6月28日、日本CAは「標的型攻撃から内部犯行まで、穴のない対策を目指せ!!」と題した情報セキュリティ総合対策セミナーを開催した。昨今注目される「標的型攻撃」をキーワードに、企業の情報セキュリティ再考を促すセミナーでは、有用なツールとして「CA ControlMinder」が紹介された。ポイントは、標的型攻撃に特化したソリューションではないという部分だ。

日本CA ソリューション事業部 セキュリティソリューション部 シニアコンサルタント斎藤俊介氏

標的型攻撃の場合、ウィルス対策のような「入口対策」で侵入を完全に防ぐのは難しい。ファイアウォールをすり抜け侵入された後の攻撃にいかに対応するかというのが、現実的な対策だという。そこで重要なのが「出口対策」だ。

「標的型攻撃の目的は重要なデータの盗難になります。また、流出したデータを使用した情報漏えいや不正アクセスという2次被害もあります。そのため、標的型攻撃で最も防ぐべきは、不正侵入ではなくデータの流出です。そこで、不正なプログラムを埋め込まれてもデータの流出を回避する、または最小限にとどめるために有効なのが出口対策です。データの流出には、自社に責任がなくとも他社から流出してしまう他責ともいうべきものもありますが、これを防ぐのは難しくとも、自社の責任範疇である部分はしっかりと対策することができます。この自責部分の対策強化と、出口対策というのは同じことです」と斎藤氏は説明する。

具体的な出口対策としては、不正な経路からのアクセス防止、重要データに対するアクセスを制限することでの情報漏洩防止、万が一問題が発生した時にも迅速な対応を行うためのアクセス履歴管理が挙げられた。これらの手法自体には目新しさはない。それは日本CAが従来から提案してきたセキュリティ対策そのものだからだ。今年2月に名称変更を行い現在のCA ControlMinderという名前で提供されているが、以前の名称はCA Access Controlだ。

「これまで我々が提案してきたのは、内部の人間の不正やミスによる情報漏洩と改ざんへの対策です。一方、標的型攻撃は外部の人間が内部に埋め込んだプログラムを経由しての不正アクセスです。内部からの不正アクセスという点では共通しており、予防と発見が重要だという結論は同じなのです」と斎藤氏は解説する。

データアクセス&利用の制限と詳細なログ取得でセキュリティを固める

具体的な「CA ControlMinder」を利用しての標的型攻撃対策については、ソリューション事業部 セキュリティソリューション部 シニアコンサルタントである木村健氏から紹介された。

日本CA ソリューション事業部 セキュリティソリューション部 シニアコンサルタント木村健氏

「CA ControlMinder」の中で、標的型攻撃に特に有用なのは、「CA ControlMinder Endpoint」だ。「CA ControlMinder Endpoint」は、OSに制御が渡る前にリクエストをフックするため、OSの制限を超えた管理や制御が可能になる。特に特権ID管理や、マルチプラットフォーム環境での均一レベルのアクセス制御に貢献する。

具体的な対策としては、まずログイン条件の制御と経路の制限を行う。ログイン可能な端末や時間帯、およびプログラムの制限等を行い、あわせてパスワードポリシーによる制御やTCP/IPサービスの制御を行う。これにより、正当なユーザーが正しい端末と経路を使ってアクセスした場合にのみ情報にアクセスできるように制御する。

さらに、データごとにアクセスできるグループやユーザー、プログラム等を設定することで、不正な操作によるプロセス強制終了の防止や、特権ユーザーIDの管理も行う。そして、それらのアクセスログを詳細に記録する。

「OSのシステムログはシステムの状況確認が目的のログであり、コンプライアンス対応のためのものではありません。コンプライアンスに対応するためには、アクセスログの取得が必要です」と木村氏は指摘。セキュリティのために専用のログを取得することの大切さを説いた。

紹介された「CA ControlMinder」の機能はいずれも従来から搭載されていたものばかりだ。従来からしっかりとセキュリティを固めていた企業にとって、標的型攻撃は特に恐れるものではない。木村氏も「標的型攻撃は内部統制やSOX法対応、PCI対応と大きくは違いません。ただし、今まで以上のアクセス制御が必要になります」と語った。

「CA ControlMinder Endpoint」の強み

特権ID管理や仮想化対応も万全の「CA ControlMinder」

「CA ControlMinder」は標的型攻撃の特化したソリューションではないため、多彩なセキュリティ機能を持っている。

日本CA ソリューション事業部 セキュリティソリューション部 ソリューションストラテジスト中村透氏

「強力な認証とサーバー側のアクセス管理の両方に対するソリューションを持っていることがCA Technologiesの強み」と語ったソリューション事業部 セキュリティソリューション部 ソリューションストラテジストである中村透氏は、標的型攻撃に備えるだけでなく、仮想化対応、特権ID管理を行うことの重要性を指摘した。

特に特権ID管理については、管理・監査業務の効率化と、脅威や仮想化に対応するための環境対応という課題があり、これらを解決するために「CA ControlMinder」の「Shaered Account Management」(SAM)などの機能が有用だという。

また、仮想環境におけるセキュリティについても実際にあった事件を挙げ、「CA ControlMinfder for Virtual Environments」で、ゲストOSからHypervisorまで仮想環境のトータルセキュリティを実現できることを紹介した。

「SAMなどの各機能を利用した効率的な特権ID管理、Endpointを利用した出口対策による標的型攻撃対策、HypervisorとゲストOSの両方に対応した仮想化対応のすべてを行うことが重要です。CA ControlMinderはアクセスコントロール市場でトップシェアの38%を持っているという強みもあります」と中村氏は語った。

セミナー終盤では斎藤氏がデモンストレーションで、ワークフローを使用したユーザー貸出し、パスワードを公開しないユーザー貸出し、共有IDのパスワードを多くの人が知っている環境でのログイン制御、同時に共有IDを使った場合のユーザー特定等、現場での疑問を解消する事例が紹介された。そして、ログについても作業内容まで分かる履歴が取れることをアピール。「CA ControlMinder」の有用性を強調した。

* CA ControlMinder for Virtual Environmentは国内ではまだリリースされておらず、今後リリースの予定となっております。

「CA ControlMinder」のコンポーネントと各機能