法人のお客さまに起こりがちな状況
ファイアウォールとセキュリティソフトは設定しているから情報漏洩対策は大丈夫、となっていないでしょうか?
従来は外部からの攻撃対策はこうした「侵入されないための対策」が主流でしたが、攻撃側のスピードが上がったり手法が多様化したりする中、現在は侵入対策だけでは不十分と言われています。
今回はセキュリティ対策における入口対策、内部対策、出口対策についてお伝えします。
年々脅威を増すサイバー攻撃
2021年8月、ある大手食品メーカーで外部の攻撃によるシステム障害が発生しました。バックアップを含む大量のデータが暗号化されて復旧不能の状態です。
同じ販売管理システム、財務会計システムを使用していたグループ企業にも被害がおよび専門家からは「前例のない規模」と指摘を受けているとのことです。
現時点(2021年8月30日)ではまだ原因については判明していませんが、可能性としてはランサムウェアによる攻撃や標的型攻撃などが挙げられるところではないでしょうか。
この2つは「情報セキュリティ10大脅威 2021」によると組織向けの脅威としてそれぞれ1位および2位に位置しています。
特にランサムウェアはここ数年様々な企業で被害が出ており、6月にも国内の多国籍企業においてランサムウェア被害の報告があがるなど大企業であっても被害を食い止められない現状が浮き彫りになりました。
中小企業についても安心していられません。
同調査によると組織向けの脅威の3位には「テレワーク等のニューノーマルな働き方を狙った攻撃」、4位には「サプライチェーンの弱点を悪用した攻撃」が入っており、テレワークを取り入れた企業についてはセキュリティレベルの向上が急務となっています。
入口だけではなくゼロトラストの内部、出口対策も必須に
従来情報セキュリティの考え方は「どうやって外部からの不正アクセスを防ぐか」と言う入口対策が中心でした。
具体的にはファイアウォール、スパムフィルター、IDS/IPS(侵入検知・防止システム)、そしてエンドポイントのセキュリティソフト等により外部からの侵入を防ぐことで内部を守る考え方です。
しかし攻撃側の技術が高まったこと、端末の性能が向上したことなどによりゼロデイアタックによる短時間での攻撃やEMOTETなどの人間の心理を突いた攻撃、サプライチェーンの脆弱性を突いた攻撃等、多種多様な攻撃方法が増えている結果侵入を防ぎきるのは難しくなっているのが現状です。
特に現在増えてきているテレワーク環境においてはそもそも就業環境を社内に固定することができず、かつ従業員の自宅ネットワーク環境のセキュリティまで面倒を見ることなど不可能に近い状況と言えます。
そのため現在では、IPAなども「信頼できる領域はないものとする」と言うゼロトラストの方針を基に「侵入されたとしても検知し即座に対応する」という考えの内部対策と「攻撃を受けたとしても外部への情報漏洩を防ぐ」と言う考えの出口対策も合わせることで全体としてのダメージコントロールを行う方法にシフトしてきています。
不正アクセスされないように網を張る入口対策
不正アクセスはほとんどの場合外部から行われます。ならばアクセスの入口となるポイントに網を張ってすべてを絡めとろうという考え方が入口対策です。いわゆる「境界型防御」と呼ばれる考え方で、ネットワークの内部を信用できる領域、外部を信用できない領域として捉え外部からの不審な通信をいかに遮断するかがポイントです。
主に以下のツールが使用されます。
-
- ファイアウォール
- 外部からの不正なパケットを遮断したり、許可されたパケットだけを通過させたりすることで外部からの不正なアクセスを社内ネットワーク内に侵入させないようにします。
-
- スパムフィルター
- 発信元の検証、本文解析、URLフィルタリング等を用いて送られてきたメールが悪意を持ったものではないかどうかを判定し、自動的に振り分ける機能を持っています。
-
- IDS/IPS(侵入検知・防止システム)
-
IDSとはIntrusion Detection Systemの略でシステム内に外部からの不正アクセスがあった場合にその兆候を検知し管理者にアラートを上げるシステムです。
IPSはIntrusion Prevention Systemの略でIDSに防御・遮断機能を付加したシステムになります。
-
- エンドポイントセキュリティ
-
PCやスマートフォンなどのユーザが直接操作するエンドポイントを保護するものです。
いわゆるウィルス対策のセキュリティソフトを進化させたもので、マルウェア対策などにも効果を発揮します。
侵入されても内部で無効化する内部対策
侵入が防げない前提に立った場合に「侵入してもその後の不正な挙動を検知し駆除する」と言う対策を行うのが内部対策です。
主に以下のツール(機能)が使用されます。
-
- サンドボックス
- 攻撃されても問題がない閉じた領域(サンドボックス=砂場)を構築し、その中で不審なファイルを展開し分析することで検証を行う機能です。
-
- EDR
- Endpoint Detection & Responseの略で、イベントログを取得し、その分析により不審なふるまいを検知し、対処する機能です。
-
- XDR
-
クロスレイヤーの検知と対応を行う機能です。複数のセキュリティレイヤーにわたりデータを収集して自動的に相関付け、脅威の検知を迅速に行うことができます。
EDRの監視対象が管理対象のエンドポイントのみだったのに対し、XDRはメール、エンドポイント、サーバ、クラウドワークロード、ネットワークという複数のセキュリティレイヤーにわたってデータを収集・相関付けすることで脅威の検知速度を上げています。
攻撃を受けたとしても外部には出さないための出口対策
侵入され、攻撃を受けて内部データにアクセスされたとしても、外部に流出さえされなければ取引先やユーザへの二次被害を防ぐことが可能です。
この観点に立った対策が「出口対策」です。
ふるまい検知機能やWAFなどを活用して不審な挙動があった場合に通信を遮断することでダメージコントロールを図ります。
主に以下の機能を持つツールやソリューションが使用されます。
-
- Webレピュテーション
-
ユーザがウェブサイトにアクセスするなどの通信が発生する際に接続先ドメイン、ウェブサイト、ウェブページが不正な場合にはアクセス自体をブロックすることによって不正プログラムによる感染、フィッシング詐欺による被害を防ぐ機能です。
参考:https://www.trendmicro.co.jp/why-trendmicro/spn/features/web/index.html
-
- ふるまい検知
- パターンマッチングによる検出ができないマルウェアなどに対応するために、サンドボックス環境などでの挙動を監視し、不審なふるまいを行うかどうかでウィルスを検知する機能です。
-
- WAF
- Web Application Firewallの略で、ウェブサーバの前に設置し、ウェブアプリケーションの脆弱性を悪用した攻撃を検出、遮断する機能です。
情シス担当者はゼロトラストの意識で全面的なセキュリティ意識を
大企業であっても一瞬でセキュリティが突破され大きな被害を受けるようになりました。
機器の性能や手法の多様化もあり今後はより汎用的な攻撃ツールが出てくる可能性がある中、中小企業も「うちは小さいから大丈夫」とは言えない状況となっています。
情シス担当者は自社のセキュリティ環境をゼロトラストの観点で再確認し、不正アクセスを防げるか、侵入されても駆除できるか、攻撃を受けても外部に漏れないようになっているかをチェックしましょう。
一か所でも漏れがあると情報漏洩の可能性が出てくる現在、定期的なチェック体制も整備するのが安全です。
リソースに限りがある場合はセキュリティベンダーへの相談なども視野にいれ検討を進めてください。
トレンドマイクロからのアドバイス
現在のセキュリティ対策はゼロトラストの意識を持ち万全の対策を行わなければなりません。
トレンドマイクロでは入口対策から出口対策までワンストップでセキュリティレベルを向上させることができるソリューションを持っています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。
従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。
「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。
事前予防と事後対処を実現するエンドポイントセキュリティ
Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。
管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。
管理サーバ要らずの「サーバ向けクラウド型セキュリティ」
Trend Micro Cloud One - Workload Security™はWEBサーバ、特にパブリッククラウドへのサイバー攻撃に対してオールラウンドで対応できるソリューションです。
1ライセンスから導入可能で月額課金という料金体系のため、イニシャルコストを抑えやすくスモールスタートが可能となっています。
高度なスレットインテリジェンスでゼロトラストの実現を支えるサイバーセキュリティプラットフォーム
Trend Micro Vision One™はゼロトラストを実現する新しいセキュリティプラットフォームです。
XDR機能を持ち、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークを連携させることでより広範な視点と優れたコンテキストを提供しインシデント発生時の原因調査、影響範囲の特定ができる仕組みとなっています。
より広範な視点と優れたコンテキストを提供して、脅威をより容易に特定し、より効果的に阻止します。