Special
» 2017年06月01日 10時00分 UPDATE

1社だけを狙う標的型攻撃にも自動対応:物理からクラウドまで進化するサーバ環境、一歩先行くセキュリティ対策とは

仮想化技術やクラウドの普及によって、誰でも容易にサーバを構築できるようになった。だが、セキュリティをどのように確保するかという悩みは残ったままだ。インフラ構築のスピードに合わせ、侵入を防ぐだけでなく、侵入されることを前提とした包括的な対策を実現する方法とは。

[PR/@IT]
PR

 この10年で、サーバを中心としたインフラ環境は大きく変化した。物理的な筐体を持つサーバをラックに格納し、多数並べる……というのは一昔前の話。仮想化されたリソースが浸透し、サーバ導入時には真っ先にクラウドが検討されるようになった。ハイパーバイザーよりもさらに抽象度を高めたコンテナ技術も普及し始めており、ワンクリックで簡単に環境を整えることが可能だ。

 このように、仮想化やクラウドといった新たな技術の普及によって、コンピューティングリソースの調達は容易になり、ニーズの増減に応じて柔軟に活用できる。

 ただ、それでも残る悩みがある。セキュリティの確保だ。サーバを用意して設定し、ネットワークにつなぐ。その後、どのようなセキュリティポリシーを適用し、運用していけばよいのだろうか。仮想化やクラウドによって、IT部門のあずかり知らぬところでも容易にサーバを構築できる環境が広がっている。こうした中でも適切なセキュリティレベルを保っていかなければならない。

 脅威も変化しつつある。業務に不可欠なサーバ内のデータを暗号化してしまい、ビジネスに大きな影響を与えるランサムウェアや、サーバの脆弱性を狙った情報漏えいも報告されている。インフラの進化がもたらすメリットと、セキュリティを両立させる術はないだろうか?

「一様に管理できない」「止められない」中での対策の難しさ

トレンドマイクロ プロダクトマーケティング本部 シニアプロダクトマーケティングマネージャ 朴順伊氏

 標準化が比較的容易なエンドポイントと比べ、「サーバは用途、構成がまちまちで、担当者も異なり、一概に1つのポリシーで制御するのが難しいという事情もある」と、トレンドマイクロ プロダクトマーケティング本部 シニアプロダクトマーケティングマネージャ 朴順伊氏は指摘する。「きちんとセキュリティ部門を整備した大きな会社であればあるほど、運用するサーバの数は桁が増える。きちんとポリシーを決めて適用したいと考えても難しい。一様にセキュリティ対策ができないのが実情だ」(以下、朴氏)

 加えて、「動いているサーバにはできるだけ手を加えたくない」という声も根強いという。実際、サービスやアプリケーション停止の影響を考えると、クライアントに比べてサーバへのパッチ適用は手間が掛かり、システム運用部門がどうしても慎重になりがちだ。しかし、万一侵害された場合の影響は甚大だ。エンドポイントは1台の被害で済む場合もあるが、サーバではそうはいかない。

侵入防御だけでなく、侵入後に早期発見できる対策を

 長年にわたって、サーバ、特に社内システムに利用される業務用サーバは、ユーザーが利用するエンドポイントと比べ、セキュリティ対策が後手に回りがちだった。これはファイアウォールの内側に置かれているという安心感もあってのことだろう。いまだに、「アプリケーション互換性の問題もあるし、修正パッチを適用しなくてもウイルス対策をしていれば大丈夫だろう」という声が珍しくない。

 しかしながら、トレンドマイクロが2017年に公表した「国内標的型サイバー攻撃分析レポート 2017年版」によると、調査対象となった4社に1社は標的型攻撃を受け、侵入を許している。ウイルス対策などの何らかの対策を講じていたにもかかわらず、標的型攻撃を受けた場合、自ら気付く企業や組織は少数派だ。顧客や第三者機関の指摘を受けて初めて、標的型攻撃による情報流出に気付くケースが少なくないという。「こうした状況を踏まえると、個人用端末でのウイルス対策やネットワークの入口だけの対策では不十分だ。侵入される可能性を踏まえてどのように早期に気付き、被害を最小化するかという対策が必要とされている」

 こうした状況に対応するため、ウイルス対策だけで済ませるのではなく複数のソリューションを組み合わせて、サーバの多層防御を実施するケースも増えてきた。「1つの対策に頼らず、複数の網の目を張り巡らせて多段で脅威を捉えていこう」というものだ。非常に合理的なアプローチだが、いざ実装するとなると新たな課題が生じる。例えば、複数のセキュリティ機能を実装するために複数社の対策製品を導入していった結果、インシデントが発生した際の対応に時間がかかるなど、運用管理の負担が増大する。

多層防御と運用工数の削減を両立 Trend Micro Deep Security

 同社はこのような状況に即したソリューションを提供している。サーバ向け総合セキュリティソリューション「Trend Micro Deep Security(以下、Deep Security)」だ。ランサムウェアをはじめとする不正プログラム対策にはじまり、IPS/IDS、ファイアウォールやWebレピュテーションといった侵入を防ぐ機能を備える。さらにアプリケーションコントロールや変更監視、セキュリティログ監視のように、万一侵入されてしまった場合でも素早く異常に気付き、被害拡大を防ぐことを目的とした機能を備えており、多層的なセキュリティ対策を実現する。

Trend Micro Deep Securityの特徴

 特徴の1つは、こうした「多層防御」を1つの製品に統合した形で提供していることだ。セキュリティ機能ごとに別々の管理コンソールを使い分ける必要はなく、セキュリティ運用の手間を省く。設定に関しても、サーバ1台1台個別に設定作業する必要はなく、「Windows Server 2012用のポリシーはこれ」といった具合にサーバの種類や用途ごとにテンプレートを作成することでサーバをグルーピングでき、全体の管理を簡素化できる。サーバ運用管理者の工数を増やさない工夫だ。

 多くのセキュリティ機能を持つDeep Securityは、全ての機能を常に有効にせず、必要な機能だけを使う仕組みを採っている。サーバの用途によっては「IPS/IDS、ファイアウォール機能のみ」といった使い方や、必要なセキュリティレベルに合わせてチューニングも可能となり、サーバのパフォーマンスへの影響を最小限に抑えつつセキュリティを強化できる。製品ライセンス面においても、利用する機能にあわせた柔軟なラインアップが用意されており、「企業の大切な情報資産を扱うサーバを守るために、社内外を問わず、標準として利用すべき製品だと自信を持っている」と朴氏は述べる。

ニーズに応えるべく、新旧さまざまなサーバ環境に対応

 Deep Securityの大きな利点の1つが、対応するプラットフォームの多様さだ。同社はサーバ環境やインフラ環境の進化に合わせて、Deep Securityのサポート環境を広げてきた。「古い環境から新しい環境まで、さまざまなOSをサポートしている。進化するサーバ環境の一歩先を行くべく、コンテナやサーバレスといった環境、それぞれに適したセキュリティも提供していく」

 事実、新バージョン「Deep Security 10」では、新たにDockerコンテナをサポート。セキュリティ対策を取りこぼすことなく、ビジネスやサービスをスピーディに拡張できるようになった。

 一方で業務システムには、アプリケーション互換性や運用上のやむを得ない理由により、メーカーのサポート終了後も使い続けなければならない古いプラットフォームが残されていることがある。こうしたシステムを次の更改までの期間保護し、安全に移行させるためにDeep Securityを採用しているケースも少なくないそうだ。「サポートする立場としては大変ですが、古いものから新しい環境まで、お客さまのニーズに応え、サーバに必要なセキュリティを提供していく」

さまざまな物理環境から仮想化環境、クラウド環境までを統合管理できる

 新バージョンのもう1つの特徴は、同社のサンドボックス製品「Deep Discovery Analyzer」との連携が可能になったことだ。Deep Securityが不審なファイルを見つけたら、Deep Discovery Analyzerに自動で送信して、サンドボックス解析が進む。もしも不審なファイルが「クロ」と判明すれば即座にカスタムシグネチャ(お客さま専用のルール)を自動作成し、エンドポイントに配信する。つまり、人手を介さず未知のマルウェアに従来よりも短時間で対処できる仕組みだ。

Deep Security 10の強化ポイント

 朴氏によると「マルウェアの数は膨大なものになっているが、当社の調査によればそのうち90%以上は、たった1つの企業、1台のPCでしか検体が見つからない。従って、当社に検体を送ってもらい、シグネチャを作っても間に合わない状況だ」という。Deep SecurityとDeep Discovery Analyzer、さらにエンドポイントセキュリティ製品のウイルスバスター コーポレートエディション XGが連携するメリットはここにある。特定の企業を狙い、カスタマイズされたマルウェアが送り込まれたとしても、専用のカスタムシグネチャを迅速に作成し、対抗できるからだ。

 Deep Security 10では他にも、ファイルを暗号化しようとする動きを検知してブロックしたり、ホワイトリストによって許可されていないアプリケーションの実行を防止したりと、「ランサムウェア」や「Webサーバの脆弱性を利用した情報漏えい」のように、最近メディアを騒がせている脅威に対抗する機能を加えた。

変化を予測し、セキュリティを進化

 ITインフラの進化を見据え、常に利用者の一歩先を行くよう機能を強化してきたDeep Security。今後もその歩みは止まることはない。例えば、Deep Securityの管理マネージャをトレンドマイクロがホスティングしているDeep Security as a Serviceでは2週間に1回というペースでアップデートを行い、さまざまな改良を施しているそうだ。

 クラウドの普及やコンテナ技術の広がりに伴って、自動化というキーワードに注目が集まっている。クラウドサービスではオートスケールによってサーバを自動的に増減できる。Deep Securityには、そうして増加したクラウド環境のサーバに手作業でセキュリティ設定しなくても、自動で設定が済むような機能を持たせている。このようにDeep Securityをより使いやすいものに改良し、サーバインフラにセキュリティの穴が残らない環境作りを支援していくという。

 「お客さまの業務内容を伺うと、メンテナンス作業のため土日に出社して朝方リリースするといった具合に、運用に大変な思いをされている方も多い。セキュリティ技術で自動化できるところは自動化し、担当者が本来専念すべきところに集中できるよう、お手伝いしていきたい」

 AIや機械学習をはじめとする新しいテクノロジも盛り込みつつ、重要な資産が保存されている「サーバ」を、これからも保護していく。「セキュリティはビジネスの成功を左右するもの」。トレンドマイクロでは、そのセキュリティをインフラのスピードに合わせて提供し、企業を後押ししていく。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:トレンドマイクロ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年6月30日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。