標的型攻撃対策にSIEMが必要とされる理由 (3)

IT・IT製品TOP > Key Conductors > 遠藤 宗正(デジタルアーツ株式会社) > 標的型攻撃対策にSIEMが必要とされる理由 (3)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

標的型攻撃対策にSIEMが必要とされる理由 (3)

ネットワークセキュリティ 2016/01/14

 昨今多発する、標的型攻撃に由来した情報漏洩対策として、Webアクセスの一元化による安全な通信を確保するプロキシサーバの重要性が再認識されています。このような状況の中で、デジタルアーツは、標的型攻撃対策として「検知・防御・教育」の3つの要素が重要であると考えています。

 本連載では、標的型攻撃対策の中でも「検知」の分野で注目されている「SIEM」の必要性について考えてきました。最終回となる本稿では、プロキシサーバの重要性が再認識されている理由についてご紹介します。

「SIEM」未導入で標的型攻撃を調査するには

 標的型攻撃はメールが起点となることが多いですが、マルウェアに感染し情報を抜き出される際には、HTTP/HTTPSといったWebプロトコルが利用されます。そのため、SIEMが導入されていない状態で標的型攻撃を受けた場合、管理者はまずネットワーク内の全ての端末のWeb通信が包括されているプロキシのアクセスログを調べるといいます。

 SIEMが導入されていない場合は、プロキシのアクセスログから他のシステムとの相関分析を自分で行わなければならないため、とても手間がかかるというのは第1回で述べた通りです。また、プロキシも導入されていない場合は、端末から直接インターネットへの通信が行われるので、ログの調査も大変な上に、セキュリティ的にも脆弱です。そのため、標的型攻撃対策の初めの一歩としてはプロキシの導入が先決です。

自治体でもWebの包括化の取り組みを開始

 2016年1月から運用が始まるマイナンバー制度。総務省は、市区町村の情報システム強靭化と自治体情報セキュリティクラウド化を基軸とした、攻撃リスクの低減のための対策強化を概算要求し、来年度の補正予算としての計上が先日閣議決定されました。マイナンバー関連事業費1,150億円のうち、自治体情報セキュリティクラウドの整備に割り当てられた金額は450億円となります。

 自治体情報セキュリティクラウドとは、インターネットとの接続口を都道府県ごとに集約し、集中して高度な監視を行う、クラウドを用いた仕組みを指します。県にぶら下がる自治体は、インターネットに接続する際に県庁のプロキシを経由することで、自治体ごとの攻撃リスクの差をなくす役目を果たします。

 ここでもまた、プロキシという単語が出てきます。2015年8月に総務省が発表した中間報告(※1)には、プロキシの製品名まで例として具体的に記載されていますので、これからプロキシの新規導入やリプレースを検討する際に製品選定の参考になると思います。

プロキシで今すぐできる標的型攻撃対策

 IPAが監修している「『高度標的型攻撃』対策に向けたシステム設計ガイド」「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の2つを見ると、標的型攻撃に有効な対策としてプロキシやファイアウォールにどのような設定をすればよいかが具体的に記載されています。

図1 IPAガイドライン内の標的型攻撃に有効な対策

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 IPAガイドライン内の標的型攻撃に有効な対策
出典:「『高度標的型攻撃』対策に向けたシステム設計ガイド」「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」より弊社作成

 基盤構築段階の対策、内部侵入/調査段階の対策にはそれぞれ、防御遮断策と監視強化策があり、出口対策を合わせると22個の対策(うち7個は対策案を継続検討中)が記載されています。対象機器がプロキシであるものを抜き出すと、9個の対策(うち2個は対策案を継続検討中)があります。

図2 IPAガイドライン内のプロキシ機能要件

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2 IPAガイドライン内のプロキシ機能要件
出典:「『高度標的型攻撃』対策に向けたシステム設計ガイド」「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」より弊社作成

 上記の防御遮断策と出口対策は一般的なプロキシ製品、ファイアウォール製品であればオプション費用などの追加投資なく、設定を追加するだけで実現することができます。したがって、これらの標的型攻撃対策は、プロキシ導入後にすぐに対応できます。

 監視強化策と出口対策の監視部分は、標的型攻撃対策サイクルの「検知」に該当しますので、SIEMで手間を削減できる部分となります。

 プロキシで標的型攻撃対策を行ったあと、次に行うべき対策は標的型攻撃の温床の排除です。標的型攻撃の温床に成り得るものとして「シャドーIT」がありますが、続いてこれを引き起こすキーワードとして「ニュータイプ社員」についてご紹介したいと思います。

標的型攻撃の温床と成り得る「ニュータイプ社員」

 日々の業務の中でWebサービスの業務利用は不可欠になってきています。ソーシャルメディアでの情報収集・発信から、ファイル共有、翻訳・検索サイトなど、普段から個人的に利用しているWebサービスを業務利用することも多いのではないでしょうか。「ITコンシューマライゼーション」という言葉が台頭している通り、ITサービスの技術革新はコンシューマー向けが主導・先行し、企業向けIT分野がそれを後追いして取り込むようになってきています。

 すると従業員は、管理者がせっかく導入(構築)したWebサービスよりも、もっと便利で普段から馴染みのあるWebサービスを、管理者の知らないところで利用し始めます。このように、会社や組織の承認なく業務利用されているIT機器やソフトウェア、WebサービスをシャドーITと定義します。

 最近では自身の情報リテラシーが高いと信じ込んでいる従業員も増加しており、私は彼らのことをニュータイプ社員と呼んでいます。

 ニュータイプ社員が本当にシャドーITをうまく利用できるなら、シャドーIT自体は悪ではありませんが、Webサービスの「規約の内容、サービスの信頼性、操作面が安全か」などを継続的に判断できる真のニュータイプ社員はまずいません。

 2015年2月には、海外で運営されている翻訳サイト上で、他人が翻訳した内容を後から誰でも閲覧できてしまう問題も起き、IPAから注意喚起も出されました(※2)。閲覧できた内容としては、公表前の決算報告書を海外投資家向けの説明資料に起こすために翻訳した結果などが確認されています。

 ターゲットがこのような脆弱なWebサービスを利用していることを攻撃者が知ったら、攻撃者はそこから情報を吸い上げたり、Webサービス側にマルウェアを仕込んだりするのではないでしょうか。また、脆弱なファイル共有のサービスはC&Cサーバとして利用される可能性もあります。そのため、利用可能なWebサービスを制御し、シャドーIT問題を撲滅し、標的型攻撃の温床を排除するのも喫緊の課題です。

 弊社製品「i-FILTER」では、国内外2,000以上のWebサービスを日々監視しており、マウス操作のみで機能ごとに誰に利用させるかを制御設定することができます。もちろん、i-FILTERは上記のIPAガイドライン内のプロキシ対策にも対応しておりますので、プロキシの標的型攻撃からシャドーIT対策までワンストップで提供することが可能です。

図3 弊社製品「i-FILTER」でのWebサービス制御機能の設定例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図3 弊社製品「i-FILTER」でのWebサービス制御機能の設定例

標的型攻撃のリスク低減対策まとめ

 本連載では、3回に渡って、SIEMを基軸として標的型攻撃対策に必要な要素をご紹介してきました。社内のネットワークセキュリティの課題は外部脅威に加え内部脅威もあります。今回は外部脅威にフォーカスしましたが、最後に内部脅威も含めた対策を一覧表にまとめて締めくくりたいと思います。

図4 標的型攻撃のリスク低減対策まとめ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図4 標的型攻撃のリスク低減対策まとめ

※1 出典:総務省:自治体情報セキュリティ緊急強化対策について〜自治体情報セキュリティ対策検討チーム中間報告〜
※2 出典:IPA プレス発表【注意喚起】クラウドサービスに入力した内容の意図しない情報漏えいに注意

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008466


IT・IT製品TOP > Key Conductors > 遠藤 宗正(デジタルアーツ株式会社) > 標的型攻撃対策にSIEMが必要とされる理由 (3)

このページの先頭へ

キーマンズネットとは
2012年よりデジタルアーツ株式会社で、Webフィルタリング製品のプロダクトマネージャーとして従事。内部情報漏洩対策・生産性向上のためのWebフィルタリングという製品ポジションから、外部からの悪意ある攻撃対策まで包含できる製品にシフトすべく、他社製品との連携も視野に入れて、セキュリティ市場の動向を日々伺う。

ページトップへ