被害が相次ぐメールを入り口とした攻撃
世界最大規模チーム支える
防御の仕組みとは

利用が広がる「Microsoft Office 365」。特にメールサーバーをOffice 365のメールサービスへと移行する企業や組織は多い。メールを入り口としたセキュリティ被害に遭うことは、このOffice 365に移行した企業や組織でも起きている。例えば、攻撃者自身がOffice 365のアカウントを契約してOffice 365を研究した上で、巧妙な攻撃をしかけてくる場合もあるという。このような攻撃による被害を防ぐには、どのような対策を行えばよいのか。

なぜOffice 365にマルウエアや偽装ウェブサイトのURLが届くのか

 サイバー攻撃のリスクは相変わらず高まり続けている。機密情報や金銭を窃取されるだけでなく、社会的な信用が失墜してしまうという点で、企業が被る被害は無視できないほど甚大だ。

  最近、特に目立つのがOffice 365環境における被害だ。攻撃経路の多くはメール。攻撃者自身がOffice 365アカウントを契約して、サポートを装ったメールにマルウエアを仕込んだファイルを添付したり、メール本文に偽装したウェブサイトのURLを記載したりして、組織内に侵入を試みる。

 このような脅威に対して標準的なOffice 365のメールセキュリティに別のインテリジェンスによる多層防御を加えることがセキュリティ対策の強化に効果的と考えられる。そこで、ソリトンシステムズが提案しているソリューションが「Cisco Cloud Email Security(CES)」である。

3段階の多層防御で侵入してしまった脅威にも対応

株式会社ソリトンシステムズ ITセキュリティ事業部 技術部 テクニカルサービスグループ 担当部長 森 智哉氏
株式会社ソリトンシステムズ
ITセキュリティ事業部 技術部
テクニカルサービスグループ
担当部長
森 智哉
 CESは、アプライアンスとして提供されている、Cisco Email Security アプライアンスのクラウドサービスである。クラウドサービスのOffice 365と組み合わせて利用することで、物理的な資産を持たずに、セキュリティを強化したEmailシステムをクラウド上に構築することができる。

   ネットワーク機器大手として知られるシスコシステムズだが、セキュリティ領域にも多額の投資を行い、もはや専業ベンダーを上回るほどのソリューションラインアップや実績を誇る。CESは、シスコが2007年に買収した米アイアンポートシステムズのメールセキュリティ製品をベースに、シスコシステムズの独自技術を加え、メール攻撃に対して段階的かつ複合的な防御機能を提供する。

 同時にソリトンシステムズは、シスコシステムズ買収以前のアイアンポートシステムズの時代から、同ソリューションを取り扱っており、豊富な知見に対する信頼度は高く、国内でも有数の導入実績を誇る。(図1)
図1 ソリトンシステムズが提供する「Cloud Email Security Value Pack」 図1ソリトンシステムズが提供する「Cloud Email Security Value Pack」 CESの多くの導入実績を持つソリトンシステムズは、その経験を生かし、導入支援パッケージを提供している。最適な稼働環境の提供だけでなく、サポートまでカバーした内容となっている点も安心だ
 「当社は、古くからセキュリティとメール基盤のビジネスを展開しており、メールセキュリティに関して多様な知見を蓄積しています。CESについても多数の導入実績に加えて、自社運用でも知見を積み上げており、構築から運用まで様々なニーズに対応できます。また、短期間で導入されたいというニーズに応えるため当社が推奨する設定をあらかじめ施した、Value Packも用意しております」とソリトンシステムズの森 智哉氏は言う。

 では、具体的にCESの機能を見ていこう。CESは「Before(攻撃前)」「During(攻撃中)」「After(攻撃後)」という3つの段階で、複数の防御を行う(図2)。
図2 CESが提供するメール保護機能の概要 図2CESが提供するメール保護機能の概要 「Before」「During」「After」という3つの段階において、多層な防御機能を提供する

【Beforeの防御】

 まずBeforeでは、「メールレピュテーション」によって、既にブラックリスト化されている不正なIPアドレスからのメールを排除する。「実質、この段階で悪意のあるメールの8〜9割が排除されます。この段階でドロップされたメールはOffice 365のメールボックスにすら届かないため、メールシステムの負荷を下げられるメリットもあります」とシスコシステムズの國分 直晃氏は話す。

 また、SMTPコネクションにおけるセッション数、同報の宛先数、メールのサイズなどを制限する「メールフローポリシー」、受信可能なドメインを制限する「受信者コントロール」などの機能によっても、あらかじめ攻撃メールの侵入を防止する。

シスコシステムズ合同会社 セキュリティ事業 テクニカルソリューションズアーキテクト CISSP 國分 直晃氏
シスコシステムズ合同会社
セキュリティ事業
テクニカルソリューションズアーキテクト
CISSP
國分 直晃

【Duringの防御】

 次のDuringでは、「Beforeの防御」で排除されなかった攻撃メールに対する防御を行う。

 ここでは、パターンファイルに基づく「アンチスパム」や「アンチウイルス」、クラウド上のファイル評価情報を参照する「ファイルレピュテーション」、メールタイトルや本文を分析する「コンテントコントロール」などによって、マルウエアやスパムの検出、マルウエアの駆除、不正なURLの無害化(ハイパーリンク除去など)を行うほか、「アウトブレイクフィルター」という機能を実装している。

 「アウトブレイクフィルターは、大規模ウイルスの拡散、同時に頻発するフィッシング詐欺、マルウエア配布といったキャンペーンに対して有効となる機能です。世界のどこかでキャンペーンが発生していることを検知すると、それと酷似しているトラフィックパターンのメールを、アンチスパムやアンチウイルスのパターン更新により判断可能になるまで隔離します。メッセージの中身までを分析するため、キャンペーン時に大量発生しやすい亜種にも対応できます」(國分氏)

【Afterの防御】

 サイバー攻撃の複雑化、巧妙化が進む近年、完全に脅威の侵入を防ぐのは困難とされ、侵入を許してしまった後にどう対処するかが重要といわれている。Afterでは、その対処に有効な機能を提供する。

 もちろん、侵入後にアンチウイルスなどで検知するということもあるが、まだパターンファイルが更新されていない場合でもAdvanced Malware Protection (AMP)の 「ファイルサンドボックス」機能により、疑わしいファイルをクラウド上のサンドボックス環境で実行し、そのふるまいから不正か否かを見極め、侵入してしまった脅威の検出を可能とする。

 さらにAMPは「ファイルレトロスペクティブ」という機能を備えている。一般的にサンドボックスは、一度すり抜けられ、社内ネットワークにまで脅威が到達してしまうと手の打ちようがない。一方、ファイルレトロスペクティブ機能では、一度通過させてしまったマルウエアでも、後にそれが脅威だと判明した場合には、さかのぼった対処を促す。

 「具体的には、AMP機能を使っている場合、管理者にアラートが届きます。『いつ、誰が受信したメールは脅威だったことが分かった』ということを教えてくれるのです。これにより管理者は、すぐさま被害の範囲を確認し、対処を実行することが可能になります。実際、AMPを利用している当社でも、この機能によって脅威が侵入していることを把握し、すぐに受信している社員に削除指示を出すことで、被害を極小化できたケースがあります。その後、調査するとメールを受信したのが13時50分で、約2時間後の15時40分にはアラートが来ており、そのスピードの速さを非常に頼もしく感じました」と森氏は紹介する。

1日に6000億通のメールを分析する専門組織が安全を支える

 このような多重防御に加えて、特筆すべきはシスコシステムズの脅威インテリジェンスの情報収集力や精度である。紹介した一連の防御機能は、シスコシステムズが誇る世界最大規模のセキュリティ インテリジェンス&リサーチ グループである「Cisco Talos」によって支えられている。

 そもそも独自調査によると、シスコシステムズは米国国防総省などに次いで世界で3番目に多くのサイバー攻撃を受けている企業である。Talosは、世界中に設置した脅威センサーなどを通じて1日当たり約6000億通のメールを解析し、約150万ものマルウエアのサンプルを収集しているという。当然、この解析結果は、すぐさまCESに反映される。先に、ソリトンシステムズが脅威に対処した事例を紹介したが、その背景には、間違いなくTalosの存在がある。

 このように高い防御力を誇るCESだが、適用対象がメールという止められないサービスとなるだけに、導入は慎重に行いたいというケースもあるだろう。それに対して、ソリトンシステムズでは、拠点や部門ごとに段階的にCESを適用したいなど、様々なニーズに柔軟に対応している。

 様々なメリットを持つOffice 365を安全・安心に利用する上で、ソリトンシステムズの知見とCESの防御力は大きな力を発揮してくれるはずだ。
PDFダウンロード
Office 365にも対応! メールを多層防御で守るクラウド型セキュリティサービス

Office 365にも対応!
メールを多層防御で守るクラウド型セキュリティサービス

ビジネスにおける代表的なコミュニケーションツールは「メール」だ。最近はチャットやメッセージングツールも活用されているが、やはりメールは重要かつ不可欠なツールである。ただし、マルウエアが添付されたメールやフィッシングメールなど、メールがサイバー攻撃に利用されやすいのも事実だ。このため、メールのセキュリティ対策には、アンチスパムやアンチウイルス、サンドボックスなど、複数の手段を組み合わせた多層防御の仕組みが重要になる。ただし、その構築には… PDFダウンロードはこちら
お問い合わせ
株式会社ソリトンシステムズ URL:https://www.soliton.co.jp/