ネットワーク攻撃は、現在よく知られている「既知」のものと、よく知られていない「未知」のものに分類することができる。既知の脅威については、セキュリティベンダー各社が攻撃の元(マルウェアの検体)などを入手して分析し、各社の製品で防御できるように「シグネチャ」を配布しているものをいう。しかし攻撃者は、セキュリティ対策を講じられれば、新たな攻撃手法を開発する。“いたちごっこ”の様相を呈するセキュリティ対策だが、この件についてチェック・ポイント・ソフトウェア・テクノロジーズ株式会社 システム・エンジニアリング本部 システムズ・エンジニアの中野 貴之氏に話をうかがった。

チェック・ポイント・ソフトウェア・テクノロジーズの中野 貴之氏が講演を行うセミナー「ネットワーク・セキュリティ・インフラの全貌」の申し込みはこちら(参加費無料、9月27日金曜日開催、東京・竹橋)

存在すら知られていない“未知の未知”のマルウェア

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 システム・エンジニアリング本部 システムズ・エンジニア 中野 貴之氏

中野氏はまずこう話す。「新しく開発された攻撃手法は、実は以前のものとあまり変わらないというケース、つまり“亜種”であることがほとんどです。しかし、ちょっとした改変であっても、シグネチャがマッチしなければ対応できません。つまり、未知のものとして扱われてしまいます」。もちろんこの亜種に対しても、ベンダーはすぐさま対応策を講じる。そして、また新しい攻撃が開発される。「このようないたちごっこを、長年続けてきているのが現状です」(中野氏)。

「私は脅威を『既知』と『未知』の2つに分けましたが、実は未知の攻撃はさらに2つに分類することができます。つまり“既知の未知”と“未知の未知”です」。既知の未知というのは、既知の脆弱性や技術を用いた攻撃のことである。攻撃自体は発見されていないが、危険性があると知られているもののことだ。これらは、システムアップデートなどで対処することが可能であるし、IPS/IDSやWAFなどのゲートウェイセキュリティで防ぐことができる。

「問題は“未知の未知”、つまり存在すら知られていない攻撃です。攻撃者は、セキュリティ対策を回避するために、密かに活動するマルウェアを開発しました。こうしたマルウェアは、実際に行動するところを見ないかぎり検知できません。セキュリティ対策に自信自身のある企業でも、詳しく調べてみたら、未知のマルウェアが潜伏していたというケースは多いのです」と中野氏は付け加えた。そこで必要となるのが、閉じた仮想システムの中でマルウェアを稼働させ、その振る舞いを分析することで悪意の存在を検知する“サンドボックス”の仕組みだ。


サンドボックスだけではセキュリティ対策は不完全

「理論的にはThreatEmulationを用いれば、ほぼすべての脅威を防ぐことが可能です。しかし、すべてのデータ、プログラム、通信を仮想システム上でテストするという方法は、とても現実的ではありません」。アンチウイルス、アンチボット、IPS、WAFなどのさまざまなセキュリティ技術を併用し、“多層防御”の考え方でシステム全体のセキュリティレベルを上げて、できる限り100%へ近づけることが重要である。

「ポイントは、組織としてどのようなセキュリティ対策をすべきかという視点です。セキュリティ性にすぐれた企業は、何をすべきか、何を選択すべきかをよく知っています」。例えば、マルチベンダーポリシーを重視するあまりに、管理の複雑性が増して人的なセキュリティレベルの低下をまねくといった事態も考えられる。

「当社は今年で創立20周年を迎え、包括的なセキュリティソリューションを世界中の企業・政府組織などにご導入いただき、多くのノウハウを蓄積しています。講演では、私たちの知識を共有したうえで、どのようなセキュリティ対策を実施すべきか、いっしょに考えていただきたいと思っています」と中野氏は締めくくった。

なお、9月27日(金)に開催されるセミナー「ネットワーク・セキュリティ・インフラの全貌」で、「未知に対するセキュリティ対策 Threat Emulation」と題した中野氏の講演が予定されている。講演では、未知の脅威に先手をうつ「ThreatEmulation」について、詳しい解説を聞くことができるので、興味のある方はぜひとも参加してほしい。