セキュリティリスクは「未知の脅威」の領域へ~オフィスの脆弱性はここに出る
ここでは、情報セキュリティの専門家であるトレンドマイクロ株式会社 ソリューションビジネス推進部・ビジネスデベロップメント課・課長 大田原忠雄氏に「脅威の現状とその対応策」について訊ねた。
今時のオフィスの脅威とは……?
大田原氏は、現代のネットワークの脅威について「傾向が、これまでとはかなり大きく変わってきている」と述べる。この「変化」に対する理解を持たないと、情報セキュリティに対する企業の持つ悩みは解決していかないと言う。その特徴と傾向について訊ねた。
|  | 「最初の特徴として、ウイルスなどの感染経路の変化が挙げられます。以前は電子メールによって、不特定多数に対してばら撒き的に行われるものだったのに対して、最近ではWebサイトを経由した感染が主流になりました。また最近はUSBメモリなどによって感染するケースも急増しています」。 |
「Webからの脅威では、OSやアプリケーションの脆弱性攻撃やスパムメール、フィッシングサイトなど、様々な手段で 入り込んだ最初の不正プログラムの活動から、ダウンローダーによる不正プログラムの連続的なダウンロードを経て、最終的にはBOTウイルスが送りこまれ、IDやパスワードを含む情報の流出に連鎖的に被害が広がっていくという怖さがあります」。
大田原氏は、不正プログラムについて「 かつては“愉快犯的”であったり“自分の技術力の誇示”としての行為であったものが、今では“金銭を目的とした犯罪のツール”となってしまったことが、そもそも大きな変化である」と述べる。関わる人もウィルスもそれぞれが持つ役割が細分化されていて、ネットワークを巧みに利用して攻撃を仕掛けてくるのであるから厄介極まりない。
「もうひとつの特徴は、ウィルス、スパイウェア、BOTなどといった不正プログラムの数(種類)が激増していることです。新種のウィルスは、2007年には5~6秒に1種発生していると言われていました。しかし現在ではそのペースが2.5秒に1種、まで短縮化されています(※トレンドマイクロのラボが収集しているマルウェアの数から推測した数値)。つまり我々が、パターンファイルを作って提供した次の瞬間には、また新種が現れるわけです。また、以前は、(ウィルスの種類も少なかったため)パターンファイルを作り続けることで対処は完了した。しかし、種類や感染経路もともに多種多様となった今では、パターンファイルによる対処だけでは“万能薬”ではなくなってしまった」と、大田原氏は説明する。
膨大なパターンファイルをローカルではなくWeb上に上げる
USBメモリなどを介したターゲット攻撃と連鎖的な攻撃、次々に作成されるウィルスの膨大な数とその種類の多様化といった「脅威の変化」についての現状がお分かり頂けただろうか。では、これからはウィルス対策ソフトを導入し、社内のゲートウェイをしっかり守っていても感染は防げないということだろうか。既知のウイルスに対応するためのパターンファイルだけでは対応できない潜在的な脅威や未知のウィルスに対しては、どうすればよいのだろう?
トレンドマイクロが、この4月にサービスを開始した「Trend Micro Smart Protection Network (SPN)」と呼ばれる新技術が、ひとつの答えとなりそうだ。
SPNは、トレンドマイクロがインターネット上にデータベースを保有し、その不正なメールやWebサイトの情報とパターンファイルの更新をを分単位で行っていくという、いわば“クラウド・コンピューティング”を用いたセキュリティ対策技術の基盤となるものである。これまでのセキュリティソフトは、パターンファイルを全てクライアントPCにダウンロードして、ローカルでチェックを行なっていた。だが、その方法だと膨大な量のパターンファイルをクライアントPCに保存しなくてはならない上に、どうしてもアップデートまでのタイムラグが発生してしまう。SPNの場合、あるファイルがウィルスかどうかをチェックするために、Web上のデータベースにアクセスして照会するため、クライアント側は必要最低限のファイルだけで、常に最新の状態を保つことができるというわけだ。
「昨日安全であったURLが今日は改ざんされ、危険なサイトになっているといったケースが現在では日常茶飯事になっています。ユーザー側のクライアントPC上ではなく、クラウド上で管理するデータベースで、ダイレクトかつ時間を掛けずに対応していかないと、その危険性が判断できなくなってきました。SPNは、常に最新の情報に保たれたデータベースを介して、Webサイトへのアクセスやメール、そしてファイルの危険性をスキャンし、問題があった場合はブロックします」と大田原氏は述べる。今後は、『ウイルスバスター』などの他のトレンドマイクロ製品もSPNに対応していくそうだ。
もちろん、クラウド上のデータベースだけに頼るのではなく、クライアント側にもこれまでとは異なるアプローチが必要である。P2P(ファイル共有ソフト)やメッセンジャーの利用などについて、単にルールとして縛るだけでは利用者に依存することになり、ウィルス感染の侵入路が残ってしまうからだ。
同社では、エンドポイントからのアプローチとして、『ウイルスバスターコーポレートエディション8.0』のプラグインモジュール『Intrusion Detection Firewall(IDF) 』の実装を予定している(2009年第2四半期)。これは、不審な通信の検知と遮断、更にクライアントの脆弱性を発見し保護すると共に、ファイル共有ソフトの制御を行うなどクライアント側の環境作りを支援するものだ。
ここまでで、クライアントとサーバにおける「脅威」への対応策は整ったように思えるが、まだ話は終わらない。
「未知の脅威」にどう対処するか | |
|
「ふるまい検知では、従来のパターンファイルによるソリューションと異なり、そのファイルが“どんなものか?”ではなく“何をやったか?”という視点で検知を行ないます。従来のパターンファイルが“指名手配犯逮捕”であるなら、ふるまい検知は“現行犯逮捕”と言ったところです」。
トレンドマイクロは「ふるまい検知」のサービスとして、既に2008年9月より比較的大規模な企業向けのソリューションとして「Trend Micro Threat Management Solution(TMS)」を提供している。しかしながら中小規模の企業であっても、その脅威になんら変わりはない。そこで、同社では4月1日より、TMSの「ふるまい検知」の仕組みを利用して、企業ネットワークの安全性を評価する「Trend Micro Internal Threat Assessment(TMITA)」サービスの提供を開始した。
TMITAでは、上記のTMSで使用する専用装置(検知用センサー)を、一定期間利用企業内のネットワークに設置し、内部での不審なプログラムや未知のウィルスの活動がないかを監視・分析して、その結果を元に同社のコンサルタントによるアドバイスが受けられるというサービスである。
同サービスでは、これまで実態が見えなかった自社のネットワークの安全度、あるいは問題点を可視化し、実態を把握することにより、今後のセキュリティ対策における優先順位や長期・短期の方向性を見極めることができ、投資効果のある計画が立て易くなるといったメリットがある。実施期間は8週間で、基本レポートによる現状把握までを目的にした「Light」から、細かな分析や考案、アドバイザリを含む「Advance」まで、4種類のパッケージが提供されている(価格は50万円から)。「被害がなくならないので困っている」、「効果の見えないやみくもな投資はできない」といった企業は、こうしたサービスを活用してみるのもいいのではないだろうか。
セキュリティ対策を具体的にイメージできるか?
企業ネットワークの「脅威」への対処としては、既知のウィルスへの対策もさることながら、今後は未知のウィルスへの対策が必須になって来ていることが判った。未知のウィルスであり、さらに社内ネットワークの内部に潜んでいるものへの対処法となると、素人判断ではとても難しい。また、個人の油断やリテラシーの低さによる情報漏洩やP2Pを介したウィルス感染はなくならないが、被害に遭ってその時初めて気が付くようでは遅い。大田原氏が遭遇したケースとして、“既知のウィルス”に対して3倍以上もの数の“未知のウィルス”が、TMSによって検出された企業もあったそうだ。
当然、予算も考慮しなければならないので、即投資ができない企業向けに、今すぐに行なうべきセキュリティ対策の基本を、優先順位を付けて挙げておこう。
- 脆弱性への対応として、WindowsなどのOSのパッチを確実に適用し最新状態に保つこと
- 社 内 の ポ リ シ ー を明確化し 、 ルールを策定すること
- ウィルス対策製品の利用を徹底させておくこと
そして予算が取れるとすれば、次のステップを踏むべきだろう。
- アセスメントサービス(TMITA)を利用し、事前に課題点を可視化すること
- 専門家によるアドバイスを参考に、効果的な投資計画を検討すること
「多くの企業では、コンプライアンスの遵守、CSR(企業の社会的責任)、事業継続性の確保といった課題を背景に、情報セキュリティの重要性を意識しながらも、なかなか具体的なイメージになっていないというのが現状だと感じています。規模の大小を問わず、情報資産に対する脅威のリスクに差はありません。お客様から預かっている情報は、たとえ1件であっても外部に流出してはならないものです。大切な情報が流出してしまった場合、例えそれがウイルスによる被害であった場合でも、企業の信用が損なわれてしまう結果になりかねない事を、強く意識して頂きたいと思います」と大田原氏は語る。
トレンドマイクロでは、つい間違えて重要な情報を社外に送ってしまうといったうっかりミスによる情報の流出までも防御できる情報保護のソリューションとして「Trend Micro LeakProof」を提供している。ウイルス被害による情報の流出と人的なミスによる情報の流出の両面をカバーして初めて企業の情報は守られる事になる。
まず、自社のネットワーク環境とその情報セキュリティへの対処の現状と、何ができて何をすべきなのかを把握しなければならない。対策は段階的に進めなければならず、やみくもに行なう時代ではなくなった。そして、その対応は多段階からのアプローチが必要となっている。もし、まったく手が付けられないというのであれば、その道のプロの健康診断を受けて、まずはオフィスの「脆弱性」を発見し、その対処をどこから始めれば良いのか、アドバイスを受けてみるのもひとつの手である。