ITpro Special
週間WEEKLY ITpro Special ITpro

プロの手によるセキュリティ監視・運用

標的型攻撃をはじめとするセキュリティ上の脅威がますます高まっている。クラッカーとの攻防は終わりが見えない。各社から様々なセキュリティ対策ソリューションが提供されているが、脅威からシステムを守り、安心・安全に企業活動を行うための要諦は、そうした最新のソリューションを積極的に採用することはもちろんだが、その「運用」にこそあるといっていい。セキュリティ対策は、導入して終わりということでは決してない。

24時間365日のセキュリティ対策を
プロフェッショナルの手に委ねる

株式会社 日立システムズ
サイバーセキュリティソリューション部
第1グループ/技師
芝原 幸弘 氏

 日々進化し脅威を拡大するサイバー攻撃。マルウエアは1日に40万もの新種/亜種が生まれているともいわれ、その手口もますます巧妙化。クラッカーは防御手法を研究し、より検知されないマルウエアを開発している。そのため、特定の組織を狙う標的型攻撃を中心に、個人情報流出など甚大な被害を受ける企業が後を絶たない。また、大企業への侵入の「糸口」として中堅・中小企業が狙われることもあり、セキュリティ対策はもはやどの企業にとっても大きな経営課題の一つである。

 安心・安全な企業活動のために、セキュリティ対策をどうしたらいいのか。それには、「最新の対策機器」と「運用」の両面から考えなければならない。「マルウエアが進化している以上、従来の対策製品では検知されないものもあります。そのため、最新の機器の導入は大切です。けれども、ただ導入するだけでは不十分です。機器が本来あるべき効果を発揮するには導入後の運用が大切なのです」と日立システムズの芝原幸弘氏は指摘する。セキュリティインシデントはいつ起こるか分からない。被害を最小限に食い止めるためにはシステムを常時監視し、セキュリティインシデントの発生時には迅速な対応が求められる。

 とはいえ、一般企業にとっては、コアの業務でないセキュリティ対策に、十分なスキルを持った人材を確保し、投入することはやはり困難だと言わねばならない。そこで注目されるのが、セキュリティの専門家へのアウトソーシングだ。

 日立システムズは、「SHIELD」ブランドでセキュリティソリューションを20年にわたり提供しており、市場では“老舗”として広く認知されている。大きな特長として「SHIELD SOC(Security Operation Center)」と呼ばれるセキュリティを確保したセンターにて、お客様のファイアウォールやWebサーバーを運用するサービスや、顧客サイトで稼働するファイアウォール、IDS/IPSなどを遠隔から監視・運用するサービスなどのセキュリティマネージドサービスを提供している。

 「SHIELDではコンサルティングによりお客様の守るべき資産、状況に合わせたセキュリティ対策を提供しています。我々はセキュリティシステムの構築だけでなく、24時間365日での運用、監視を提供するなどお客様のセキュリティをトータルでサポートすることで業種を問わず広範なニーズを満たしています」と芝原氏は説明する。

 日立システムズのセキュリティマネージドサービスは、常にセキュリティSEやアナリストといった専門家が現場に配備され、対応に当たっている。よりプロフェッショナルで高品質なサービスにより、顧客により大きな安心感を提供している。

セキュリティデバイス監視サービスのサービス概要
インターネット経由で遠隔で監視・運用を行う
[画像のクリックで拡大表示]

既存の振る舞い検知を超えた
サンドボックスの最新アプローチ

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
セキュリティ・エバンジェリスト
卯城 大士(うしろ だいじ)氏

 「標的型攻撃の脅威が高まる今日では、未知のマルウエアに向けた対策が求められるのはもちろんですが、これまでの入口対策に加え、出口対策も含めた対応が求められています。併せて、攻撃により何らかのインシデントが引き起こされた際に、それに速やかに気付いて対処していける体制の構築、つまり『侵入を前提とした』対策の実現も求められています」(芝原氏)

 そうした「侵入を前提とした」対策について、昨今では組織内にSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)を設置することが強く求められている。例えば、どこで何が起こったかを把握し、インシデントが起こったことを知ったら、次に何をするといった体制ができていなければ、被害の拡大を防ぐことができない。日立システムズでは、顧客におけるそうした体制の整備に向けた支援サービスも提供している。

 その一方で、日々進化する攻撃を迎え撃つためのセキュリティ対策機器も進化している。「未知のマルウエアを検出する手段として、既に市場には様々なサンドボックス製品が登場していますが、攻撃者側もそうした対策手法を回避する工夫を施してきています。そのため、従来の振る舞い検知を超えた新たなアプローチが求められています」とチェック・ポイント・ソフトウェア・テクノロジーズの卯城大士氏は指摘する。

 チェック・ポイントの「SandBlastTMアプライアンス」(以下、SandBlast)は、独自の“CPUレベル”での対策により、そうした巧妙化する攻撃に対処している。一般に標的型攻撃では、まず電子メールの添付ファイルなどでターゲットとなる組織のシステムに侵入して、アプリケーションの脆弱性を突くかたちでメモリー上のデータを改ざんする「エクスプロイト」と呼ばれる攻撃を行い、その後の悪意ある活動の端緒を開く。

 「SandBlastでは、エクスプロイトが行われる際に、CPU内に展開された機械語を逆アセンブルして動作を解析し、悪意ある挙動を検知する機能を実装しています。従来のOSレベルの振る舞い検知と、このCPUレベルのコード検査を組み合わせることで、サンドボックスの回避をもくろむ攻撃も確実に捕捉できるわけです」と卯城氏は説明する。

積極的な研究開発が生み出す
最新技術がサービスの根幹を支える

 もう一つSandBlastにおいて特長的なのが、電子メールで受信したWordやExcel、PDFなどの文書ファイルを予防的に“無害化”する機能を備えていることだ。具体的には、これらのファイルに埋め込まれたマクロやJavaScriptといったアクティブコンテンツ、およびURLリンクを含む各種埋め込みオブジェクトなどの悪用可能なコンテンツを削除。安全が確認された要素だけで文書ファイルを再構成し、ユーザーに遅延なく転送するというものだ。

 「標的型攻撃の被害を受けた組織では、ソーシャルエンジニアリングなどの巧妙な手口に従業員が引っかかり、メールに添付されたファイルを不用意に開いてしまったというケースがほとんどです。SandBlastの提供するファイルの無害化機能があれば、仮に攻撃用のファイルが開かれた場合にも、攻撃が実行されることはありません」と卯城氏は話す。

Check Point SandBlastの特長
[画像のクリックで拡大表示]
未知のマルウエア、ゼロデイおよび標的型攻撃に対する類を見ないリアルタイムの
防御

 「例えばサンドボックス型のアプライアンス自体、様々なメーカーから提供されていますが、SandBlastが搭載するファイルの無害化機能などは、チェック・ポイントならではのものだと思います。そうした他社にはない画期的な技術の開発に、常に積極的な取り組みを続けていることがチェック・ポイントのアドバンテージであり、当社が自社のサービスを構成する主要コンポーネントに採用し続けてきた理由でもあります」と芝原氏は強調する。

 チェック・ポイントと日立システムズは、技術の提供とその導入・実践で今後も協力し合い、顧客の企業価値を守るため日々邁進していく。

「お客様の安心のために、これからも共に頑張ります」
お問い合わせ