サンドボックス、次世代ファイアウォールだけでは不十分！？標的型攻撃対策には多層性を！

企業のセキュリティ対策の一貫として、サンドボックスや次世代ファイアウォールの利用は一般的に普及しました。しかし、それでもなお、企業の情報漏洩は後を絶たず、標的型攻撃は増加する一方です。

ここでは、これからの企業はどこにポイントをおいてセキュリティ対策を行うべきかをご紹介していきます。企業の大事な資産を守るためにはどうすればいいのか、参考にしてみてください。

1. 標的型攻撃には多層性を持たせよう

昨今話題に上る、「攻撃」とは、標的型攻撃のことです。従来の攻撃とは何が違うのでしょうか？

それは、標的があらかじめ決まっていることです。あなたの企業もすでに狙われているかもしれません。

従来型の攻撃では、標的を決めずに、攻撃手段にマッチした脆弱性のあるポイント（企業）を見つけることから始まっていました。しかし、昨今の標的型攻撃では、最初から狙うべき企業は定まっています。

詳細な調査を行い、脆弱ポイントを見つけ出した後に、じわじわ攻撃してきます。そのため、しつこい攻撃に合い、最終的に大事な情報を持ち出されてしまうのです。

1-1. 標的型攻撃の脅威に対するリスク管理

企業の経営層は、自社内で守りたいものは何なのか、どこから守りたいのかなどを常に考えながらリスク対策を講じていかなければいけません。危険が目の前に迫ってから慌てるのでは、大事な資産を守りきれない可能性があります。

例えば、標的型の攻撃を受けた場合に、今、このシステムを停止することで、数千億円の損害が出ると仮定しましょう。しかし、システムを停止することでしかマルウェアの動作を止めることができません。このままシステムを稼働させては、顧客情報が数十万件漏洩してしまう恐れがある場合を考えてみましょう。

この場合には、システムを停止させた場合と稼働を続けた場合のどちらのリスクを取るのかを、あらかじめ考えておかなければいけないということです。

目先の利益を考えるか、企業の信用と、将来的な利益を優先するのかでは、取るべきものは明らかでしょう。しかし、突発的な出来事にはなかなか適切な判断ができない可能性があります。事が起きてから、経営層に判断を仰いでいては、間に合いません。あらかじめ、経営層はこのような事態を想定した管理をしていくべきでしょう。

1.2 そもそも標的になる理由

そもそも標的になる理由を考えたことはありますか？

大企業だから、大きな資産を持っているからなど様々な理由が考えられますが、それだけではありません。攻撃者は愉快犯であるケースと、悪意を持って標的を定めるケースも存在します。

最初に考えて欲しいのは、企業内で個人的な情報の持ち出しをしていないかということです。残業時間の減少のため、自宅で仕事をする方も多いことでしょう。そして、自宅やネットカフェなどから、会社内のネットワークにRAS経由でアクセスすることもあります。

当然、会社内のリソースだけではなく、個人契約しているクラウドシステムにアクセスし、仕事をする社員も存在するでしょう。スマートフォンなどを利用して、テザリング技術で、公共の通信網を利用して会社内にアクセスする社員も存在します。

実は、そのポイントポイントで情報は盗まれている可能性があるのです。それが、狙いたい企業の情報だった場合には、すぐさま、攻撃目標にされることでしょう。

もっと言えば、データセンター内に出入りするオペレータやベンダーなどの管理もずさんな可能性があります。それらの人たちからの恨みをかっていた場合には攻撃目標にされる可能性があるのです。

さらに、大掛かりなデータセンターを構築した場合などに、公な資料に「○○製品を使ってセキュアなデータセンターを構築しました」などと攻撃者に嬉しい情報を自ら漏らしている可能性があります。データセンターの所在地や利用している技術や製品情報、メーカーなどは企業内の機密事項であるべき情報です。むやみに漏らしてしまうと、ターゲットにされてしまいます。

愉快犯は、まだ破られていないセキュアな技術こそ攻撃するから楽しいのです。自分こそが破ってやるという目標を持っています。

1-3. セキュリティの多層性とは？

では、セキュリティの多層性とはどういう意味でしょうか？

たくさんのソリューションを使って、侵入者を遮断するというわけではありません。たくさんの製品を入り口においたからといっても、それはセキュリティの二重化や、セキュリティの多重化という意味です。

多層性を持たせるということは、違う層でセキュリティを保つことをいいます。つまりは、サンドボックス技術と次世代ファイアウォール、ルーターなどのフィルタリング、パソコン内のウイルスチェッカーなど、違う層でセキュリティを設けることです。

大切なことは、外からの侵入を防ぐ入り口のセキュリティ強化と、大事な情報を持ち出されない出口のセキュリティ強化です。さらに、内部通信で情報漏洩やシステム破壊を未然に防ぐセキュリティの強化の3ポイントを層に分けて対策をしていくことになるでしょう。

標的型攻撃はしつこい攻撃をしてきます。そのため、セキュリティ機器や、ネットワーク機器などが過負荷に耐えられなければいけません。大事な監視サーバーや管理サーバーが機能しなくなっては元も子もないということです。リソース管理を行うことも、セキュリティ管理では大事なポイントになるでしょう。

仮想サーバーでのセキュリティ管理や、クラウドサーバーなどの不特定多数が利用するようなサーバーの管理は今の時代大切なことです。動的リソースの割り当てが可能なサーバーの管理、モバイル通信などの内側と外側の区別がないような通信でも適切なセキュリティ管理が問われているのです。

2. 標的型攻撃に備える方法

標的型攻撃に備えるためにはどうすれば良いのでしょうか？

一般的なセキュティ対策として多くの企業が採用しているのが、サンドボックスとファイアウォールです。

しかし、それだけではもはや、企業の大事な情報を守りきれない世の中になってきています。具体的にどういうことなのかを解説していきましょう。

2-1. サンドボックスだけでは防ぎきれない可能性がある

サンドボックスとは、多様化するマルウェア対策として開発・導入されたセキュリティ技術です。

保護された領域で攻撃者のプログラムを実行させることによって、悪意のあるプログラムなのかどうかを判別してから、実際のコンピューターへと侵入させる技術です。もしも悪意のあるプログラムだとわかった場合には、企業内のネットワークへは侵入させないことで知られています。

昨今のマルウェアは、標的型攻撃主体に変わりつつあります。ターゲットの企業内のセキュリティ技術情報を調べ上げた上で、そのソフトウェアでは検知できない種類のマルウェアを送り込み、大切な個人情報や金銭を盗み出そうとするのです。

サンドボックスは、攻撃者がいることを前提として開発された技術です。攻撃手段を解析して、後追いで、悪意のある攻撃かを見極める技術のため、先にサンドボックスをすり抜けるタイプのマルウェアを送り込まれてしまった場合には、対応できない可能性もあります。この、新しいタイプの攻撃に対し、瞬時にはなかなか対応しきれない点は弱点と言えるでしょう。

また、あくまでもファイルやプログラムを実行させて実際の動作を見て判断する技術になるため、攻撃者が安全なファイルになりすます技術を使って、時間差で攻撃を仕掛けた場合にはお手上げです。

マルウェアは、保護された仮想領域上で動作に問題がなければ、安全なファイルとみなして、企業内のコンピューターやネットワークに侵入してしまいます。すでにたくさんのマルウェアが、このような時間差攻撃の方法を使ってサンドボックス技術をすり抜けているのです。

サンドボックス技術は必要な技術ではありますが、これだけではすでに企業内の大事なデータは守りきれない時代になってきているのがおわかりいただけることでしょう。

2-2. 標的型攻撃には次世代ファイアウォール技術も必要！

次に次世代ファイアウォールについてです。従来型のファイアウォール技術とは、ご存知の通り、内側と外側で区別した技術です。通信元のソースアドレスと通信先のディスティネーションアドレスを指定して、通信するポートナンバーを許可することで、成り立っています。

次世代ファイアウォールではそれに加えて、アプリケーションごとに指定できるようになりました。ポートナンバーのなりすましなどにも対応できるようになったのです。

しかし、次世代と言ってもその技術が世の中でホットな話題になったのは2007年頃。すでに10年以上の年月が経ち、次世代とは言い難いファイアウォール技術になり変わってしまいました。IDとパスワードを使ってみたり、ワンタイムパスワードを利用した技術を使ったとしても、それはあくまでも内側を外側の脅威から守るための技術です。

昨今の時代では内側も外側もないネットワーク構成が多く、次世代ファイアウォールだけではセキュリティは不完全といえるでしょう。とはいえ、内側を外側の脅威から守ることは企業内にとっては、必要不可欠です。次世代ファイアウォールは必要な技術ではありますが、それだけではもう古いといえるでしょう。

大事なことは、サンドボックス技術や次世代ファイアウォールに加えてプラスαのセキュリティを設けることです。

2-3. 内部通信の安全性を忘れてはいけない！

標的型攻撃には、次世代ファイアウォールとサンドボックスで最初に入り口のセキュティ強化をするのは当然です。そして万が一、マルウェアの侵入を許してしまったとしても、大事な情報を外に盗み出されない対策として、サンドボックス技術を使いましょう。

しかし、標的型攻撃は、一度どこかのパソコン等が感染してしまえば、踏み台にしてしつこいさらなる攻撃を仕掛けてきます。これを防ぐためには、内部通信の安全性を確保する必要があります。企業内部は安全だという考えは標的型攻撃には通用せず、万が一の侵入に備えて、内部環境のインシデント管理と内部間通信のセキュリティ強化が求められるのです。

ALCなどを使ったセキュリティだけではなく、誰がいつどこに通信してもいいのか、したのかなどを細かくチェックすることを忘れてはいけません。もちろん端末自身の安全性の確保も必要です。SSL通信に乗ってマルウェアは被害を拡大していきます。そのため、暗号化された通信のチェックができる環境が望ましいと言えるでしょう。

標的型攻撃を食い止めるためには、入り口、出口、そして内部通信の安全性の確保をしっかり行ってください。最終的には、データを持ち出されたとしても、C&Cサーバーに辿り着く前にブロックができるのが理想の多層性を持たせた企業内のセキュリティだといえるでしょう。

2.4 Juniper製品なら多層性を持たせたセキュリティ管理が可能

このような標的型攻撃対策にぴったりなセキュリティ管理がJuniper製品なら可能です。ユーザーに合わせた小規模から大型データセンターまで対応できます。仮想サーバー、クラウドサーバー、モバイル通信等の内部通信にも高性能セキリティで対応できる製品がSRXシリーズです。

もちろん、ハイパフォーマンスな次世代ファイアウォール製品としての面がありますが、SRXシリーズと連携するSkyATPではサンドボックス技術を利用してマルウェアの捕捉も可能になっています。

Juniperはネットワーク機器ベンダーの強みを生かして、瞬時に脅威箇所を特定し、ルーター内のポリシー変更を自動化できます。その結果、脅威箇所の隔離が可能になるのです。感染箇所はMacアドレスレベルで特定できますので、安心できるでしょう。管理機能も充実しているため、入り口、出口、内部のセキュリティは一元管理ができます。

当然リソースに関しても高性能。負荷攻撃を受けたとしても動的に分散し、リソースを追加できることも特徴です。SSL通信に隠れた脅威にも対応できるため、内部通信の危険も検知できます。

SRXシリーズ詳細はこちら

3. まとめ

サンドボックスや次世代ファイアウォールだけでは企業内の情報資産は守りきれない時代になってきました。

経営層はリスク管理をしっかり行い、社員にも周知してく必要があるでしょう。情報システム部門だけでは外的脅威から社内を守ることにも限界があります。技術も日々進歩してきていますが、外的脅威も常に進化しているのです。

標的型攻撃には多層性を持たせたセキュリティを持つことが大事なことです。Juniper製品で大事な資産を守っていきませんか？

4. お役立ち資料