ITpro Special
週間WEEKLY ITpro Special ITpro

セミナーレビュー:富士通

富士通

標的型メール攻撃と内部不正に
迅速に対応するための具体策とは

最近の情報漏洩事件の多くは標的型メール攻撃と内部不正によって発生している。守るべき情報が増える中、企業としてはこれらのセキュリティリスクにしっかりとした対策をとる必要がある。そこではどのようなアプローチが求められ、具体的にどのような対策があるのだろうか。事故事例を通して押さえるべきポイントを考えてみたい。

富士通株式会社
ミドルウェア事業本部
サービスマネジメント・
ミドルウェア事業部
プロダクト技術部
宮崎 達弘

 2014年の後半から急増している標的型メール攻撃の特徴は、巧妙な手口でメールを開封させ、添付ファイルを実行させて、システム内に潜入するというもので、段階を踏んで攻撃を仕掛けてくる。初期潜入に始まり、攻撃基盤を構築、内部に侵入して状況を調査し、重要な情報を取得するという最終的な目的を遂行する。きっかけとなる初期潜入のために送られてくるメールは巧妙さを極め、潜入を防ぐことは難しい。

 実際に発生した情報漏洩事故の例では、標的型メール攻撃によって数十台のPCがマルウエアに感染。最終的には相当数の個人情報が流出している。富士通の宮崎達弘氏は「このような事故から見えてくる標的型メール攻撃対策の課題は3点ある」と分析する。

分析から見える
セキュリティ対策の三つの課題

 一つ目に、感染した端末を短時間で探知できていなかったこと。結果としてマルウエアに自由に活動できる時間を与えてしまう。二つ目は、攻撃の変化に即時に対応できなかったこと。最初に潜入したものとは別のウイルスによる二次感染が広がってしまい対処に時間がかかってしまった。そして三つ目に、本来暗号化されるべき重要なデータの暗号化ルールや持ち出し時のルールが徹底されていなかったことだ。この三つが合わさって、重要な情報の流出へと結びつくケースが多いという。実際に何が起きているのだろうか。

侵入されても被害を軽減
クリアするべき三つのポイント

 まず、異常を検知して管理者が連絡を受けてから、感染した端末を特定して隔離するのに数時間がかかってしまう。この間にメールアドレスを含め情報が流出し、次の攻撃を招く。宮崎氏は「人手で確認、判断、対処していたことで、感染端末の特定と対処が遅れる」と指摘する。ここで考えられる対策は対処手順の標準化と自動化により作業を迅速化することだ。

 次に起きるのが、端末の二次感染だ。流出したメールアドレスを使って別の情報窃取用のマルウエアが仕込まれるため、一次感染対応のウイルスパターンでは検知、駆除ができずに二次感染が広がり、重要な情報が流出する。「一次感染の時点で攻撃者が何をしたのかを追跡調査し、二次感染端末の特定を迅速に行なうべき」と宮崎氏は解説する。

 そして実際の被害につながる原因は、流出した情報を暗号化していないことだ。持ち出し時に暗号化するルールがあっても暗号化していなければ危険度が増す。さらに宮崎氏は「データの持ち出しルールが形骸化してしまうことが直接の原因ですが、持ち出し時に強制的に暗号化されるような、システム的な運用体制を考えておくべき」と、暗号化の自動化や申請と連動した持ち出しの自動制御の必要性を訴える。

 「対策のポイントは、感染端末の早期検知・対処、端末被害状況の把握・対処、重要データの管理強化の三つです。これらをクリアすることが重要です」と宮崎氏は指摘する。

対策ポイントを具現化する
セキュリティソリューション

 これら三つの課題を解決するものとして富士通が提供しているのが、検知後の対処を自動的に実施する「FUJITSU Software Systemwalker Security Control」と、操作ログの取得とデータの暗号化を行う「FUJITSU Software Systemwalker Desktop Keeper」だ。

 Systemwalker Security Control の最大の特長は、検知結果に敏速に対応して、自動的に対処することだ。各種のアラートを分析し、脅威に応じた運用シナリオに沿って対処し、対処状況を見える化する。「脅威検知後の対処作業を自動化するところがポイントです。感染した端末を約1分(社内実践での実測値)で封じ込めます。ここには当社の知見に基づくシナリオが生かされています」(宮崎氏)。

「FUJITSU Software Systemwalker Security Control」の機能イメージ
各種のアラートを分析して、脅威に応じた運用シナリオに沿って対処・状況の見える化を実現
[画像のクリックで拡大表示]

 また、Systemwalker Security Controlでは、感染した端末で検知した攻撃特性をキーに、一次感染端末のみならず、二次感染端末への活動を特定する機能も提供されている。「二次感染端末が受けた攻撃の内容を検証し、被害の実態を1端末当たり数分で特定します」と宮崎氏は、端末の被害状況の早期把握に有効であることを強調する。さらに、重要データの管理強化という面でも貢献する。申請に応じて自動的に権限を付与する承認ワークフローをSystemwalker Security Controlで制御することができるので、ユーザーは管理部門が承認するまでファイルを持ち出すことができない。

 データの持ち出し以降の管理を強化するのがSystemwalker Desktop Keeperである。Systemwalker Desktop Keeperはファイルの持ち出し時に強制的に暗号化して、持ち出し時のログを記録。さらにファイル原本をサーバーに保管する。PCに加えて、シンクライアントとスマートデバイスにも対応している。

 「Systemwalker Desktop Keeper のもう一つの機能がファイル操作の追跡です。持ち出したファイルがどこにあるのかを追跡するフォワードトレースと、特定のファイルのオリジナルファイルを追跡するバックトレースの二つの機能が用意されています。持ち出し先で暗号化されていない放置ファイルを確認でき、メールなどで外部に持ち出されたファイルが重要データであるかどうかも確認できます」(宮崎氏)。

「FUJITSU Software Systemwalker Desktop Keeper」の機能イメージ
データの持ち出し以降の管理強化に最適な機能を搭載
[画像のクリックで拡大表示]

不自然な操作を検知
内部不正対策にも効果

 Systemwalker Security ControlとSystemwalker Desktop Keeperの組み合わせにより、前述した三つの課題をクリアするだけでなく、内部不正対策としても効果を発揮する。内部不正では権限を悪用して大きな損害になることが多いが、この二つの製品を組み合わせることで、例えば重要ファイルの大量コピーや隠蔽のためのファイル名の変更など、通常の業務と異なる操作を検出して、即時に対処できる。

 「ポイントは、許可された操作であっても、操作ログから不自然な操作を検知することです。110種類のパターンで通常の操作と異なる操作を検出し、即時に持ち出しを禁止できます。このPDCAサイクルを確立して、適正なセキュリティポリシーを作るべきです」と宮崎氏は提案する。

 富士通では、別途、情報漏洩リスクの調査から設計、対策、評価といったトータルな対策サービスも提供している。また、富士通トラステッド・クラウド・スクエア(東京都港区)では毎月Systemwalker Desktop Keeper の集合セミナーやハンズオンセミナーを開催している。セキュリティ対策の強化のために活用できるのではないだろうか。

お問い合わせ
  • 富士通株式会社

    〒105-7123 東京都港区東新橋1-5-2 汐留シティセンター

    TEL:富士通コンタクトライン(総合窓口) 0120-933-200

    受付時間 9:00~17:30(土・日・祝日を除く)