企業・組織に対するサイバー攻撃は、日々進化し続けている。万全と思われた対策も、時間を経ることで万全とはほど遠いものになってしまうのが実情だ。そうした激しい変化の中、攻撃を受けやすい大手サイトはどのように対応しているのかについて紹介するのが、7月25日(金)にマイナビが開催するセミナー「大規模サイト管理者に学ぶ、セキュリティの極意」だ。この中で、セキュリティリスクの現状と具体的な対策について語ってくれる、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 システム・エンジニアリング本部 シニア・システムズ・エンジニアである安藤正之氏の講演についてお伝えしよう。
「大規模サイト管理者に学ぶ、セキュリティの極意」の参加申し込みはこちら(7月25日(金)開催、会場: ベルサール神田(東京都千代田区)、開場13:30~)、参加費無料 |
データから読み取れる世界的な現状は悪化傾向
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、セキュリティ製品メーカーであるとともに、その製品を通して収集したデータをとりまとめたセキュリティ・レポートを作成している企業としても有名だ。同社のセキュリティ・レポートは、ユーザー企業から集まるデータだけでなく、導入前のモニタリングで収集したデータも含んでいるため、セキュリティ意識が高く十分な対策を行っている企業から、対策が不足している企業まで幅広い環境での実情を捉えたレポートとなっている。
2013年の年間を通じて収集したデータをまとめた2014年セキュリティ・レポート「CHECK POINT SECURITY REPORT 2014」では、996の組織から集めたネットワーク・イベント・データ、Check Point ThreatCloudから9,240の組織におけるイベント情報の分析など、延べ20万時間以上をモニタリングした、122カ国の状況が読み取れるものとなっている。
「2014年レポートでは、これまでと比較して全体的に悪い方向へと伸びています。未知のマルウェアは爆発的に増加していますし、マルウェア感染被害も増加。標的型マルウェア攻撃の成功例も増加しています。あらゆる業種とデータタイプ全体でデータ損失イベントも増えている状態です。そして、企業内での高リスク・アプリケーション利用も拡大しており、早急な対策が求められていると言っていいでしょう」と安藤氏は語る。
ファイアウォールと端末のアンチウイルスソフトでは最新攻撃に太刀打ちできない
「全世界で対応は遅れている状態ですが、日本は特に立ち遅れています。対策は未だにファイアウォールと端末側のアンチウイルスソフトだけ、という企業は少なくありません。しかし、これでは最新の脅威に立ち向かえないのです」と安藤氏は指摘する。
このレポートでは、既知の脆弱性等を利用した攻撃ではあるが、最新のシグネチャをもったアンチウイルスソフト等では検出できないものを「未知のマルウェア」と呼び、まだ存在が知られておらずパッチが提供されていない脆弱性を悪用したものを「ゼロデイのマルウェア」と呼び分けている。つまり「未知のマルウェア」は既存の攻撃の一部を変更したようなものなのだが、その変更によってシグネチャとの合致で行う検疫では対応できなくなっているのだ。
「ファイアウォールと端末のアンチウイルスソフトをすり抜け、未知のマルウェアが埋め込まれたファイルのダウンロードが発生していた組織は全体の1/3に上ります。多くの場合、最初の数日間は邪魔されずに活動してしまうのです」と安藤氏。最初に未知のマルウェアが到達してから、大多数のアンチウイルスソフトが対応できるようになるまで、平均で2~3日はかかるという。
また、感染した端末ではアンチウイルスソフトが実質無効化され、あたかも正常に稼働しているかのように見せかけてくる。ユーザーはきちんと対策された安全なマシンで作業しているつもりで、感染端末を使い続けることになるわけだ。
「セキュリティゲートウェイをすり抜けた不正なファイルのダウンロードが発見された組織は、全体の84%にも上ります。2段ドロッパーやアウトバウンド難読化など、攻撃は巧妙になり、既存のアンチウイルスソフトを無効化します。この調査結果からは、ファイアウォールと端末のアンチウイルスソフトでは意味がないということがわかるのです」と、安藤氏は旧来的な手法では組織が守れないということを強調した。
「大規模サイト管理者に学ぶ、セキュリティの極意」の参加申し込みはこちら(7月25日(金)開催、会場: ベルサール神田(東京都千代田区)、開場13:30~)、参加費無料 |
脅威に立ち向かう力を持った多層的な防御とは?
端末のアンチウイルスソフトだけでなく、IPS等も組み合わせた多層的な防御が必要であるということは、この数年あらゆるセキュリティベンダーから強く発信されているメッセージだ。しかし実際には、十分な多層防御はできていないという。
「既知のマルウェアに対応するアンチウイルス、既知の脆弱性に対応するIPSの他に、感染したデバイスによるボットのダメージ拡大を阻止するAnti-Botや、ファイルに組み込まれた未知のゼロデイマルウェアを留めるThreat Emulationも必須なのですが、ここまで手が回っている日本企業はほとんどありません」と安藤氏。
実はレポートを作成するための検疫でも、新しい技術は次々と投入されている。従来の簡単な仮想環境での検疫は攻撃側に見破られてしまうため、本物の端末と全く同じ仮想環境を作って攻撃を検知する手法などが取り入れられているのだ。そして、こうした手法はモニタリングサービスで活用され、磨かれた上で製品化されている。
セキュリティの最先端で戦っている同社だからこそ知っている、本当の脅威と実効性のある対応について、安藤氏は「Check Pointセキュリティ・レポート2014」と題した講演で語る予定だ。レポートの内容は今回紹介したもの以上にショッキングな数字も多く、最新の対策が急務であることが実感できるだろう。もちろんその中では、最新技術を投入した製品の紹介も聞くことができる。
何を採用すれば企業がシステムと情報を守ることができるのかについて、理解を深める機会となるはずだ。最新のセキュリティ動向について情報を得たいと考えている全ての方にご来場いただきたい。