侵入はもはや避けられない。その上で高度な脅威の検知、分析、対策を

インテリジェント ウェイブが提供するAPT対策・偽装テクノロジー「Deceptions Everywhere」

すべてがネットワークでつながる現在のデジタル環境は、利便性が非常に高まっている反面、セキュリティ上の脅威もかつてないほど拡大しています。今回は、クレジットカード決済システム開発において多くの実績を重ね、さらに現在は強力なセキュリティソリューションまで幅広く提供している株式会社インテリジェント ウェイブを訪問。セキュリティソリューション本部 ビジネス推進部 テクニカルサポート課のプロジェクトリーダーである川岡晃氏に、今日のサイバーセキュリティにおけるトピック、そして新たなコンセプトの標的型攻撃対策製品である「Deceptions Everywhere」についてお話を伺いました。

kawaoka_sama.jpg

株式会社インテリジェント ウェイブ
セキュリティソリューション本部
ビジネス推進部 テクニカルサポート課
川岡晃 氏

高まるセキュリティ上の脅威と企業側での対応

―近年、サイバー攻撃により甚大な被害を受ける企業のニュースをよく目にしますが、これらの攻撃にはどのような傾向があるのでしょうか。

以前は「ばらまき型」と言われるような不特定多数を対象とした攻撃が見られましたが、最近は標的型攻撃の中でも特にAPTAdvanced Persistent Threat)と呼ばれる、高度で持続的な脅威による被害が増えてきています。このような脅威は、高度な技術を持った攻撃者による特定の企業に向けた攻撃であり、独自のツールや手作業で攻撃を仕掛けてくることから、その侵入を100%食い止めることは事実上不可能と言えます。そして実際に侵入されてしまうと、正当なアクセス権を奪われてしまい、検出を避けるように潜伏します。サプライチェーンを含めてたとえ1台でも脆弱なパソコンがあれば、そこを起点として感染が拡大してしまうことから、被害が大きくなっていきます。


img01.png

―企業側はこのような被害の状況を把握できているのでしょうか。

実際のところ、攻撃や被害そのものについて「気づいていない」という状況が多く見られます。経済産業省が発表したサイバーセキュリティ経営ガイドラインVer2.0(平成2911月改定)によれば、セキュリティ侵害の発覚経緯を分類すると、組織内で侵害を検知したケースが53%であるのに対して、外部からの指摘で発覚したケースが47%とほぼ半数近くを占めています。攻撃そのものを組織内で認知できていないことから、まだ被害が発覚していない組織も多数存在すると考えられます。攻撃者は自身の検出を逃れるため、巧妙に通信を偽装したり、正規のプロセスに偽装してひっそりと情報収集を行ったり、痕跡を消しながらネットワーク内を渡り歩くため、潜伏期間も長くなるのが特徴と言えます。

求められるのは「侵入を前提とした」攻撃対策

―このような脅威を検知し対応するためには、どんな施策が必要でしょうか。

もはや、「侵入を前提とした」対策が必要であると考えています。APT等の高度な脅威の侵入を食い止めることは、まず不可能です。このため、侵入を前提とした対策、侵入拡大対策が重要です。

APTは、標的型メールや改ざんされたWebサイトを使って侵入に成功した後、バックドアの開設や、端末情報・構成情報などの入手により侵入基盤を構築し、さらに侵入範囲を拡大して最終的な目的である情報の窃取やシステム破壊を行います。さらにこの間、攻撃に使用したファイルそのものや認証方式を悪用した際に記録されるWindowsイベントログ、UNIXであればアクセスログやコマンド実行履歴など、不正行為に関連した痕跡を削除または改ざんしながら横展開を進めるため、このような動きを発生時にリアルタイムで捉え、対策を打つ必要があります。

実際の対策としては、攻撃者の識別プロセスを妨害または除外して、攻撃者の不正活動の遅延や攻撃の検出、自動化ツールの中断などを行うべく、囮(おとり)またはトリックを使用する「偽装(Deception)テクノロジー」に注目が集まっています。

―APT対策を含め、貴社ではどのようなセキュリティソリューションを展開していますか。

インテリジェント ウェイブでは、内部/外部からの攻撃に向けたセキュリティソリューションや事前対策のソリューションなど包括的なソリューション群を用意しており、お客様の状況に合わせた対策を提案することができます。APT攻撃に対しては、イスラエルのillusive networks社が開発した「Deceptions Everywhere」を提供しています。

―Deceptions Everywhereはどのようなソリューション製品ですか。

まずこの製品は欧米のCISOが侵入されていないと自信を持って言うため、あるいは侵入されていても確実に捕捉できていると言い切れるために開発されました。従って、「攻撃者の視点」で開発された偽装テクノロジー製品であり、APT攻撃に代表される標的型の高度な攻撃に効果を発揮します。たとえ侵入された場合であっても、感染が拡大していく過程で攻撃者が偵察/収集する情報に膨大な「罠」を張り巡らせることによって、攻撃者をあぶり出し、攻撃経路を排除するというものです。新たに侵入してきた脅威だけでなく、既に侵入していて潜伏している脅威も対象となります。罠の精度も高く、AIにより組織環境にあわせて自動的にカスタマイズされ、エージェントレスの仕組みであることから端末への影響もありません。罠へのアクセス自体が不正行為であることから、過検知のアラートに悩まされることもありません。

また、攻撃者が囮の情報にひっかかりアクセスを試みた瞬間に、対象となったエンドポイントのフォレンジック、つまり「リアルタイムフォレンジック」を取得することができます。取得可能なフォレンジック情報としては、揮発性情報を含むプロセス情報やネットワーク系のセッション情報、マスタファイルテーブルの情報、レジストリ情報などがあり、使われていた攻撃ツールのハッシュ値など、痕跡が消される前に取得することが可能です。

―ハニーポットとの違いは何でしょうか。

ハニーポットはVLANごとに展開して、そこにおびき寄せるという手順をとりますが、攻撃者を誘導できた場合にのみ効果が発揮されるため、検知率は高くありません。Deceptions Everywhereは、罠情報自体を実際に使用されているパソコンやサーバーなどすべてに埋めこむため、どこから侵入してくるか分からないAPTに対して、より広範に対応し確実に、かつ早期に検知することできます。

また、防御という面で考えると、ハニーポットはサードパーティ製品などを使用する必要がありますが、Deceptions EverywhereAttack Surface Managerによってパソコンやサーバー上のキャッシュから不要な資格情報や接続履歴を排除し、リスクを事前に軽減します。

さらに、ハニーポットはVLANごとにシステム設定が必要なため運用と維持管理に大きな負荷がかかりますが、Deceptions EverywhereDeception Management Systemによるリアルタイムでの環境分析および一元管理が可能で、10万台のマシンへの配布が必要な場合でも、数時間で作業を完了することができます。

―効率のよい運用管理を支援する仕組みは提供されていますか。

Deceptions Everywhereではillusive Attacker Viewと呼ばれる機能によって、現状の端末やサーバー、さらにアカウント情報の関連性を可視化し、直感的に把握できるようになっています。「なぜこの端末はファイルサーバーに接続しているか?」といった気づきを与えることで、現状のシステムが抱える潜在的なリスクを明示することができます。

img02.png

また、分析ダッシュボードでは、ルール違反状況を可視化して即座に把握できます。たとえば、保守作業にあたって管理者が端末を使用し、その認証情報が残ったままであったというような場合にも、その状況を明らかにすることができます。

進化し続ける脅威への継続的な対応

―脅威は刻々と進化し続けていますが、Deceptions Everywhereではこのような変化にどのように対応しますか。

開発会社であるillusive networks社は継続的に攻撃者や攻撃手段の研究を行っており、その成果をDeceptionsカテゴリーという形で製品に反映しています。インテリジェント ウェイブはお客様にアップデート情報をお伝えする中で、お客様の状況に合致するものを常に探してご紹介しており、より効果的な対応に反映しています。

―最後に、セキュリティ対策に取り組む方々へのメッセージをお願いします。

今回はDeceptions Everywhereを中心としたお話になりました。現在の攻撃者はふんだんな費用と時間をかけて攻撃をしてくるために完全に防御することは不可能であり、実際は、個々の製品というよりも全体を俯瞰したセキュリティ対策、つまり「点から面への」発想の転換と、侵入を前提とした対策が必要だと思います。インテリジェント ウェイブとしても1つひとつのソリューションを単に提示するのではなく、お客様と密接なコミュニケーションをとった上で、現在の脆弱なポイントを明らかにし、最適なソリューションをご提供したいと考えています。個々のポイントソリューションよりも中長期的な視点に立って判断することが重要だと考えます。

インテリジェント ウェイブでは、今後もソリューションマップの拡充を図り、より包括的なセキュリティ対応が可能となるよう努め、お客様にとって「より信頼できるパートナー」となれるよう継続して取り組んでいきたいと考えています。

まとめ

APT攻撃を含む標的型攻撃は正に今、私たちのビジネス環境を侵害しつつあります。そして、攻撃そのものを組織内で検知できていない企業が多く、半数近くは外部からの指摘による発覚という衝撃的な事実を痛感しました。従来型の対策ではこのような脅威に対抗することは不可能で、インテリジェント ウェイブが展開するDeceptions Everywhereのように新たなコンセプトを用いたソリューションの導入が急務と考えられます。また、情報漏えいが発覚した場合にはメールアーカイブから感染経路の特定をする方法も有効です。

株式会社インテリジェント ウェイブの製品情報はこちら ↓
https://www.iwi.co.jp/

2018.11.28
Ebookダウンロード

Ebookダウンロード
企業資産としてのメール管理とは ~法規制対応、内部統制に「メールアーカイブ」を活用〜

本資料では、最新のメールアーカイブの潮流など、企業のメールセキュリティ対策に役立つさまざまな情報を解説します。ぜひご一読ください。
・サイバーセキュリティ、メールセキュリティの現状
・関税法やGDPR対策など、高まる企業統制の重要性
・膨大なメールの暗号化を可能にする技術 など

Ebookをダウンロードする

「ゼンロック」メールマガジン購読のご案内

「ゼンロック」メールマガジン購読のご案内

企業セキュリティに関するニュースやインシデント情報、製品情報などをお届けします。

メルマガ登録する