情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

デジタルアーツ

サイバー攻撃の従業員教育・訓練が不要な、
ホワイトリスト方式のセキュリティとは

多くの企業が、サイバーセキュリティ対策に多層防御による方法を採用し、従業員教育・訓練に力を入れている。それでも、サイバー攻撃による被害は後を絶たないのが現状だ。そんな状況下でも、導入するだけで何も気にせず、Webサイトへのアクセスやメールの受信を安全に行えるようになるソリューションが存在するという。

デジタルアーツ マーケティング部 プロモーション課 プロモーター 藤井 美凪 氏 デジタルアーツ マーケティング部 プロモーション課 プロモーター 藤井 美凪 氏

デジタルアーツ

マーケティング部
プロモーション課
プロモーター

藤井 美凪

ブラックリスト方式の従来型ソリューションに存在する抜け穴とは?

 登壇したデジタルアーツの藤井氏は、セッションの序盤、数多くの企業がサイバーセキュリティ対策に採用している多層防御(複数のセキュリティ製品を導入して、防御を固めること)について言及。

 「そもそもこのようなやり方(多層防御)が必要とされるのは1つのセキュリティ製品では攻撃を防ぎきれないから」と説明したうえで、「たくさんのセキュリティ製品を導入しなければならず、コストがかかるなど、非効率なことが問題視されています」と話した。

多層防御は、穴のあいているスイスチーズを重ねるようなものだという。リスクを分散し、いずれかのセキュリティ製品で防げれば良いという考え方

多層防御は、穴のあいているスイスチーズを重ねるようなものだという。リスクを分散し、いずれかのセキュリティ製品で防げれば良いという考え方

画像を拡大する

 とはいえ、藤井氏によると「これまでは多層防御によってリスクを分散せざるを得なかった」のだという。なぜなら、従来型のセキュリティ製品は「ブラックリスト」に基づいて攻撃を防御する方式だったからである。

 「誰かが被害に遭わないと防ぐことができないのが、ブラックリスト方式の弱点」だと藤井氏が強調するように、存在が確認された脅威をリストにして該当するものを排除したり、無害化したりするブラックリスト方式のセキュリティ製品だと、未知の脅威や、危ないかもしれないけどよくわからないといった───いわば“グレー”の脅威は防御できない。それ故、できるだけ抜け穴をなくすためには、いくつかのセキュリティ製品を組み合わせるしかなかったのだ。さらにいえば、数多くの企業が多層防御によって対策を行っているにもかかわらず、標的型攻撃の被害が後を絶たない理由もここにあるといえる。

 ただ、このような状況に対し、企業側もただ手をこまねいていただけではない。ブラックリストに基づいたセキュリティ対策では、攻撃を防ぎきれないことに気づいた企業のなかには、従業員教育を行うことでセキュリティレベルを上げようとしているところが増えているようだ。

 従業員教育には、訓練用のメールを従業員に送り、その開封率をリポートし、対策を講じる標的型メール訓練などがあるが、「この訓練も少し考えもの」だという。なぜなら「この訓練を行うことによって責任の所在がすり替えられてしまうことがある」(藤井氏)からだ。

 たとえば、従業員が訓練用メールを開いてしまうと、その行為が悪とされ、叱責されることがあるようだ。セキュリティ対策の責任は、本来、情報システム部が負うべきなのに、従業員が責められるのである。

 同社が企業に対して実施したアンケートでも、システム部門の管理者の30%が「標的型攻撃メール訓練のメールを開いた職員は評価に影響する」と回答しているというが、これでは本当の攻撃を受けた際、マルウエアに感染した疑いがあっても報告を躊躇してしまうという状況になりかねない。さらに「そもそも訓練を行っても、攻撃の手口は非常に巧妙化しており、個人の判断では、それを見破ることは難しい」と藤井氏。つまり「ブラックリスト方式の製品でいくら多層防御をしても、従業員教育をいくら徹底しても、絶対大丈夫とは言い切れない」(藤井氏)のである。

ホワイトリスト方式で新世代のセキュリティ対策を

 そこで藤井氏が推奨するのが、ホワイトリストに基づいたセキュリティソリューションの導入だ。

 これは安全が確認されたメール送信元やWebサイトなどをリスト化し、そこに掲載されている送信元のメールの受信やWebサイトへのアクセスのみを許可するもの。この方式であれば、ブラックリスト方式のように、未知の脅威やグレーの脅威を見逃すことはない。

 ただ、この方式だと「リストに漏れがあったら、問題のないメールが受信できなかったり、業務に必要なWebサイトにアクセスできなくなったりするのではないか?」という懸念を持つ人も少なくないだろう。

 その点は、同社が提供する、ホワイトリスト方式のメールセキュリティソリューションである「m-FILTER」と、Webアクセス制御ソリューション「i-FILTER」なら心配無用だ。「m-FILTER」に使われているメール送信元のホワイトリストは、国内の400万社以上の企業情報を網羅しているし、「i-FILTER」のWebサイトに関する「ホワイトリストの網羅率は99.999%」(藤井氏)を実現しているからだ。

 なお、もし過去に安全性が確認できていないメール送信元からメールが送られてきたり、未確認のWebサイトにユーザーが接触しようとしたりすれば、1営業日内でデータベースが更新されるので業務を阻害する可能性は限りなくゼロに近い。

 また、「i-FILTER」は、改ざんされたWebサイトを介した攻撃に対しても防御可能なのも特徴のひとつだ。

 改ざんしたWebサイトから攻撃を仕掛けるには「不正コードをソースコードに埋め込み、他のWebサイトへリダイレクトさせる方法」と「改ざんしたWebサイトに直接マルウエアを埋め込む方法」の2つがあるが、前者の場合、リダイレクト先がホワイトリストに登録されていないので、当然アクセスはブロックされる。気になるのは後者の場合だが、「i-FILTER」には、ファイルのダウンロードをブロックしたり警告を表示したりする「ダウンロードフィルター」機能が備わっているので、この機能を活用すれば後者のケースでもマルウエアのダウンロードを防ぐことができる。つまり、たとえホワイトリストに登録されているWebサイトが改ざんされて攻撃に利用されているところへアクセスしてしまっても安心というわけだ。

 「m-FILTER」「i-FILTER」のいずれも、オンプレミス型とクラウド型の両方が用意されているため、ニーズに合わせて柔軟に導入できることもありがたい。

ホワイトリスト方式の「m-FILTER」と「i-FILTER」なら、ブラックリスト方式の弱点をすべて解消できる

ホワイトリスト方式の「m-FILTER」と「i-FILTER」なら、ブラックリスト方式の弱点をすべて解消できる

画像を拡大する

 セッションの終盤、藤井氏は「m-FILTER」と「i-FILTER」の導入実績などを紹介。その中で、2019年11月だけで、31社に対する攻撃メールを隔離し、広島ガス株式会社など2社でマルウエアのダウンロードを阻止したことが説明されたが、その防御性能の高さに数多くの来場者が感心している様子が窺えて印象的なセッションであった。

お問い合わせ先

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

お問い合わせ先

デジタルアーツ株式会社

お問い合わせURL

URL ● https://www.daj.jp/

お問い合わせはこちら

このページのトップに戻る