前回は、近年、企業の情報セキュリティにかかわるトピックとして注目を集めている「標的型攻撃」について、その特性や有効な対応方法を、ITセキュリティ分野で実績を持つベンダーであるシマンテックに聞いた。

シマンテック ドット クラウドのテクニカルダイレクタを務める坂本真吾氏

同社が提供するクラウド型セキュリティソリューション「シマンテック ドット クラウド」のテクニカルダイレクタを務める坂本真吾氏と、同じくシマンテック ドット クラウドのマーケティングマネジャーである三浦真樹子氏によれば、近年「標的型」と呼ばれている攻撃の特性には、かつてのコンピュータウイルスのような愉快犯的なものではなく、盗み取る情報や攻撃対象に明確な目的があること。規模や業種にかかわらず、あらゆる企業が標的型攻撃のターゲットになり得ること。一見、危険度が低く思われる攻撃を組み合わせることにより、最終的に目的の情報を奪い取る「多段型」の手法が多く使われることなどがあった。

また、巧妙に仕掛けられる標的型攻撃への対策を考慮するにあたっては、クライアントPCのようなエンドポイントだけでなく、ゲートウェイでのスキャンを並用する「多層防御」が有効であることも示された。

シマンテックのクラウド型セキュリティサービス「シマンテック ドット クラウド」では、企業のメールやウェブアクセスにかかわるセキュリティ確保のための機能をSaaS(Software as a Service)形式で提供している。

前回は、多段型の手法が多く使われる標的型攻撃において一番最初に狙われるのは「メール」であるとの調査結果を紹介した。シマンテック ドット クラウドの「メールセキュリティ」は、企業のメールサーバと社外のメールのやりとりをスキャンして適切に処理することにより、悪意のあるコードを含んだメールをブロックし、社内のネットワークに届く前で阻止する仕組みを用意しているという。

今回も、前回と同様、マイナビのシステム統括本部で業務システム統括部の部長を務める薄井照丈氏に聞き手となっていただいた。マイナビは、このシマンテック ドット クラウド メールセキュリティのユーザーでもある。後半では、実際のユーザーの立場で、シマンテック ドット クラウドを利用してのメリットについても語ってもらっている。

最新ITリスク対策 注目記事一覧

クラウドによるゲートウェイ型だからこそできる徹底したメール分析

マイナビ 薄井照丈氏

薄井 : 前回のお話しでは、標的型攻撃への対策として、エンドポイントセキュリティに併せ、ゲートウェイ型のセキュリティソリューションの並用が有効だとのことでした。その理由について、改めて聞かせていただけますか。

三浦 : マルウェアの感染経路として「メール」が使われる比率が高いことについては、前回もお話しをしました。一方で、メールは今や企業のコミュニケーションツールとして不可欠のものとなっており、当然、受信を制限することはできません。であれば、攻撃の可能性がある疑わしいものについては、すべて水際で処理し、企業内に入れないことが基本になります。

坂本 : シマンテック ドット クラウドのメールセキュリティでは、企業あてに送られたメールについて、多層型のスキャンシステムを使った解析を行っています。そこでは、送信元の検証や商用スキャンエンジンを利用したスパムフィルタ、ウイルススキャンなどに加えて、シマンテック独自のクラウドサービス専用人工知能エンジンである「Skeptic」を使った徹底的な解析を行い、ゼロデイを含む、標的型攻撃に使われる可能性があるコードを、極めて高い精度で識別できるようになっています。

シマンテック ドット クラウドのマーケティングマネジャーを務める三浦真樹子氏

薄井 : Skepticエンジンでは、一般的に知られていないゼロデイの脆弱性にも対応できるのですか。

坂本 : はい。一般的なウイルススキャンでは、ファイル単位で定義ファイルと照らし合わせて判別したり、予め危険であることが分かっているコードをファイル内から見つけ出すことで危険要素を判定したりしています。一方のSkepticでは、メールや添付ファイルをファイルという単位ではなく、コードレベルに分解して分析し、それぞれのコードが組み合わさることでどのような動作をし得るか考えます。その結果、個々のコードが組み合わされることで「結果的にどのような振る舞いをする可能性があるか」までを分析できるのです。

Skepticを含む多層スキャンは、極めて精度の高い分析方法なのですが、一方でエンドポイントとなるデスクトップPCで行うには負荷が高すぎるという問題もあります。そのため、メールスキャンについては、クラウド型で提供されるサービスを使って負荷をゲートウェイ側に分散し、徹底的に精査した上で、問題のないメールだけをエンドポイントで受信するという多層の対策に意味があるのです。

薄井 : たしかに、さまざまな攻撃手法を検知するために、より詳細な分析が必要になっている一方で、エンドポイントのPCにかかる負荷は低い方がいいというのがユーザーの正直な思いです。メールのセキュリティ確保に関しては、クラウドのリソースを活用するのが、その点でも合理的ですね。

坂本 : また、シマンテックが持っている多くの顧客ベースが、スキャン品質の高さを支えている点も重要です。グローバルベースで、3万5000社以上に導入されており、そのメールスキャニングの実績がリアルタイムに反映できる点で、スピード面でもメリットがあります。

新しいマルウェアは、最初に海外で発見される可能性が高いのですが、世界のどこかで検知された新たなマルウェアや攻撃手法が、全世界でのサービスに即座に反映されます。これについては、新興のセキュリティ企業が展開するサービスには、なかなか真似ができない部分だと思います。