標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は：＠ITセキュリティセミナーレポート（2/2 ページ）

セッション3：脅威のフィルターの1つとしての認証ソリューション

　セッション3「スマートモバイル活用におけるアクセスセキュリティの強化」では、EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏が、モバイルデバイス活用時のセキュリティ対策の重要性を再考した。

EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏

　スマートモバイルの普及はワークスタイルの変化を促し、VPNや仮想デスクトップなど、より安全に社内リソースへアクセスするためのさまざまな手段が登場している。こうしたリモートアクセスでは、本人であることを証明する手段として、固定パスワードによる認証が採用されていることが多い。

　しかし、「推測されやすい弱いパスワードを設定する」「長期間同じパスワードを利用する」など、固定パスワードには多くの弱点が存在する。たとえ、英数字・記号を組み合わせた8文字以上の推測しにくいパスワードを設定し、定期的に変更したとしても、最近急増するフィッシングサイトやトロイの木馬による窃取被害には効果がない。

　IT管理者にとっても、固定パスワードでの運用は負担が大きい。「複雑なパスワードの設定と定期的な変更をユーザーに促した場合、パスワードを忘れたり、パスワードをメモした紙を紛失したりでヘルプデスクへの問い合わせは増える。結果、運用側の負担は増大する」（水村氏）

　これらの課題を解決する方法に、有効期限付きで再利用ができない「ワンタイムパスワードトークン」や、通常と異なるIPアドレスやデバイスプロファイルからアクセスがあった場合に別の連絡手段で本人認証する「リスクベース認証」などがある。

　特に、仮想デスクトップソリューションやリモートアクセスで最近注目されているのが、ワンタイムパスワードのソフトウェアトークンだと水村氏は述べる。同社の認証ソリューション「RSA SecurID」はソフトウェアトークンでも提供されており、VMware Horizon View Clientと連携して仮想デスクトップでの認証も行うことができる。

　「設定や配布もシンプルだ。サーバーにトークンのレコードデータやユーザーIDとのひも付けを登録し、インストーラー経由でデバイスに専用アプリを入れて、アクティベーションコードを入力する。あとはユーザーがPINを入力してパスコードを表示するだけだ」（水村氏）

セッション4：リスト型攻撃やスクレイピング攻撃にも対応するWAF製品

　セッション4は、ネットワークバリューコンポネンツ セールス部第3グループ マネージャー 野網恵也氏による「Webアプリケーションへの最新脅威トレンドとWAF事例」だ。

ネットワークバリューコンポネンツ セールス部第3グループ マネージャー 野網恵也氏

　野網氏が紹介したのは、「IMPERVA SecureSphere WAF」によるソリューションだ。HTTPトラフィックを深く調査し、不正アクセスなどを検知、ブロックする。パラメーターレベルまで掘り下げられるので、例えばApache Struts 2の脆弱性についても、特定のパラメーターでブロックすることが可能だ。

　同製品は、ダイナミックプロファイリング機能で通信を継続的に学習し、ホワイトリストを作成できる。また、Imperva社の研究機関「Application Defence Center」が作成・更新する6500種類以上のシグネチャからなるブラックリストに基づいて、最新の脅威からWebサイトを守ることができる。

　判断が難しいファイルについては、SQLインジェクションエンジンで精査する。この他、レピュテーションベースのWebセキュリティサービス「ThreatRadar」を追加すれば、外部リソースや顧客コミュニティが収集した攻撃情報を適用でき、より精度の高い防御が実現する。

　他にない機能として、ユニバーサルユーザートラッキングが挙げられる。Webアプリケーションからデータベースにアクセスした場合、通常であればアクセスログはデータベースの共有IDとして記録され、どのユーザーがアクセスしたかが分からない状態になる。これに対して、同機能ではトランザクションごとのユーザー名を記録するため、特定が容易だ。

　IMPERVA SecureSphere WAFはさまざまな攻撃に有効だ。例えば、リスト型攻撃のように特定多数の送信元IPアドレスから大量のアクセスがあった場合、ポリシーでブロックし、レピュテーション機能で送信元IPアドレスを一定時間ブロックできる。

　正規サイトのコンテンツの一部を抜き出してフィッシングサイトなどのコンテンツに流用する「サイトスクレイピング」には、スクレイピング対策ポリシーから過度のユニークなページリクエストを検知、ブロックする。

　同社では、WAFの運用含めてアウトソースできるSOCサービスも提供している。「自社の体制に合わせて選択していただきたい」（野網氏）

セッション5：エンドポイントで多様な対策を施し標的型攻撃を防ぐ

　セッション5「未知の脅威に対抗する!! 〜標的型攻撃に対抗するために『エンドポイント多層防御』の提案〜」では、FFRI マーケティング部 マネージャー 山下啓一郎氏が登壇した。

FFRI マーケティング部 マネージャー 山下啓一郎氏

　山下氏は講演の冒頭で、標的型攻撃では未知の脅威が利用されることから、従来のパターンマッチングによるソリューションでは守り切れないことをあらためて指摘した。そして、「守りたい情報資産は何かを十分精査した上で攻撃内容を想定し、対策を行う必要がある」と強調した。

　その対策としては多層防御が有効だ。「標的型攻撃は、不正なファイルの開封、マルウェア感染、必要なデータの窃取など、ある一連の流れで実行される。そのうちの1カ所でも断ち切ることができれば、攻撃は成功しない」（山下氏）

　多層防御の中で、FFRIが得意とするのはエンドポイント対策だ。同社の「FFR yarai」は、ZDPエンジン、Static分析エンジン、Sandboxエンジン、HIPSエンジンの4つのヒューリスティック解析エンジンで未知の脅威をあぶり出す。

　ZDPエンジンは、任意コード実行型の脆弱性攻撃の99％をカバー範囲として防御する。そして、Static分析エンジン（静的解析）やHIPSエンジン（動的解析）で構造分析し、マルウェアらしい特徴を複数の視点から検証、判定。それでも判別のつかないプログラムはSandboxエンジンに渡され、仮想環境上で実行し、挙動を確認する。同エンジンは独自のU-Sandbox検知ロジックを採用しており、サンドボックス対策をしているマルウェアも検証できる。

　最近は、メールに自己解凍形式マルウェアや拡張子偽装マルウェアを添付する攻撃が増えており、同社ではこれらに対応するために、新機能「機械学習エンジン」を開発した。これは、同社がこれまで収集してきたマルウェアに関する統計情報をベースに振る舞い特性を機械学習させて、エンドポイント上で該当する挙動があるかを検出するエンジンだ。

　山下氏は、エンドポイントは対策できるポイントが多いと述べる。「セキュリティパッチで既知の攻撃を未然に防いだり、クライアント上のWebブラウザーに介入するような挙動を素早く補足したりと、さまざまな対策が展開できる。また、プロセスやメモリの情報も集めやすく、高い精度のマルウェア検出も可能だ。標的型攻撃の対策の1つとして、ぜひ検討していただきたい」。

セッション6：リスクの高さに基づいて導入する対策を考える

　セッション6「デル“Connected Security”包括的な対策でリスク要因を排除」は、デル Dell SecureWorks セキュリティ コンサルティング・セールス スペシャリスト 平野健太郎氏が登壇した。

デル Dell SecureWorks セキュリティ コンサルティング・セールス スペシャリスト 平野健太郎氏

　平野氏は、「パソコンメーカーというイメージの強いデルが、なぜセキュリティソリューションを提供しているのか、不思議に思われるかもしれない」と述べ、取り組む理由を「IT運用に関わる予算を削減し、経営に注力できるよう支援するのが目的。そのためには、必要なソリューションをワンストップで提供できることが重要」と話した。

　デルのConnected Securityソリューションは、セキュリティに対する「考え方」を示すものだと平野氏は述べた。

　「ITの利活用を促進する上で、セキュリティは非常に重要な要素だ。だが、これまでの対策は局所最適に過ぎず、相関的なつながりが見えない。例えば、社員に使わせたくないアプリケーションがある場合、局所最適では何か製品を導入して終わりだ。しかし、本当はマニュアルやポリシーを確認し、使わせない場合のビジネスインパクトを検証し、ネットワークからエンドポイント、サーバーまで俯瞰して考えなければ、解決にならない」（平野氏）。

　これらを実施するには各分野での専門性が求められ、各ソリューションを導入することになる。これでは、コストおよび人員リソースへの負担は増える一方だ。しかも、導入ソリューションが多いほどにセキュリティと利便性のバランスを取るのは難しくなる。

　そこで、平野氏は導入するソリューションの1つの指標として、リスクの高さを挙げた。「例えばデルの製品であれば、少ない人材でも自社で運用管理し、利便性と効率を確保したい場合は、アプライアンス製品のDell SonicWALL UTMが最適だ。一方で、セキュリティレベルを重視し、専門性の高いチームに最新の多層防御を実施したいのであれば、24時間365日体制で監視するSecureWorksセキュリティ監視運用サービスが利用できる」（平野氏）。

　これら以外にも、デルではセキュリティ対策の構想策定を支援する「SeureWorksコンサルティングサービス」や、「SecureWorks脆弱性診断サービス」など、セキュリティのライフサイクルを網羅した各種サービスを提供している。

　「まずは、リスクレベルに応じて、どの程度の複雑さを受け入れるか考えること。その上で、リソースが不足するようであれば専門業者にアウトソースする」。平野氏は、判断に応じた柔軟なソリューション選びを支援していくと述べた。

特別講演：脅威を知り、対策するために「10大脅威」の活用を

　セミナー最後の特別公演は、「脅威を知り、正しく対策する第一歩」と題し、独立行政法人 情報処理推進機構（IPA） 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 中西基裕氏が登壇した。

　中西氏は、昨今の脅威に対抗するには「脅威を知ること」と「対策を知ること」が重要であると述べた。

独立行政法人 情報処理推進機構（IPA） 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 中西基裕氏

　まず対策について、「守るべき資産を把握することがポイント」と中西氏は指摘する。「その上で、継続的な投資や予算組みをしながら、優先度を付けて段階的に多層防御を完成させていく」。

　脅威については、IPAが毎年発行している「10大脅威」を参考にしてほしいと中西氏は語る。「10大脅威」は3章で構成され、第1章はセキュリティ脅威の分類と傾向、第2章はその年の10大脅威、第3章は注目すべき脅威や問題がまとめられている。

　特に、現状とリスクレベルを手早く理解できるのが第2章だ。脅威の概要と対策が見開き2ページで簡潔にまとめられている。その中から、中西氏は重要と考える脅威をいくつかピックアップし、解説した。

　1つは、1位の「標的型メールを用いた組織へのスパイ・諜報活動」だ。2013年は2位にランクインしていた同脅威は、政府関連機関だけでなく民間企業も攻撃対象になったことから、1位になった。対策は、ネットワークを部門ごとに分割してアクセス制御する、ネットワーク検疫システムでウイルス対策を強制実行するなどが挙げられた。

　もう1つは、2013年半ばより報告件数が急増した3位の「Webサイトの改ざん」だ。ウイルス配布の常套手段であるWebサイト改ざんは、Webアプリケーションやコンテンツ管理システムなどの脆弱性が狙われ、2013年6月の被害件数は同年4月の倍以上になったという。「対策は、Webサイトの設計・開発・運用・監視というライフサイクルの各ステージにセキュリティ対策を組み込むことだ。また、PCのソフトウェアを最新バージョンに更新する、アカウントの運用ルールを見直すなど、今すぐできる対策もある」（中西氏）

　また、8位の「紛失や設定不備による情報漏えい」も、年々コントロールが難しくなっている点で悩ましい脅威だ。個人所有のスマートフォンやタブレット、クラウドストレージを利用して社内情報を持ち出すケースが増えており、デバイスの紛失や設定不備などで情報漏えいが発生する事件も後を絶たない。対策として、「まずはデータを持ち出す場合のルール徹底やユーザー教育など、心のブレーキをかけるところから始めたい」と中西氏は述べ、その上で暗号化やアクセス制限などのシステム的な対策を講じてほしいとした。

　10大脅威は毎年発行されており、IPAのサイトから無料でダウンロードできる。「上司や同僚に説明するためのヒントとして、少しでも役立てば幸いだ」（中西氏）