バンカー博士のサイバーセキュリティ講座 テクノロジー編

サイバーセキュリティ講座へようこそ。この講座では、1回が1バイトサイズほどの短い情報の中で今すぐ行動に移せるセキュリティのヒントをお伝えします。プロセス、テクノロジーの3つの章に分けて掲載します。

第3章 テクノロジー

27. 特効薬などありません

28. アンチウイルスはなぜ生き残っているのか

29. ランサムウェアに対処する際のバックアップの重要性

30.  DLPとは何なのか

31.  DLPを組織内部に適用する

32.  ランサムウェアの進入を阻止する

33.  振る舞い分析は必要か

34.  できるなんて知りませんでした

35.  ディープコンテンツ分析とディープパケット分析の違い

36. メタデータの除去

37. アクティブコンテンツの除去

38. コンテキストに基づくポリシー

39. 「smoking gun」の発見と防止

27. 特効薬などありません

ベンダーから発せられるメディア記事の中には、すべてのITの問題を一気に解決してくれるような記事が時折見られます。記憶に新しいところでは、仮想化、クラウドコンピューティング、暗号化、ホワイトリスティング、サンドボクシング… これらはすべてセキュリティの万能薬のように引き合いに出されていました。ですが、これはもちろん真実ではありません。セキュリティのこととなると、英語のことわざに真実が語られています。「鎖は一番弱い輪と同じだけの強さでしかない。」「深く掘り下げた防御は最良の戦略である。」今日セキュリティ脅威は進化を続け、そうした脅威に対応する革新的なソリューションがコンスタントに開発されていますが、実際にはほとんどの場合、既存のセキュリティITインフラを増やすばかりで、総入れ替えということにはなりません。

ですから、最新のセキュリティ技術について読む場合は、誇大広告を避けるようにし、御社の環境を入れ替えるというより、既存の環境に統合しやすいかどうかという観点で見るようにしましょう。― なぜなら、総入れ替えという選択肢はめったにありませんので。

28. アンチウイルスはなぜ生き残っているのか

アンチウイルスはすでに過去のものだという話をよく耳にします。10年前の純粋にシグネチャベースのアンチウイルスは今日効果をあまり発揮していないのは確かです。しかし、アンチウイルスソリューションは進歩しました。ゼロデイ攻撃の脅威に対処するため、多くのアンチウイルスが振る舞い分析や、クラウドベースのルックアップ機能を持つようになりました。振る舞い分析強化のためエミュレーションやサンドボックス技術を内蔵するものまであります。そしてもちろん、多様性やそういったものに対処するため様々なニュアンスを持ったシグネチャベースの検知機能も持っています。

たとえばEメールやウェブアクセスといったようにネットワークでアンチウイルスを使っている人たちにとっての最も理想的なのは、一つだけではなく、複数のアンチウイルスを持つことです。カバーされる既知のマルウェアが増え、新規やゼロデイマルウェアの検知が向上することになるからです。そしてネットワーク上では、管理コストは最小限になります。(そして、ネットワーク上だからといって、エンドポイントにおけるアンチウイルスを無視していいという意味ではありません。これも、これまでと同様重要です。)

アンチウイルスの必要性は実際にまだありますが、今日のアンチウイルスは読者の若い時に覚えているアンチウイルスと同じものではありません。今持っているものを捨てないでください。- しかし、今使っているアンチウイルスはすべて最新で、先進の機能を備えているようにすることが肝要です。

(2017/5/17掲載)

29. ランサムウェアに対処する際のバックアップの重要性

画面に警告文が表示され、データが暗号化されて、身代金が要求されていますが、その次は? 金を支払えば、暗号化を解除し、いなくなると称しています ― でも、3ヵ月後にはまた同じことが起きるのです … しかも今度はさらに状況は悪化し、感染は広がっています。(それに支払いに使ったクレジットカードの情報は漏洩されてしまいました…. そこであなたは、こいつらは犯罪者だった!と思うのです。)

ランサムウェアが存在するからには、それを緩和できるような策が必要です。多重防御が重要であり、自社を守るのに単独のテクノロジーにだけ頼るのは賢い選択とは言えません。アンチウイルス、ドキュメント マルウェア サニタイゼーション、ホワイトリスティング、サンドボクシング、これらはみな、ランサムウェアを防ぐのに助けになる良いテクノロジーです。Eメールやウェブセキュリティゲートウェイにもソリューションを入れられます。しかし、“フォールバック”という頼みの綱も持っているべきです。この場合は、データのバックアップがそれにあたります。もしバックアップを持っており、ごく最近のバックアップが必要とされているのであれば、他のすべてがだめになったとしても、感染したハードウェアをベアメタルに戻し、OSとデータを復元することができます。

ランサムウェアは巧妙化しており、バックアップさせないか、バックアップを暗号化してしまうという種類もあります。起動する際に回復可能な信頼できるバックアップを無くすのが狙いです。これに対処するために、バックアップの完全性や、オリジナルのデータの復元能力を確認します。少し時間がかかるかもしれませんが、それをするだけの価値はあるでしょう。- 感染が広がる前に感染源を指し示してくれるかもしれないからです。

(2017/5/24掲載)

30. DLPとは何なのか

情報漏洩防止(DLP)は機密情報を安全に保つためのものです。10年以上も前からある良く知られた用語で、従来は組織から不正な方法で持ち出される機密情報に対して使われていました。10年前には、添付書類付きのEメールを間違って違う人に送信してしまう、またはノートPCを紛失するなどといった社員のミスによるものでした。今日では、もっと広範囲に適用されています。

次世代のDLPテクノロジーとは、有害な情報が組織に入り込むのを防ぐのと同時に、出しても良い情報は外部に出します。今日、情報を伝達する方法たくさんあります。Eメール、インターネット(クラウドコラボレーションやソーシャルネットワーキングサイトを含む)の他にも、USBやリムーバブルメディアを使ってエンドポイントから、も。効果的なDLPの鍵となるのはすべてのコミュニケーションチャネルを通じて包括して一貫したポリシーを持つことです。実行するアクションはコミュニケーションチャンネルによって変えることができますので、ニーズに合わせることができます。

DLPソリューションを実装する目的は、あらゆる情報チャネルとあらゆるタイプの情報をカバーすることですが、リスクのレベルによって定義される段階的なアプローチが実施されることが一般的です。通常Eメールは「規制された」情報(PCI、PIIなど)として最初に挙げられるものであり、その次にウェブ、そしてエンドポイントの順になります。規制された情報の次の段階では、たとえば、知的財産などといった企業機密情報に実装が拡大されます。

(2017/6/14掲載)

31. DLPを組織内部に適用する

情報漏洩防止(DLP)とは、機密情報が組織外の悪意ある人物の手に渡るのを防ぐ手段というようによく言われています。しかし、DLPを組織内部に使う需要が高まってきています。一般的に、情報にアクセスする人数が増えるに従い、悪意ある人物に渡るリスクも高まります。多くの組織では、ファイルサーバーやSharePointプロジェクトをアクセスする必要のあるユーザーだけに制限するプログラムがありますが、組織内部では、Eメールを誰が誰にでも何でも送信できます。組織の内部において許可されずにEメールがシェアされてしまうのを防ぐためにDLPソリューションを配備することで、情報リスクは確実に低くなるのです。

これはやり過ぎなのでしょうか?間違った人から情報を受信した(または送ってしまった)ことが何回ありますか。-おそらく、名前が同じだったり、つい指がすべってしまったりしたからでしょう。そのメールを削除してもらうように頼めば、相手は削除してくれるでしょう - しかし、もし削除してくれなかったら?

今や多くの組織で社内DLPを配備するようになってきています。たとえば、人事の情報が人事部内にとどまるよう、あるいは四半期末や年度末の財務情報が知る必要のある日人の間にのみとどまるように。さらに、将来の製品設計やその他の知的財産の保護が強化されています。- 機密情報は必ずしも規制の対象とされている情報であるとはかぎりません。

(2017/6/23掲載)

32. ランサムウェアの進入を阻止する

ランサムウェアが組織に進入するのに一番よく使われるルートは、一見無害に見える書類に埋め込まれたマルウェアを通してです。昔は知らない人から送られた実行ファイル(プログラム)はウイルスに感染しているかもしれないから開けないようにと、しょっちゅう言われたものです。それは今日でも当てはまります。ただし、今は書類なので、検知やブロックがいっそう難しくなっています。というのも、一見問題がないよう見える書類でもランサムウェアが埋め込まれている可能性があるからです。

職場で個人のEメールを見るだろうから、必ずしも会社のEメールアドレスをターゲットにする必要は無いと今日のサイバー犯罪者は考えています。ソーシャルネットワーキングサイトで見た個人のEメールアドレスがあるからです。ランサムウェア感染の70%以上は企業のメールではなく、個人のEメールで感染したものです。そして、もっともありがちな件名は … 職務記述書、採用通知や履歴書です。さらに、こうした書類は社内メールに添付されるのではなく、ただのリンクだけ - ですが、マイクロソフトのOneDriveやGoogleAppのように、そのリンクがどこか「信用のおける」ところだったりします。こうしたプラットフォームでホストされたドキュメントは信用できるという思い込みがあります。-残念なことに実際は違います。そこに置かれたものは何であろうとホストするからです。

それでは、どうしたらランサムウェアの侵入を防げるのでしょうか。まず認識すべきは、企業のEメールと同時にウェブベースのトラフィック(個人のEメールがアクセスするのはウェブトラフィック上です。)もカバーし保護しなければならないということです。ランサムウェアを防ぐには2つの方法があります。まずひとつは、「構造サニタイゼーション」を使うこと - このテクノロジーでは、ドキュメントからアクティブコンテンツ(この場合はマルウェア)だけが除去され、残りはそのまま通過させます。これで、ユーザーは情報を直ちに受け取ることができ、マルウェアだけは取り除かれます。2つめの方法は、サンドボックスというテクノロジーを使うことです。ドキュメントが安全な環境(サンドボックス)で開かれ、その振る舞いが分析されます。事前に設定した時間(たとえば15分)の間に何も起きなければ、リリースされて受信者に送られます。しかし、この場合遅延は不便かつ、非効率です。埋め込まれたマルウェアが遅延を回避することもありうるのです。

ランサムウェアとの戦いは組織にとって大きな課題となってきています。しかし、救いとなる新しいテクノロジーが利用できるようになってきています。組織を囲むセキュリティ防御の輪が必要です。ランサムウェアがどのような手段でやって来ようとも、ランサムウェアに対する適切な防御を備えているということを確認しましょう。

(2017/7/19掲載)

33. 振る舞い分析は必要か

今日ITやセキュリティ関連のカンファレンスに参加すると、サイバー攻撃を検知防御する手段としての振る舞い分析に関する意見があちこちで飛び交います。理屈は極めてシンプルなものです。ユーザーとネットワークトラフィックをモニターし、何か普通でないことや特異なことがあれば、攻撃につながるかどうかをもっとよく調べるというものです。

振る舞い分析はずっと前からありましたが、セキュリティ分野で使われだしたのは最近のことです。しかし、多くの組織にとって便利なものになるまでにはまだ時間がかかります。鍵となるのは、「ノーマルな」活動の基準値をどう理解するかであり、これは本当に難しいのです。もし悪意のある行動がすでに起きていれば、「ノーマル」であるとみなされてしまい、良くないのです。ですが、真の問題なのは単純な基準値が存在しないことです。四半期末(または年度末)に追加の報告書が作成され、シェアされたとしましょう。あるいは、誰かが休暇中で、その人の仕事を残った社員で分担していたら - その場合、普段は見ないようなレポートを実行したり、普段はアクセスしないような情報にアクセスしたりといったことが起きます。こうした例外的行動はセキュリティイベントをあぶり出しますが、今は調査する人間が必要とされます。そして人件費は高価なのです。

将来的には振る舞い分析を使った製品は、どの組織でも使われる、自分たちを守るために使うソリューションの一部になるでしょう。しかし、あくまでもソリューションの一部です。- なぜなら、ひとつですべてに効くような特効薬など無いからです。

(2017/7/21掲載)

34. できるなんて知りませんでした

Microsoft Wordや他のOfficeアプリケーションについて、自分が知らなかった機能があるか同僚に尋ねたことが何回ありますか。あるいは、何かをするためのショートカットがありますか。多くの企業アプリケーションについても同様です。新しいリリースによって新機能が加わったものの、その機能の存在を知らなかったというのはよくあることです。

存在すら認識していない何かを見つけようとするのは骨の折れる仕事です。- どう記述するか分からないものを、それ以上簡単にしようが無いからです。ある問題に対する解決法を探すとき、必要としている機能がすでにカバーされていないかどうかについてソリューションプロバイダーと話してみる価値はあります。たとえば、DLPソリューションのほとんどは、組織から出て行く情報を扱い - 良いものが悪人に渡るのを防ぎます。しかし、今は組織に入って来ようとする特定の情報を防ぐ必もあります。もしDLPソリューションが配備されているならば、情報の入ってくる方向は関係ありません。外から入ってくる情報にも、組織から出て行く情報と同様にポリシー適用が可能になるのです。

ですから、新しいソリューションに飛びつく前に、今持っているものをよく見直してみる価値はあります。- もしかしたら時間とお金を倹約できるかもしれないですから。

(2017/7/26掲載)

35. ディープコンテンツ分析とディープパケット分析の違い

ITには紛らわしい専門用語がありふれていますが、ディープ コンテンツ分析(DCI)とディープ パケット分析(DPI)もしばしば混同されます。DCIは文書を調べる能力のことです。例えば、ファイル、あるいは添付書類つきのEメール、あるいはウェブページを分解して構成パーツを分析します。“深い”パーツとは、発見できるいくつのレベルまで深くソリューションをばらばらにして文書を分析できるかということです。従って、ZIPファイルが添付されたEメールがあるとして、そのZIPファイルには埋め込まれたスプレッドシートが入っており、さらにそこには埋め込まれた文書があり、そこにはまた埋め込まれたZIPファイルがあり、さらにそこに…と続くわけです。1ないし2レベルまで掘り下げるソリューションもありますし、100レベルまで掘り下げるソリューションもあるのです。

ディープ パケット インスペクションはネットワーク上のパケットを見ることで、ウイルスあるいは侵入といった様々なセキュリティ問題を検知するために使われています。通常は実際のコンテンツというよりはOCIモデルの第2層~第5層にフォーカスしています。

DLPソリューションにはDPIよりもDCIが使われましたが、DPIを使ってプレインテキストフォーマットで機密情報が見つかることも時にはあります。程度の違いはあるでしょうが、御社の環境にも両方のテクノロジーが使われていることでしょう。両者の違いを理解することは、効率性を活かすためにも重要です。

(2017/8/7掲載)

36. メタデータの除去

メタデータとは、電子ファイルの中に 存在する“隠れた”情報のことです。通常はあるドキュメントをいつ、誰が保存したかといった内容ですが、会社名や分類レベルなどの他の情報も含まれていることがあります。実際には、サーバー名やプリンター名、アプリケーションがドキュメントで何が起きたのかを追跡するのに役立つ様々な情報も含まれています。

しかし…アプリケーションやシステムにとって役立つものは、サイバー犯罪者にとっても役に立つのです。フィッシング情報源として一番入手しやすいもののひとつはメタデータから取った情報です。外部ウェブサイトに掲載されたドキュメントをちょっと見れば、どのような情報が利用できるかが分かってしまうため、御社に対して使われてしまいます。

幸運なことに、今日ではDLPソリューションのドキュメントサニタイゼーション機能を配備可能です。メタデータが自動的に除去されるので脅威も除かれます。今日のアダプティブ(適応型) DLPソリューションは、削除された情報について非常にきめ細かく指定できますので、ユーザー名は削除しても分類は残すことも可能です。さらに、ドキュメントサニタイゼーションではバージョン情報やデータの高速保存も削除できます。あなたが送信したつもりの文書は、実際には隠れた(または忘れられていた)コンテンツを除去済みの文書が送信されます。

ウェブサイト上にあるファイルをいくつかダウンロードし、そこに含まれているメタデータを見てみてください。そして、企業の電子メールで送信されたファイルの数を考えてみましょう。- メタデータが原因となるリスクを回避するためのソリューションに投資するためのビジネスケースを推進する助けとなるでしょう。

(2017/8/31掲載)

37. アクティブコンテンツの除去

組織にとっての今日の最大の脅威はランサムウェアであり、通常は一見無害に見えるドキュメントの中にアクティブコンテンツとして埋め込まれています。アクティブコンテンツには単純なマクロからスクリプト、組み込みアプリケーションやコントロールなど、いくつかの異なる形式があります。受信したドキュメントからアクティブコンテンツを除去すれば、ランサムウェア感染のリスクを取り除くことになります。99%以上の場合、入ってくるアクティブコンテンツは必要ありませんので、除去は理に適っています。

ランサムウェア攻撃のほとんどはウェブサイトにアクセスした個人のEメールを介して行われます。アクティブコンテンツを除去するソリューションは企業のEメールやウェブなどの複数のコミュニケーションチャネルで動作する必要があります。

アクティブコンテンツを除去する行為は「構造サニタイゼーション」と呼ばれ、今日のアダプティブ(適応型)DLPソリューションでは可能になっています。送信トラフィック、受信トラフィックのどちらでもアクティブコンテンツの除去が可能です。(特にスプレッドシートの中の)マクロに含まれている知的財産を犯罪者に渡さないように安全に保つことができます。

(2017/9/4掲載)

38. コンテキストに基づくポリシー

DLPを検討している組織のほとんどでは、DLPとはコンテンツを保護することを意味するでしょう。ですが、ビジネスを効率的に行い、ビジネスポリシーにとって障害とならないようにするには、コンテンツとコンテキストの両方をベースする必要があります。ユーザーが何をしているかというコンテキストは、コンテンツと同じくらいに重要なのです。

一人の人が同じファイルで、3種類の異なった方法によってコミュニケーションを取ろうとしているケースを考えてみましょう。- DLPソリューションが取るアクションは、コミュニケーションチャネルによって違ってくる可能性があります。企業のEメールで送信する場合、ドキュメントは暗号化されるでしょう。クラウドストレージサービスにウェブ経由でアップロードすると、コンテンツはリダクト(機密情報は除去されますが、残りはそのまま通過)され、USBメモリーにコピーしようとするとブロックされます。

さらに、コンテキストはアクションを実行する人が誰なのかによっても変わってきます。ですから、営業部長が現行の価格表を代理店にメールするのは可ですが、エンジニアリングの人間がメールするのは不可となります。

人々が期待する新しいビジネスコラボレーションプロセスを実行するためには、重要情報の保護のために適応型セキュリティソリューションの提供が必要不可欠です。コンテンツにのみ基づくポリシーでは、効果的なコラボレーションにはもはや十分ではないのです。

(2017/9/11 掲載)

39. 「smoking gun」の発見と防止

サイバーセキュリティの用語では、「smoking gun」とは、紛失または盗難された場合に組織に深刻な問題を引き起こしてしまうであろう情報のことです。つきつめると、これは存在すら忘れていたノートPCや古いファイルサーバーに残されていて、問題を引き起こしかねない古い情報のことです。社員に関する人事部のレポートには生年月日や銀行口座の詳細情報が含まれており…すでに退職しているかもしれませんが、情報はまだ生きており、保護されなければなりません。

多くの企業や組織にとって古いデータを把握するのは途方も無く大きな問題であり、何か対処するのはまず不可能です。ですが、ラッキーなことにテクノロジーが手助けになります。もし適応型の(Adaptive)包括的DLPソリューションをお持ちであれば、保存データ(DAR)のスキャンを行うことが、対処が必要な問題の大きさを突き止めるのに役に立つでしょう。予防に使用されるのと同じポリシーを検出に使用すれば、プロセスが大幅に高速化されます。 先進の保存データ(DAR)ソリューションは、問題の大きさを見極めた後、ファイルをノートPCからより安全なネットワーク共有に移動するなど、改善措置を行うことができますが、ブレッドクラムを残してユーザーに何が起きたかを伝えます。

保存データ(DAR)スキャンはネットワークのシェアやクラウドコラボレーションドライブにおいても使用できます。重要な情報がどこで見つかるかを把握することは管理の第一歩なのです。

限られた数のノートPCに対する迅速な保存データ(DAR)発見プロジェクトは、「smoking gun」や究極的には解決策を講じる際に企業が直面する課題を認識させるのに役立ちます。

(2017/9/20 掲載)

次回は40. コンテンツとコンテキストです。お楽しみに!

バンカー博士のセキュリティ講座 トップページへ戻る

バンカー博士のセキュリティ講座 第1章 人編 へ

バンカー博士のセキュリティ講座 第2章 プロセス編 へ

関連資料 ホワイトペーパー サイバーセキュリティ侵害に備える 転ばぬ先の杖