため、エンドポイントでのマルウェア感染リスクを排除しきれません。そこでNTT Comのセキュリティオペレーションセンター(SOC)が監視を行う、マネージドEDRを組み合わせて提案した内容が採用されました」(中村氏)
この企業は急速に海外展開を進めており、グローバルでのセキュリティ確保も急務でした。Menlo Security Isolation Platformは、クラウドサービスであるため、海外展開することが可能です。またマネージドEDRについても、単に製品を提供するだけでなく、NTT Comのセキュリティオペレーションセンターが監視を行い、プロアクティブに対応できることで導入に至りました。
このように様々な用途に柔軟に対応しながらセキュリティリスクを排除できる「インターネット分離・無害化」を、中村氏は「現状での最強のセキュリティ対策」だと話します。セキュリティ対策のいたちごっこを止め、セキュリティ投資を適正化するためにも、「インターネット分離・無害化」ソリューションを検討してみてはいかがでしょうか。
※掲載されている内容は公開日時点のものです
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります
