標的型攻撃を防ぐ
ここで、2013年に発生した標的型攻撃を紹介した。TARGET社という小売業者が、その名前の通り標的となってしまったのである。この事件では、1.1億件ものクレジットカード情報が盗まれた(図3)。
|
図3 標的型攻撃の例(図中の「円」は「件」) |
攻撃者はカード情報だけでなく、PINデータなども盗み出していた。そして、その後、盗み出したデータが悪用されたことも確認された。TARGET社は社会的信用を大きく失墜させたことはいうまでもない。こうして、標的型攻撃は重大な被害を会社だけでなく、業界や消費者など多くの関係者にもたらす。
標的型攻撃では、複数のポートが悪用される。たとえば、80番ポートが悪用されることもあるが、ファイアウォールで80番を塞ぐことは実用上できないだろう。標的型攻撃では、このようなポートも狙われる。さらに、複数のプロトコルも悪用され、それだけでは不正と判断できないことが多い。そして、一度侵入を許すと、攻撃方法を進化・変化させる。結果、従来のパターン方式では、検知が不可能となる。
|
図4 標的型攻撃はなぜ手強いのか |
そこで、これらの脅威に対抗するために求められるのが、Next Generation Threat Defenseのアプローチである。防御には2つのアプローチが存在する(図2)。
|
図5 防御における2つのアプローチ |
端的にいえば、ポリシー強制は従来型のアプローチといえるだろう。それに対し、スレットディフェンスは、変化する脅威にプロアクティブに対応するものだ。再度、標的型攻撃の事例に戻ろう。TARGET社では、セキュリティセンターもあり、要員も配置されていた。しかし、うまく機能しなかったのである。セキュリティシステムは、クレジットカード情報の盗難以前に、警告が発していた。しかし、何もできなかったのである。その理由は、1日あたり数千件の警告がでており、セキュリティチームは、すべてに行動をとることができず結局のところ放置してしまったのである。セキュリティ製品として、警告は重要である。しかし、警告が多すぎて行動できなくなってしまうということもある。つまり、警告が無意味になってしまったのだ。つまり、変化する脅威や状況に応じて、警告の出し方も変える必要がある。
|
図6 次世代のスレットディフェンス |
そこで、次世代のスレットディフェンスでは、ユーザーの行動や心理・置かれている状況を基に適切な警告をし、ユーザーが対応可能なものとする。他にもアプリケーション・アウェアなども必要となる。どのアプリから警告が出され、どのアプリを停止させればよいかを判断する。ここでも、すべてのアプリ停止させては業務に支障をきたしてしまうだろう。そして、従来型のパターンファイルによる検索と併用することも必要となる。
これらをレイヤー(ネットワーク、サーバー&データセンター、エンドユーザー)や環境(物理、仮想、クラウド)のすべてに適用する必要がある。そして、重要なのはこれらを繋ぎ、ユーザーに適切な警告を出すことである。これまでは、セキュリティといえば保護がメインであった。しかし、標的型攻撃は非常に複雑なため、パターンだけでは防ぎきれない。それらを的確に可視化し、早期に警告を出す必要がある。脅威を検知できるようになると、相関分析などが可能となる。こうして、脅威の実態により深く迫る。さらに最適な対策を講じることが可能となる。この流れをスレットライフサイクルと呼ぶ(図7)。
|
図7 スレットライフサイクル |
検知・分析・対処・保護のスレットライフサイクル全体にわたり、製品やサービスを組み合わせ、情報資産を守るのがスマートプロテクションプラットフォームである。図8は、今回、スマートプロテクションプラットフォームで提供される新たなソリューションである。
|
図8 スマートプロテクションプラットフォームで提供されるソリューション |
非常にユニークなソリューションとして、Trend Micro Safe Mobile Workforceを紹介しよう。これは、バーチャルフォンともいえるものだ。通常、デバイスにアプリを入れ、データも保存する。しかし、盗難や紛失の危険性がある。Safe Mobile Workforceでは、一切のデータをデバイス側に保存しない。デバイスには画面のみを提供する。通常の仮想環境では、ハイパーバイザーをデバイス側に展開するが、Safe Mobile Workforceではそれも行なわない。データがないので、脅威に晒されることもない。セキュリティは、サーバー側で管理すればよい。
|
図9 Trend Micro Safe Mobile Workforce |
アプリはサーバー側で管理され、デバイス側には、アクセスのためだけのアプリをインストールする。入力などもデバイスの使い慣れたものが利用できる。実際には、Androidアプリで作成されており、iOSなどでも利用可能なように設計されているとのことだ。サーバーでアプリは一元管理できるので、保守・管理が容易である。使用範囲も、社内の特定ユーザー向けから、ネットバンキングのような利用も可能とのことである。
最後の質疑応答では、同社副社長の大三川彰彦氏がデバイスのセキュリティ管理を個人に委ねるのは限界がある。画面しか通信しないことで、より安全な新たなソリューションを提供できると語った。最初のリリースは開発されたドイツて最初に行われる。日本でもリリースされる際には、機会があれば取り上げてみたい。
