サイバー攻撃対策最新技術

インターネットシステムと基幹システムを分離させた際に、物理メディアの代替としてデータの受け渡しを安全に行うソリューションが紹介された。

サイバー攻撃の侵入拡大を防ぐネットワーク分離

プロット 常務取締役 坂田 英彦 氏

プロット

常務取締役

坂田 英彦

 坂田氏の講演は、企業システムに不正アクセスをしようとする標的型の攻撃手法を振り返ることから始まった。「標的型手法では、攻撃者はシステムの初期感染を狙ってきます。初期感染に成功すると、マルウェアはインターネット上の指令サーバー(Command and Controlサーバー)との通信を確立します。その後、指令サーバーを通して感染端末をリモートで操作し、さらに感染を拡大させて目的とする情報を盗んでいくのです」(坂田氏)

 従来の防御法では、いかに侵入を防ぐかに重点が置かれていた。しかし、今や侵入を防ぐことは困難になってきた。「例えばマルウェアをメールに潜ませる攻撃にしても、以前はメールの文面に何か怪しいと思えるヒントがありました。今では、実在の組織が本当に配信しているようなメールの文面が送られてくるので、簡単には見破れないようになっています」(坂田氏)

 プロットが提供している標的型攻撃メール訓練サービスによると、疑似マルウェアが含まれたメールの平均開封率は18.3%だった。中でも、誰もが怪しいと判断できるような内容のメールでも1.95%が開封したという。「最近では、サンドボックスを利用したふるまい検知を行っても、すり抜けてくるメールが増えてきました。このように、メールによる攻撃が高度化し、一度ターゲットにされると侵入を完全に防ぐことは非常に困難です。そこで、最近ではインターネットにアクセスするネットワークと基幹システムのネットワークを明確に分離することで、社内システムをサイバー攻撃から守る対策が広がっています。古くから使われてきた手法ですが、今では国内外にある多くの政府機関や公的機関で推奨されています」(坂田氏)

 とはいえ、実際にはただネットワークを分離しただけでは対策にならない。「ネットワークを分離しても、業務上どうしてもネットワーク間のファイルのやりとりが必要になってきます。すなわち、基幹システムへのファイルの持ち込みと持ち出しが発生するのですが、そこには大きな課題があるのです」(坂田氏)

当日の講演資料はこちらから 当日の講演資料はこちらから

ネットワーク分離後はどのようにファイルをやりとりすればいいのか

 ネットワークが分離されたシステム間でのファイルの受け渡しは、どのように行えばいいのか。実際には、USBメモリやHDDといった物理メディアを使ったファイルの受け渡しが行われているのが現状だ。「USBメモリやHDDも、マルウェアをはじめとするさまざまなウイルスに感染している可能性があります。従来型のウイルスならば、それらもアンチウイルスにかけて発見できる可能性もありますが、新種のマルウェアが多くを占めるようになっている最近の状況では、従来型のアンチウイルスではなかなか防げません。最近では特にサイバー攻撃がビジネスになり、マルウェアが低価格で流通しているような状況です。すなわち、だれでも自分で改良したマルウェアで攻撃できるようになってきているのです」(坂田氏)

 ネットワーク分離後の課題は他にもある。物理メディアによるデータの受け渡しは、ネットワーク上でのファイルの受け渡しのように自動的にログが残らない。そのため、誰がどのファイルをいつ誰の承認によって移動したのかをきちんと管理することが重要だ。「物理メディアの場合、さらに盗難や紛失の恐れも考慮しなければなりません。ある調査では情報インシデントの7割以上が人に起因しており、全体の3割が紛失や盗難であるという結果もあります」(坂田氏)

 坂田氏はこうしたネットワーク分離後の課題を、「進化するマルウェアへの対応」「データ持ち出し・持ち込みの管理」「物理可搬媒体の管理」の3つに整理した。

物理分離下でのファイル授受イメージ

ネットワークを分離しても、システムを脅威から守る課題として「進化するマルウェアへの対応」「データ持ち出し・持ち込みの管理」「物理可搬媒体の管理」について考える必要がある

画像を拡大する

「ファイル無害化」と「ファイル授受システム」を推奨

 ここで坂田氏が紹介するのが、プロットが提供する「ファイル無害化」と「ファイル授受システム」のソリューションだ。「ファイル無害化」とは、未知の攻撃に強いマルウェア防御手法であり、過去データを基にするパターンマッチング型でのマルウェア検知ではなく、悪意が潜む可能性がある部分だけを削除してファイルを安全な状態にする。「ファイル授受システム」とは、複数のネットワーク間のファイル中継サーバーとして全ての操作履歴を自動保持し、承認申請/許可なども制御する。「ファイルの無害化と再構成は世界的にはCDR(Content Disarm & Reconstruction)と呼ばれており、プロットは独自のノウハウによってFAS Technology(File Analyze & Sanitize Technology)と名付けたCDR技術の研究、開発を2014年から開始するなど、国内でも先進的な取り組みを行ってきました」(坂田氏)

これら課題を解決するプロットからのご提案

未知の攻撃に強い「ファイル無害化」と複数ネットワークでのファイル中継を管理する「ファイル授受システム」が、ネットワーク分離後のシステムを脅威から守ってくれる

画像を拡大する

 「ファイル無害化」と「ファイル授受システム」を行う製品は、一般的には単独で存在している。プロットが提供する「Smooth File®ネットワーク分離モデル」は、「ファイル無害化」と「ファイル授受システム」を組み合わせることでネットワーク分離後の課題を網羅する、オールインワンのシステムとなっている。

 坂田氏が行った「ファイル無害化」のデモでは、実際にOfficeのワードのファイルに仕掛けられたマクロや埋め込みオブジェクト、ハイパーリンクなどが自動的に取り除かれる様子が紹介された。「ほとんどのアプリケーションファイルには、制御情報だけが入る領域や、テキストが入る領域、マクロやスクリプトが入る領域などが明確に定義されています。これらの領域の中でも、本来あり得ないところにスクリプトが入っていたりすると、それは意図的に仕掛けられた可能性が高いと判断し除去(消毒)を行います。そういった危険を全て取り除いて無害化したファイルは、もちろん通常のファイルとしてそのままアプリケーションで扱えます」(坂田氏)

 最後に坂田氏は、ネットワーク分離環境におけるプロットのソリューション実績について、「ファイルとメールのセキュリティを全て自社技術で提供できるベンダーとして、すでに300件以上の地方自治体や教育委員会、金融機関から採用されています」と紹介し、講演を終えた。

当日の講演資料はこちらから

情報セキュリティ戦略セミナー
2019 Review

- INDEX -

当日の講演資料はこちらから

お問い合わせ先

株式会社プロット

お問い合わせURL

URL ● https://www.smoothfile.jp/separation/

お問い合わせはこちら

このページのトップに戻る