高度な脅威への中小企業の対策

企業が成長すると、そのネットワークも拡大します。当然のことながら、管理・運用業務の範囲も広がります。北欧出身のシステムエンジニアの私は、急成長している多くの企業と関わっていますが、急成長に伴う課題への対策には多くの共通点が見られます。概して、急成長している企業は非常にフラットな構造のネットワークを構築し、1人またはごく少人数のチームですべてを管理するシンプルなセキュリティソリューションを展開します。多くの場合、少人数チームを構成するメンバーはゼネラリストであり、仮想環境、ストレージ、ネットワーク、ファイアウォール、一般的なセキュリティ対策などあらゆることに対応しなければなりません。遅かれ早かれ、そのITチームは小規模から中規模への重要な転換期を迎えることになるでしょう。

やがて多くのプロジェクトが同時進行し、IT担当者は多大なストレスを抱えることになってしまいます。特にセキュリティに関しては重要な時期であり、やるべき課題が山積みです。ところが残念なことに、多くの企業がネットワークの再設計や新規獲得事業のサポートシステムの実装(クラウド型またはオンプレミス型)といったセキュリティ対策を後回しにしています。このテーマについては、次回のブログでもう一度取り上げます。

いざというときにはセキュリティソリューションの展開を検討する必要がありますが、全社的なセキュリティポリシーの検討についてはしばらくの間目をつぶっていただき(このテーマで書き始めると、ブログがとんでもないほど長くなってしまうので...)、高度脅威保護(ATP)の観点から脅威防御について紹介していきたいと思います。

ATPソリューション

一般的に、ATP/サンドボックスソリューションは、アンチウィルス、Webフィルター、IPSといった従来の適切な脅威防御テクノロジーに取って代わるものではありませんが、これは素晴らしいほめ言葉でもあるのです。その理由をご説明しましょう。

最近のマルウェアの多くは広範囲にばらまかれ、ボットネットを形成します。そのためクライアントは、ファイルドロッパーなど、マルウェアのホストとなるファイルをダウンロードしてしまいます。

統合脅威管理(UTM)ファイアウォールは、まず、クライアントがサーバーへのアクセスを許可されているかどうかを調べるため、ポリシーをチェックします。

許可されている場合、このサイトへのアクセスが認められているかどうかを調べるため、今度はWebフィルターをチェックします。マルウェアのURLが悪意のあるサイトであるとタグ付けされていて、そのカテゴリーをブロックすると仮定しましょう。問題が解決されると、そのインシデントについてログが作成されます。これで終了。今後の調査のため、レポートされたりフラグが立てられたりすることもあるかもしれませんが。

しかし、悪意のあるサイトとしてタグ付けされていなかったらどうなるでしょうか? ファイルがファイアウォールにダウンロードされ(プロキシモードで、ユーザーに対して透過的)、IPSエンジンでチェックします。フォーティネットでは、非常に効率的で効果的な侵入防止エンジンを開発しているため、トラフィックパターンを照合するだけのシンプルなシステムよりも高度な調査を行うことができます。多くの場合、悪意のあるコードがほかのフィルターを通るように設計されたトラフィックアクティビティによって、悪意のあるコードをブロックすることができます。そして最終的に、アンチウィルスエンジンは、フォーティネット独自のCompact Pattern Recognition Language(CPRL)を使用して前のフィルターを通ったファイルを調べ、マルウェアの種類を特定します。経験則によるテストとエミュレーションも実行します。これらをパスすると、サンドボックスに割り当てられます。

特別なセキュリティ対策を講じていない組織は、サンドボックス内のマルウェアの振る舞いが疑わしいものであってもそうでなくても、ファイルがクライアントに配信されると考える必要があります。なぜなら、サンドボックスでの処理時間は3分ほどであり、サンドボックスの処理中にエンドユーザーがファイルを保持するのは大きな負担になるからです。その間、サンドボックスは異なるOSバージョン上(最も一般的なOSは、Windows XP SP3とWindows 7 64-bit)でファイルを実行して、ファイルの振る舞いを監視しようとします。

実はサンドボックスでは、次のようなファイルの振る舞いを探しています――マルウェアをダウンロードして実行していないか、コードをほかのプロセスに忍び込ませていないか、ユーザーのホームディレクトリにファイルを生成していないか、再起動させるためにファイルの自動起動機能を設定していないか。ファイルの振る舞いを特定することで、サンドボックスは、ファイルが悪質である可能性をIT担当者に報告することができます。ファイルのなかには、容易に分析できるものもあれば、非常に複雑なものもあります。

対象となるOSのアプリケーション不足、スリープ呼び出しの追加、マウスとキーボード入力などの環境では、ユーザーは、次々に確認を求めて自ら積極的に選択しなければならなくなります。つまりサンドボックスは、マルウェア開発者と「いたちごっこ」を繰り返すことになるのです。

マルウェアが検出され、明確に特定され、IT担当者に通知が送られると、ファイルがマシンに送信され、実行が可能か?ファイルが共有されたか?ファイルは実行されたか?ローカルアンチウィルスクライアントはウィルスを検出したか?というような確認が始まります。

多くの場合、最も簡単な行動は、マシンをインストールし直して日々のIT業務を進めていくことです。ただし小規模企業であっても、明確で容易な対応プロセスを確立しておくことが重要です。その点についてはまったく問題はないのですが、ATPソリューションの展開はIT担当者にとって大きなプレッシャーとなり、マシンの再インストールやバックアップの復元などの作業を強いられます。

さらに悪いことに、IT担当者が本当に重要な問題や不正侵入に注目できなくなってしまうことも考えられます。サンドボックス内に多くのアクセスがあり、外的脅威の攻撃が定期的ではない場合は、何度も再インストールを行って被害対策を講じなければならなくなるでしょう。

おそらく、アンチウィルスやWebフィルターのテクノロジーも改善されるでしょう。だからこそ、ATPと従来の脅威防御テクノロジーをうまく組み合わせることが重要なカギを握ることになるのです。

結論

ファイアウォールのベースラインセキュリティを確保し、Webフィルター、ネットワークベースのアンチウィルス、クライアントアンチウィルスを設定することで、企業のIT担当者は脅威に対応できるようになるでしょう。

その場合、ATPソリューションを展開することによってセキュリティはさらに堅牢なものとなるはずです。基本的なセキュリティ機能が不十分だと、サンドボックスは多くのアクセスを受け、IT担当者に適切なタスクを送信できず、真の脅威に注目できなくなってしまいます。

中小企業にとって、これは非常に大きな問題となるのです。