標的型攻撃対策にSIEMが必要とされる理由 (2)

IT・IT製品TOP > Key Conductors > 遠藤 宗正(デジタルアーツ株式会社) > 標的型攻撃対策にSIEMが必要とされる理由 (2)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

標的型攻撃対策にSIEMが必要とされる理由 (2)

ネットワークセキュリティ 2015/12/18

 昨今多発する、標的型攻撃に由来した情報漏洩対策として、Webアクセスの一元化による安全な通信を確保するプロキシサーバーの重要性が再認識されています。このような状況の中で、デジタルアーツは、標的型攻撃対策として「検知・防御・教育」の3つの要素が重要であると考えています。

 本連載では、標的型攻撃対策の中でも「検知」の分野で注目されている「SIEM」の必要性について考えていきます。第1回では、「SIEM」とは何かをご紹介しました。第2回となる本稿では、「SIEM」で検知した情報の効率的な活用方法についてご紹介します。

最後の防衛線をどこに置くか

 ますます高度化・複雑化する標的型攻撃。標的とする組織の情報システム内部に深く継続的に侵入してシステム破壊を起こす、他の標的型攻撃とは一線を画す特別な攻撃として、IPAは『高度標的型攻撃』という言葉を定義しています(※1)。

 情報セキュリティの業界に身を置く私も最近よく聞く話として、高度化する標的型攻撃を「全て防御」するのは難しいという意見があります。では、標的型攻撃に対して最後の防衛線が「防御」でないとすると、どこに置くべきでしょうか?

 業界のトレンドとしては、最後の防衛線は「検知」であると考える人が増えているようです。一番あってはならないのは、攻撃を受けていることも知らず、知らぬ間に重要な情報が攻撃者の手に渡ってしまっていることです。攻撃を受けている(受けた)ことを「検知」できれば、事後対策が間に合う可能性もあります。これが、標的型攻撃対策ソリューションとして、「検知」の分野で「SIEM」が注目され始めた理由です。

標的型攻撃対策の「かなめ」となる3要素

 デジタルアーツも最後の防衛線は「検知」であると考えていますが、「検知」と「防御」に加え、さらに「教育」まで含めた3つの要素の循環が標的型攻撃対策として重要であると考えます。

図1 弊社製品「i-FILTER」での標的型攻撃の対策例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 弊社製品「i-FILTER」での標的型攻撃の対策例

 その理由は、「検知」した情報をどう活用していくかで説明できます。「SIEM」で検知して分析された情報から、誰がどこにアクセスして攻撃を受けマルウェアに感染し、ネットワーク内のシステムにどのように侵入し、どこに情報を持ち出そうとしているかが分かります。その情報を活用して管理者が次に行うべき対策は2つです。

1. システム的な対策:感染元サイト・通信先のC&Cサーバーへの通信遮断などの「防御」

2. 組織的な対策:不用意なアクセスをした従業員への注意・再発防止などの「教育」

 検知した情報を基にシステム的・組織的対策を1段向上させて、新たな脅威に備えます。

「防御」の効率化

 分析された情報から分かった通信先のC&Cサーバーへの通信を遮断するには、プロキシのブラックリストにURLを登録してアクセス禁止にする必要があります。手動でも登録はできますが、「SIEM」からプロキシに自動で登録できる高機能・高効率な製品もあります。

 また、他に効率化する手段を考える上で、「SIEM」で検知できる攻撃の属性について考えたいと思います。「SIEM」は高度標的型攻撃以外にも様々な攻撃を検知することができますが、なかには既に広く知れ渡っている攻撃で対処方法が確立されていたり通信先のC&Cサーバーが特定できていたりする攻撃もあります。

 このような既知の攻撃については、「SIEM」での検知を基軸として対策するより、ウイルス対策製品のパターンマッチや、C&Cサーバーなどの悪性URLをデータベースとして内包しているWebフィルタリング製品で通信を遮断する方が効率的です。

 攻撃の属性で棚卸しすることで、「SIEM」はゼロデイ攻撃や高度標的型攻撃のような未知の攻撃の可視化に特化させることができます。また、未知の攻撃は、仮想環境上でマルシャスなプログラムを動作させ振る舞いをチェックできるサンドボックスソリューションによっても対策が可能です。「SIEM」とサンドボックスソリューションを併用することで、未知の攻撃の検知はさらに効率化されます。

「教育」の効率化

 続いて、従業員への教育の効率化について考えます。不審なメールやサイトを開かないようにITリテラシーを底上げする標的型攻撃対策の教育サービスも増えてきました。しかし、勉強会の講師派遣やe-ラーニングには落とし穴があります。

1. 役員など重要な情報を持つ人ほど、忙しく参加できない

2. 習得した知識が定着するほど頻繁に受講させるのは困難

 一番受けてほしい役員ほど受講が難しく、さらに悪いことに、役員は従業員の1.5倍、標的型攻撃メールの開封率が高いというデータもあります(※2)。また、継続的に教育を実施するには費用と手間がかさみます。多くても月1回の受講が現実的ではないでしょうか。

 習得した知識は、「エビングハウスの忘却曲線」に沿って忘れ去られていくため、月1回の受講では半分以上忘れられてしまいます。定着化させるためには小中学校で毎朝のように行われていた「小テスト」のような、定期的な反復学習が効果的ですが、費用も手間もかけずに実現するのは高いハードルです。

 当社が行った標的型攻撃に関する意識調査では、8割以上の情報システム管理者が専門講師による研修やメールでの注意喚起・情報発信を実施していると回答している一方、従業員の約6割は受講経験がないと回答しており、管理者がせっかく教育の場を準備しても従業員には伝わってないこともあるようです(※3)。

 当社製品「i-FILTER」では、役員も含めて従業員がインターネットに初回アクセスする際に、1日1問情報セキュリティの選択問題を表示し、正解しないとインターネットにアクセスできないように強制できる教育支援機能が標準搭載されています。

図2 教育支援機能の弊社製品「i-FILTER」での例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2 教育支援機能の弊社製品「i-FILTER」での例

 問題の提供元として、教育コンテンツの普及に従事されている団体と提携し、幅広いサンプル問題が利用できるため、「小テスト」の問題を管理者が作成する必要はありません。

 また、この機能は画像認証などと同様に、認証機能としても役割を果たします。マルウェアによる機械的な通信では何度も不合格になるため、C&Cサーバーへの接続を実質的にブロックできるほか、「SIEM」で標準偏差によるレアなレコードとして抽出された従業員が感染者である可能性が非常に高いです。

 このように、「SIEM」で検知した情報を「防御」と「教育」の2つの側面から活用していくことで、標的型攻撃対策をより効率的に進めていくことができると考えています。

 今回は「SIEM」で検知した情報の効率的な活用方法をご紹介しました。次回はプロキシサーバーの重要性が再認識されている理由についてご紹介します。

※1 出典:IPA:『高度標的型攻撃』対策に向けたシステム設計ガイド
※2 出典:NRIセキュアテクノロジーズ サイバーセキュリティ:傾向分析レポート2015
※3 出典:デジタルアーツ:勤務先における 標的型攻撃の意識・実態調査

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008452


IT・IT製品TOP > Key Conductors > 遠藤 宗正(デジタルアーツ株式会社) > 標的型攻撃対策にSIEMが必要とされる理由 (2)

このページの先頭へ

キーマンズネットとは
2012年よりデジタルアーツ株式会社で、Webフィルタリング製品のプロダクトマネージャーとして従事。内部情報漏洩対策・生産性向上のためのWebフィルタリングという製品ポジションから、外部からの悪意ある攻撃対策まで包含できる製品にシフトすべく、他社製品との連携も視野に入れて、セキュリティ市場の動向を日々伺う。

ページトップへ