標的型攻撃から会社を守りたい(入口対策)

この記事をtweetする このエントリーをはてなブックマークに追加

企業を狙う標的型攻撃から会社を守りたい(入口対策)

2014/02/20


 標的型攻撃はもはや大企業や防衛産業などばかりの問題ではない。従業員250人以下の中堅中小企業への攻撃が48%(シマンテック「シマンテックインテリジェンスレポート:2013年9月」)にものぼっているのだ。もう「ウチが狙われることはないだろう」とタカをくくってはいられない。標的型攻撃には「APT」と呼ばれる巧妙な攻撃手法が含まれることが多い。外部からシステム内部にウイルスがいったん入り込むと、内部で発見されないように侵入を拡大し、重要情報を収集して情報を外部に送信する仕組みを作り込み、長期間にわたって情報流出を行うのが特徴だ。こうした攻撃への対策には、外部からの侵入を防ぐ「入口対策」と内部での侵入拡大や外部への流出を防ぐ「出口対策」を併用しなければならない。多様な対策が必要なので、ここでは「入口対策」についてのみ紹介し、「出口対策」については別稿で記すことにする。

※「ネットワーク/標的型攻撃から会社を守りたい(入口対策)」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ネットワーク/標的型攻撃から会社を守りたい(入口対策)」の記事全文がお読みいただけます。

会員登録はこちら(無料)



解決策1

ネットワークからの侵入を防止する

■標的型攻撃の特徴

 大事な取引先関係者や公的機関を装った相手先から「大切なお知らせ」があるとのメール。添付ファイルを開いた途端にウイルスに感染するのが標的型攻撃の典型パターンだ。社内システムに入り込んだウイルスは次第にシステムへの深く広い侵入を行い、情報を収集しながら外部との通信路(バックドア)を作り出す。やがて外部から新たなウイルスを呼び込んで社内情報を窃取する仕組みがとられている。
 攻撃段階は(1)計画立案、(2)攻撃準備、(3)初期潜入、(4)基盤構築、(5)内部侵入・調査、(6)目的遂行、(7)再侵入の7つ(IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」より)ある。(1)(2)は企業側ではどうにもならないが、それ以外にはITツールを利用して対策することができる。ただし単一のソリューションではどうしてもムリがあり、複数のツールと運用ルールを組み合わせる必要がある。本稿では、上記攻撃段階のうち、(3)と(5)(6)(7)で行われる、外部から社内システムに「入り込む」部分についての対策(入口対策)に限って利用できるITツールを紹介していく。

図1 標的型攻撃への「入口対策」のイメージ
図1 標的型攻撃への「入口対策」のイメージ
■ネットワークで侵入防止するためのITツールと対策

 入口対策の中でもまず最低限備えたいのがネットワークで不正な通信をキャッチして遮断するネットワーク対策だ。それぞれのツールを簡単に説明する。それぞれが、多段階で対応策をとることで被害可能性を最小化できる。

【ファイアウォール】
 
ファイアウォールはTCPやUDPのレベル、つまり通信パケットに含まれるIPアドレスや通信ポートなどを解釈して、許可されていない端末やサーバからのアクセスや正規の社内サービスが利用していないポートでの通信を拒否することができる。様々な手口の不正アクセス防止に必須のツールだ。

【アンチスパム】
 会社に届くメールを安全なものと疑わしいものとにより分ける。不正なメールの特徴はツールベンダなどの手で絶えずデータベース化されているので、届くメールを照合すれば、既知の特徴を持つ標的型メールならこの段階で隔離または廃棄できる。また安全性をスコアリングして高スコア(危険)なものをブロックするレピュテーションフィルタリングも利用されている。受信メールのフィルタリング専用ではなく、送信メールの設定に基づくフィルタリング(誤送信防止や機密情報漏洩防止などの目的)も行えるツールはメールフィルタリングツールと呼ばれる。

【ゲートウェイでのアンチウイルス】
 
インターネットと社内ネットの境界(ゲートウェイ)で通信に含まれるウイルスのパターンをスキャンする。メール添付のウイルスや、Webサイトからダウンロードに含まれるウイルスを検知、隔離や廃棄ができる。

【IPS/IDS】
 不正アクセスの特徴を登録したデータベース(ブラックリスト)を利用して、通信のパターンが合致するものを遮断するのがIPS、アラートやレポートで検知したことを報告するのがIDSだ。IPSでは逆に正当な通信パターンを定義してそれ以外をブロックする「ホワイトリスト」運用も可能だ。誤検知やホワイトリストの不備により業務を阻害する可能性があり適用が難しいものの安全性はおおいに高まる。

【Webフィルタリング/URLフィルタリング】
 
攻撃用に用いられたWebドメインを登録したデータベースと照合し、接続先ドメインが安全かどうかを判別するツール。安全性をスコアリングしたレピュテーションフィルタリングも用いられる。

【VPNによる社内ネットワークへの接続】
 外部から社内ネットワークに接続する際には仮想的な専用回線であるVPNを利用し、それ以外の接続を受け付けない方法がとれれば安全性は増す。VPNのログイン時に本人認証や端末認証が行える。SSL-VPNが比較的容易に利用できるが、端末側に専用ソフトを必要とするIPsec VPNは利用範囲も広く安全性が高い。

【UTM】
 以上のネットワークセキュリティ機能を複数備えた、ゲートウェイに設置するツール(主にアプライアンス)。専用製品よりも性能や拡張性に劣る面はあっても、設定や管理の工数が少なくて済む。

 なお、入口で直接ブロックできなかった場合でも、入口のネットワーク機器で記録される「ログ(操作・処理記録)」がマルウェア感染や不正な活動の証拠になり、事実究明や復旧対応の重要な手がかりになるので、たとえ完全な防御ができなくても、これらツールを備えておくことの意義は大きい。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ネットワーク/標的型攻撃から会社を守りたい(入口対策)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ネットワーク」関連情報をランダムに表示しています。

ネットワーク」関連の製品

緊急連絡・安否確認システム 【NEC】 閉域ネットワークサービス EINS/MOW-DCAN 【インテック】 設計データ管理「SOLIDWORKS Enterprise PDM」 【NEC】
安否確認システム IP-VPN 文書管理
◎東日本大震災の被災経験を活かして開発。
◎災害発生時の非常事態を考慮し、シンプルな機能&簡単操作で安否確認を実現。
ユーザ拠点とインテックのDCや各種クラウドサービスをシームレスに接続できる閉域ネットワークサービス。快適で信頼性の高いネットワークを低コストで利用できる。 SOLIDWORKSの設計データのハイレベルな運用/ワークフロー管理を実現するソリューション。SOLIDWORKSブランドならではの高い親和性が特長。Obbligatoとの連携も可能。

ネットワーク」関連の特集


今回はどこの会社でも利用されている“財務会計システム”に焦点をあて、クラウド化を想定してお話したいと…



人体の電波反射をグラフ化、混雑度レベルを自動判定する「混雑監視レーダ」が登場!魚群探知機ならぬ“人群…



2009年度の市場が、数量で28万400回線、前年比6.9%増だった「広域イーサネットサービス」。同…


ネットワーク」関連のセミナー

Japan Storage Vision 2017 【インターナショナルデーターコーポレイションジャパン】 注目 

開催日 2月14日(火)   開催地 東京都   参加費 有料 3万2400円(税込)

ストレージ市場ではクラウド、コンバージェンス(統合)、フラッシュ、Software-Definedへのシフトが大きな潮流となっています。この潮流の変化の中で、オ…

【Proofpoint】触って実践・体験セミナー 【NRIセキュアテクノロジーズ】  

開催日 12月14日(水),1月11日(水),1月26日(木),2月7日(火),2月22日(水)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

ActiveImage Protector+vStandby AIP実践セミナー 【ネットジャパン】 締切間近 

開催日 1月25日(水)   開催地 東京都   参加費 無料

ActiveImage Protectorのイメージファイルを復元作業なしで、即座に稼働できるインスタント・ディザスタリカバリソリューション「vStandby …

このページの先頭へ

ネットワーク/ 標的型攻撃から会社を守りたい(入口対策)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ネットワーク/ 標的型攻撃から会社を守りたい(入口対策)」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30006651


IT・IT製品TOP > 中堅中小企業 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ