バンカー博士のサイバーセキュリティ講座 テクノロジー編

サイバーセキュリティ講座へようこそ。この講座では、1回が1バイトサイズほどの短い情報の中で今すぐ行動に移せるセキュリティのヒントをお伝えします。プロセス、テクノロジーの3つの章に分けて掲載します。

第3章 テクノロジー

27. 特効薬などありません

28. アンチウイルスはなぜ生き残っているのか

29. ランサムウェアに対処する際のバックアップの重要性

30.  DLPとは何なのか

31.  DLPを組織内部に適用する

32.  ランサムウェアの進入を阻止する

33.  振る舞い分析は必要か

27. 特効薬などありません

ベンダーから発せられるメディア記事の中には、すべてのITの問題を一気に解決してくれるような記事が時折見られます。記憶に新しいところでは、仮想化、クラウドコンピューティング、暗号化、ホワイトリスティング、サンドボクシング… これらはすべてセキュリティの万能薬のように引き合いに出されていました。ですが、これはもちろん真実ではありません。セキュリティのこととなると、英語のことわざに真実が語られています。「鎖は一番弱い輪と同じだけの強さでしかない。」「深く掘り下げた防御は最良の戦略である。」今日セキュリティ脅威は進化を続け、そうした脅威に対応する革新的なソリューションがコンスタントに開発されていますが、実際にはほとんどの場合、既存のセキュリティITインフラを増やすばかりで、総入れ替えということにはなりません。

ですから、最新のセキュリティ技術について読む場合は、誇大広告を避けるようにし、御社の環境を入れ替えるというより、既存の環境に統合しやすいかどうかという観点で見るようにしましょう。― なぜなら、総入れ替えという選択肢はめったにありませんので。

28. アンチウイルスはなぜ生き残っているのか

アンチウイルスはすでに過去のものだという話をよく耳にします。10年前の純粋にシグネチャベースのアンチウイルスは今日効果をあまり発揮していないのは確かです。しかし、アンチウイルスソリューションは進歩しました。ゼロデイ攻撃の脅威に対処するため、多くのアンチウイルスが振る舞い分析や、クラウドベースのルックアップ機能を持つようになりました。振る舞い分析強化のためエミュレーションやサンドボックス技術を内蔵するものまであります。そしてもちろん、多様性やそういったものに対処するため様々なニュアンスを持ったシグネチャベースの検知機能も持っています。

たとえばEメールやウェブアクセスといったようにネットワークでアンチウイルスを使っている人たちにとっての最も理想的なのは、一つだけではなく、複数のアンチウイルスを持つことです。カバーされる既知のマルウェアが増え、新規やゼロデイマルウェアの検知が向上することになるからです。そしてネットワーク上では、管理コストは最小限になります。(そして、ネットワーク上だからといって、エンドポイントにおけるアンチウイルスを無視していいという意味ではありません。これも、これまでと同様重要です。)

アンチウイルスの必要性は実際にまだありますが、今日のアンチウイルスは読者の若い時に覚えているアンチウイルスと同じものではありません。今持っているものを捨てないでください。- しかし、今使っているアンチウイルスはすべて最新で、先進の機能を備えているようにすることが肝要です。

(2017/5/17掲載)

29. ランサムウェアに対処する際のバックアップの重要性

画面に警告文が表示され、データが暗号化されて、身代金が要求されていますが、その次は? 金を支払えば、暗号化を解除し、いなくなると称しています ― でも、3ヵ月後にはまた同じことが起きるのです … しかも今度はさらに状況は悪化し、感染は広がっています。(それに支払いに使ったクレジットカードの情報は漏洩されてしまいました…. そこであなたは、こいつらは犯罪者だった!と思うのです。)

ランサムウェアが存在するからには、それを緩和できるような策が必要です。多重防御が重要であり、自社を守るのに単独のテクノロジーにだけ頼るのは賢い選択とは言えません。アンチウイルス、ドキュメント マルウェア サニタイゼーション、ホワイトリスティング、サンドボクシング、これらはみな、ランサムウェアを防ぐのに助けになる良いテクノロジーです。Eメールやウェブセキュリティゲートウェイにもソリューションを入れられます。しかし、“フォールバック”という頼みの綱も持っているべきです。この場合は、データのバックアップがそれにあたります。もしバックアップを持っており、ごく最近のバックアップが必要とされているのであれば、他のすべてがだめになったとしても、感染したハードウェアをベアメタルに戻し、OSとデータを復元することができます。

ランサムウェアは巧妙化しており、バックアップさせないか、バックアップを暗号化してしまうという種類もあります。起動する際に回復可能な信頼できるバックアップを無くすのが狙いです。これに対処するために、バックアップの完全性や、オリジナルのデータの復元能力を確認します。少し時間がかかるかもしれませんが、それをするだけの価値はあるでしょう。- 感染が広がる前に感染源を指し示してくれるかもしれないからです。

(2017/5/24掲載)

30. DLPとは何なのか

情報漏洩防止(DLP)は機密情報を安全に保つためのものです。10年以上も前からある良く知られた用語で、従来は組織から不正な方法で持ち出される機密情報に対して使われていました。10年前には、添付書類付きのEメールを間違って違う人に送信してしまう、またはノートPCを紛失するなどといった社員のミスによるものでした。今日では、もっと広範囲に適用されています。

次世代のDLPテクノロジーとは、有害な情報が組織に入り込むのを防ぐのと同時に、出しても良い情報は外部に出します。今日、情報を伝達する方法たくさんあります。Eメール、インターネット(クラウドコラボレーションやソーシャルネットワーキングサイトを含む)の他にも、USBやリムーバブルメディアを使ってエンドポイントから、も。効果的なDLPの鍵となるのはすべてのコミュニケーションチャネルを通じて包括して一貫したポリシーを持つことです。実行するアクションはコミュニケーションチャンネルによって変えることができますので、ニーズに合わせることができます。

DLPソリューションを実装する目的は、あらゆる情報チャネルとあらゆるタイプの情報をカバーすることですが、リスクのレベルによって定義される段階的なアプローチが実施されることが一般的です。通常Eメールは「規制された」情報(PCI、PIIなど)として最初に挙げられるものであり、その次にウェブ、そしてエンドポイントの順になります。規制された情報の次の段階では、たとえば、知的財産などといった企業機密情報に実装が拡大されます。

(2017/6/14掲載)

31. DLPを組織内部に適用する

情報漏洩防止(DLP)とは、機密情報が組織外の悪意ある人物の手に渡るのを防ぐ手段というようによく言われています。しかし、DLPを組織内部に使う需要が高まってきています。一般的に、情報にアクセスする人数が増えるに従い、悪意ある人物に渡るリスクも高まります。多くの組織では、ファイルサーバーやSharePointプロジェクトをアクセスする必要のあるユーザーだけに制限するプログラムがありますが、組織内部では、Eメールを誰が誰にでも何でも送信できます。組織の内部において許可されずにEメールがシェアされてしまうのを防ぐためにDLPソリューションを配備することで、情報リスクは確実に低くなるのです。

これはやり過ぎなのでしょうか?間違った人から情報を受信した(または送ってしまった)ことが何回ありますか。-おそらく、名前が同じだったり、つい指がすべってしまったりしたからでしょう。そのメールを削除してもらうように頼めば、相手は削除してくれるでしょう - しかし、もし削除してくれなかったら?

今や多くの組織で社内DLPを配備するようになってきています。たとえば、人事の情報が人事部内にとどまるよう、あるいは四半期末や年度末の財務情報が知る必要のある日人の間にのみとどまるように。さらに、将来の製品設計やその他の知的財産の保護が強化されています。- 機密情報は必ずしも規制の対象とされている情報であるとはかぎりません。

(2017/6/23掲載)

32. ランサムウェアの進入を阻止する

ランサムウェアが組織に進入するのに一番よく使われるルートは、一見無害に見える書類に埋め込まれたマルウェアを通してです。昔は知らない人から送られた実行ファイル(プログラム)はウイルスに感染しているかもしれないから開けないようにと、しょっちゅう言われたものです。それは今日でも当てはまります。ただし、今は書類なので、検知やブロックがいっそう難しくなっています。というのも、一見問題がないよう見える書類でもランサムウェアが埋め込まれている可能性があるからです。

職場で個人のEメールを見るだろうから、必ずしも会社のEメールアドレスをターゲットにする必要は無いと今日のサイバー犯罪者は考えています。ソーシャルネットワーキングサイトで見た個人のEメールアドレスがあるからです。ランサムウェア感染の70%以上は企業のメールではなく、個人のEメールで感染したものです。そして、もっともありがちな件名は … 職務記述書、採用通知や履歴書です。さらに、こうした書類は社内メールに添付されるのではなく、ただのリンクだけ - ですが、マイクロソフトのOneDriveやGoogleAppのように、そのリンクがどこか「信用のおける」ところだったりします。こうしたプラットフォームでホストされたドキュメントは信用できるという思い込みがあります。-残念なことに実際は違います。そこに置かれたものは何であろうとホストするからです。

それでは、どうしたらランサムウェアの侵入を防げるのでしょうか。まず認識すべきは、企業のEメールと同時にウェブベースのトラフィック(個人のEメールがアクセスするのはウェブトラフィック上です。)もカバーし保護しなければならないということです。ランサムウェアを防ぐには2つの方法があります。まずひとつは、「構造サニタイゼーション」を使うこと - このテクノロジーでは、ドキュメントからアクティブコンテンツ(この場合はマルウェア)だけが除去され、残りはそのまま通過させます。これで、ユーザーは情報を直ちに受け取ることができ、マルウェアだけは取り除かれます。2つめの方法は、サンドボックスというテクノロジーを使うことです。ドキュメントが安全な環境(サンドボックス)で開かれ、その振る舞いが分析されます。事前に設定した時間(たとえば15分)の間に何も起きなければ、リリースされて受信者に送られます。しかし、この場合遅延は不便かつ、非効率です。埋め込まれたマルウェアが遅延を回避することもありうるのです。

ランサムウェアとの戦いは組織にとって大きな課題となってきています。しかし、救いとなる新しいテクノロジーが利用できるようになってきています。組織を囲むセキュリティ防御の輪が必要です。ランサムウェアがどのような手段でやって来ようとも、ランサムウェアに対する適切な防御を備えているということを確認しましょう。

(2017/7/19掲載)

33. 振る舞い分析は必要か

今日ITやセキュリティ関連のカンファレンスに参加すると、サイバー攻撃を検知防御する手段としての振る舞い分析に関する意見があちこちで飛び交います。理屈は極めてシンプルなものです。ユーザーとネットワークトラフィックをモニターし、何か普通でないことや特異なことがあれば、攻撃につながるかどうかをもっとよく調べるというものです。

振る舞い分析はずっと前からありましたが、セキュリティ分野で使われだしたのは最近のことです。しかし、多くの組織にとって便利なものになるまでにはまだ時間がかかります。鍵となるのは、「ノーマルな」活動の基準値をどう理解するかであり、これは本当に難しいのです。もし悪意のある行動がすでに起きていれば、「ノーマル」であるとみなされてしまい、良くないのです。ですが、真の問題なのは単純な基準値が存在しないことです。四半期末(または年度末)に追加の報告書が作成され、シェアされたとしましょう。あるいは、誰かが休暇中で、その人の仕事を残った社員で分担していたら - その場合、普段は見ないようなレポートを実行したり、普段はアクセスしないような情報にアクセスしたりといったことが起きます。こうした例外的行動はセキュリティイベントをあぶり出しますが、今は調査する人間が必要とされます。そして人件費は高価なのです。

将来的には振る舞い分析を使った製品は、どの組織でも使われる、自分たちを守るために使うソリューションの一部になるでしょう。しかし、あくまでもソリューションの一部です。- なぜなら、ひとつですべてに効くような特効薬など無いからです。

(2017/7/21掲載)

(次回は 34. できるなんて知りませんでした です。 お楽しみに!)

バンカー博士のセキュリティ講座 トップページへ戻る

バンカー博士のセキュリティ講座 第1章 人編 へ

バンカー博士のセキュリティ講座 第2章 プロセス編 へ

関連資料 ホワイトペーパー サイバーセキュリティ侵害に備える 転ばぬ先の杖