標的型攻撃対策ツールをみてみよう
標的型攻撃は年々件数を増やしていますが、それに応じて対策ツールも多数リリースされています。ここでは、編集部おすすめの標的型攻撃対策ツールについてご紹介します。
オススメ標的型攻撃対策ツール24選を比較(11月6日時点)
提供社名:キヤノンシステムアンドサポート株式会社
FortiGateは、2004年以降日本でUTM(統合脅威管理)市場シェアNo.1の標的型攻撃対策ソリューションです。FortiSandboxと連携させることで未知のマルウェアをサンドボックスを通して検知できるなどの高度なセキュリティを兼ね備えており、それでいて圧倒的なコストパフォーマンスを誇るのが特長です。
提供社名:アイティーエム株式会社
標的型攻撃メール訓練サービスは、「バラマキ型」「やり取り型」などの標的型攻撃メールへの対応を訓練するためのソリューションサービスです。標的型攻撃によって送られるメールは誰か一人が開くだけでもシステムへの侵入を許してしまうシビアなものです。
自社社員のセキュリティ意識を高めるためにも、標的型攻撃メール訓練サービスを活用して定期的な訓練を行いましょう。
提供社名:株式会社アズジェント
Check Point SandBlastは、未知のマルウェアへの対策やメール無害化機能を有したセキュリティソリューションです。サンドボックスを利用して侵入を試みるプログラムを検出したり、怪しいファイルが添付されているメールを安全な形に再構成し、ユーザーに転送することができます。
提供社名:サイエンスパーク株式会社
NonCopy2は、主に出口対策に重きをおいた標的型攻撃対策ソリューションです。フォルダ制御機能により該当箇所に設置されているファイルのフォルダ外への移動を禁止したり(編集・閲覧は可)、ファイルの暗号化やコピーガードによって情報の漏洩を防ぐことができます。
提供社名:キヤノンシステムアンドサポート株式会社
SubGateを導入すれば、社内システムへの攻撃防止・ループの検知・ARP-Spoofing攻撃(※参照)の防止といったセキュリティソリューションを得ることができます。有害なトラフィックなどのセキュリティリスクを自動で検出および遮断してくれるため、システムのセキュリティレベルを大きく向上させることができるでしょう。
※ARP-Spoofing攻撃・・・二者間で送受信されるパケットの内容を盗む攻撃のこと
提供社名:エフセキュア株式会社
ビジネス スイートでは、エンドポイントにサンドボックスを設置することで未知の脅威からシステムをガードします。エンドポイントとはネットワークの末端のデバイスのことであり、会社であればデスクトップPCやタブレット、スマホが該当するでしょう。
それにより、ウイルスやマルウェアといった脅威がエンドポイントに届くまでに検出し、排除されることが期待できます。
提供社名:ソフトバンク・テクノロジー株式会社
McAfee SIEMは、ネットワーク機器などのログを一元管理しリアルタイムで脅威を検出可能なソリューションシステムです。複数のログを総合的に分析することで、単一機器のログでは見えなかったリスクをあぶり出すことができ、システムのセキュリティレベルの向上が見込めるでしょう。
提供社名:アイマトリックス株式会社
matriXgateは、国内市場シェアNo.1のアプライアンス型セキュリティシステムです。通信キャリアから一般企業まで幅広い導入実績を誇ることや、国内4,000万メールボックスを保護していることからもその信頼性がうかがえるでしょう。
WebとMailのフィルターが1つにまとめられているため、導入や管理が容易なのも特長です。
提供社名:ソフトバンク・テクノロジー株式会社
McAfee Advanced Threat Defenseはマルウェアによる標的型攻撃を対策するセキュリティソリューションです。マルウェアに対して静的・動的両面から解析を行い、巧妙に仕掛けられているマルウェアも見逃すことなく検知してくれます。
McAfee社のゲートウェイセキュリティと連携させれば、システムへの侵入や感染を防ぐこともできます。
提供社名:株式会社アズジェント
セキュリティ・プラス セキュア・ドックはIPSやファイアウォールを通過したマルウェアを検知し、脅威の早期発見を促進するサービスです。上述した通り、攻撃者の侵入を100%防ぐのは大変難しいものがあるため、セキュリティ・プラス セキュア・ドックのようなサービスを活用し、定期的にセキュリティリスクの診断を行う必要があるでしょう。
提供社名:ゾーホージャパン株式会社
EventLog Analyzerは、あらゆるログをエージェントレスで管理できるシステムです。さまざまなアクセスログを解析することでシステムへの侵入を感知することができ、脅威を未然に防ぐことができるでしょう。
EventLog Analyzerには、ログの一元管理だけではなく、危険の兆候を発見しアラートで知らせる機能も搭載されています。
提供社名:NTTテクノクロス株式会社
標的型攻撃はメールが起点となることも多いのですが、CipherCraft/Mail 標的型メール対策を導入すれば不審なメールを隔離してくれます。それだけではなく、隔離されたメールの不審点を分析し、ユーザーに注意を促した後、その対処をユーザーが選択することも可能です。
また、定期的に不審なメールに似せたものをユーザーに送信し、その対応を学習できる機能も搭載されています。
提供社名:ソフトバンク・テクノロジー株式会社
FireEyeは、従来のサンドボックス型のソリューションでは対策が難しかったマルウェアや複合攻撃の検出や解析に対応している総合対策ソリューションです。標的型攻撃に対して圧倒的な検知力を誇るだけでなく、FireEye Dynamic Threat Intelligenceクラウドを通して世界中のFireEyeアプライアンスと情報共有し、システムのセキュリティレベルを強化してくれます。
提供社名:株式会社TOKAIコミュニケーションズ
OneOfficeメールソリューションは、標的型攻撃メールやランサムウェアに対応しているメールソリューションです。AIやサンドボックスを用いたウイルス検索エンジンを搭載しており、外部からのメール攻撃が行われた際でもサーバ側で脅威を排除することができます。
それによりメール利用者の元には安全性が確保されたものが届くため、セキュリティの人的依存を減少させられます。
提供社名:株式会社ピーエスアイ
CheckPointサンドブラストを導入すれば、ネットワークに送られてきたファイルをインターセプトし、不審なファイルを仮想環境で解析してくれます。解析された結果不正な動作を示したものにはフラグがつけられ、Check Point ThreatCloudに情報が送信されます。
それを共有することで、シグネイチャ(※参照)として脅威を遮断することができるでしょう。
※シグネイチャ・・・ウイルスやマルウェアなど、通常とは異なる動作を行うプログラムが検知され記録されたパターン
提供社名:株式会社ロケットワークス
イージスは低コストで導入可能なクラウドファイアウォールです。イージスを導入すれば外部からのサイバー攻撃に対してリアルタイムで監視を行えるため、不正な攻撃を探知・遮断することができます。
また、追加料金なしでリアルタイムに攻撃遮断報告を受けたり、毎月の月次報告を受けられるのも特長の1つです。
提供社名:株式会社ピーエスアイ
DarkTraceは通常とは一風変わったセキュリティソリューションであり、導入したネットワークの生の動きを観察・収集します。そこから数学理論に基づいてネットワークの情報をモデル化・学習・蓄積し、セキュリティレベルの向上に役立てます。
たとえば、デバイスが通常と異なった動作を行った際に関係者にアラートで知らせるなどが挙げられます。
提供社名:株式会社ケイティケイソリューションズ
@Securemail Plus TAPは標的型攻撃メールに対応した対策ソリューションです。メールに添付されている不審なファイルやURLをサンドボックス上で検証し、不正なアクセスや情報の漏洩を防ぎます。
メールに記載されているリスクの高いURLを踏んでしまった場合は警告が表示されアクセスがブロックされるため、ユーザーはインターネットを安全に利用することが可能です。
提供社名:ゾーホージャパン株式会社
ADAudit Plusはログの集計と可視化に特化したセキュリティソリューションです。ADAudit Plusを導入すれば不適切なイベントの発生やメッセージの表示を検知しリアルタイムにアラートで通知することができます。
それにより、不意のセキュリティリスクを大きく軽減することができるでしょう。
提供社名:ゾーホージャパン株式会社
セキュリティアタックの1つに、インストールされているOSやアプリケーションの脆弱性をついて侵入するというものがあります。それらはOSやアプリケーションを適切にアップデートしていれば避けられるものですが、全てのソフトを適宜アップデートするのはなかなか骨が折れるのではないでしょうか。
Desktop Centralを活用すれば200種類を超えるパッチを一元管理でき、脆弱性リスクを軽減させることができます。
提供社名:ゾーホージャパン株式会社
Password Manager Proは、特権IDの適切な運用管理をサポートするサービスです。特権IDの管理を自動化するだけでなく、特権IDを使用してアクセスしている様子を録画するなど、特権IDにまつわるセキュリティの内部対策を大きく支援してくれます。
場合によっては、外部ではなく内部の人間に悪意があるケースもあります。操作画面を録画したり操作履歴を残すことによって、内部の人間による漏洩を防ぐことができるでしょう。
提供社名:株式会社ジャパンコンピューターサービス
SOPHOS Intercept Xは、ディープラーニング型AIを活用した次世代型のエンドポイントセキュリティソリューションです。マルウェアは日々進化しているため、シグネイチャによる対応では未知の脅威を防ぎきれない可能性があります。
ディープラーニング型AIを搭載したSOPHOS Intercept Xを活用すれば、未知のマルウェアの危険性をその場で判断し、システムを適切に保護してくれることが期待できます。
提供社名:ゾーホージャパン株式会社
Firewall Analyzerはシステムの内部対策に適したログ管理サービスです。標的型攻撃の内部対策の1つとして「ログ監視」が挙げられますが、Firewall Analyzerを導入すればファイアウォールや各ネットワーク機器のログを一元管理することが可能です。
収集されたログを分析すれば、ネットワークの弱点や外部からのアクセス動向を掴むことができるでしょう。
提供社名:株式会社 USEN ICT Solutions
セキュアWebゲートウェイサービスは、主にWebセキュリティに関するリスクを軽減してくれるセキュリティサービスです。サンドボックスによる標的型攻撃への対策や入口・出口対策、Webアクセスの可視化などの機能が搭載されており、Webを利用した情報漏洩リスクに幅広く対応しています。
標的型攻撃とは?
まずは標的型攻撃に関して詳しく見ていきます。標的型攻撃とは、一体どのような意味をもつ言葉なのでしょうか。
標的型攻撃の目的
標的型攻撃の目的は、「特定の個人や法人を攻撃すること」であると言われています。従来のサイバーアタックは攻撃対象を特定せず、仕掛けた罠に引っかかった人や企業をランダムに対象とするものでしたが、標的型攻撃はまず明確にターゲットを定め、攻撃を行います。
特定の個人や法人を標的にする動機としては、恨みや主張の不一致などが挙げられますが、動機を完全に特定することはできません。ある意味、「ターゲットにされたことそのものが不運である」という見方もできるでしょう。
標的型攻撃の手順
標的型攻撃の厄介なところは、「攻撃のためにあらゆる方法が用いられる可能性がある」ことです。対策手法が広範囲に渡ることが予想されるため、全方位に気をつける必要性が生じます。
しかし、多くの標的型攻撃は下記のような流れに沿って行われることが多いです。手口をしっかりと学び、然るべき対策を行いましょう。
ただ、攻撃者の目的はあくまでも「標的を攻撃すること」にあるため、下記手順以外に有効なものがあれば、そちらが優先されることになるでしょう。
手順①初期潜入段階
初期潜入段階において、攻撃者は標的型攻撃メール添付マルウェアを送信したり、サーバの脆弱性をついてシステムへの侵入を試みます。一度でもマルウェアに感染してしまうと攻撃者はそれを踏み台にしてシステムの機密情報にアクセス可能となってしまうため、各人が不明確なプログラムは開かない、相手の身元をしっかりと確認するなどの対策が重要になるでしょう。
手順②攻撃基盤構築段階
システムへの侵入を許してしまうと、次に攻撃基盤を構築するためにバックドア型不正プログラム(※参照)が標的の端末に感染します。バックドア不正プログラムを感染させることで外部からシステム侵入への道筋が開くことになり、攻撃者が機密情報にアクセスする基盤が整います。
※バックドア型不正プログラム・・・所有者やユーザーに気づかれないようにPCを操作するためのプログラム
手順③システム調査段階
バックドア型不正プログラムを感染させることで、攻撃者はシステム内部を自由に行き来することができるようになります。次段階での攻撃者の行動は、システム内における機密情報の在り処を調べ、最終的にどのような攻撃を行うかの策定といったところでしょう。
手順④攻撃最終目的の遂行段階
標的型攻撃の最終プロセスは、収集した情報を外部窃取することです。機密情報を抜き取られてしまうことによる被害は個人や企業によって異なりますが、少なくない損失が生じることは想像に難くありません。
得た情報をどのように活用するかは攻撃者次第になるため、場合によっては復旧不可能な被害が生じてしまう可能性もあります。
標的型攻撃の三種類の対策とは?
標的型攻撃に対処するためには、どのような点に注意すればよいのでしょうか?ここでは、標的型攻撃を防ぐための対策を3つ解説します。
入口対策
セキュリティの基本としては、まず入り口対策が挙げられます。入り口対策とは、文字通り攻撃者をシステム内部に侵入させないようファイアウォールやスパムフィルターに力を入れる手法です。
入り口の段階で侵入を防ぐことができれば、攻撃者はシステムに手出しができません。しかし、現実問題として「絶対に侵入されないシステム」を構築するのは大変難しく、入り口対策には正直なところ限度があります。
内部対策
内部対策は、「ある程度侵入されるのは覚悟した上で、情報を持ち出されないように監視する」手法です。上述した通り、「絶対に侵入されないシステム」を構築するのは困難を極めるため、侵入されることを前提に対策を行う手法になるでしょう。
内部対策の例としては、ログの監視やファイルの暗号化が挙げられます。アクセスログを監視しておけば権限のない侵入者を発見することができ、仮にファイルを窃取されても暗号化しておけば内部を盗み見られる可能性を下げることができます。
出口対策
出口対策も内部対策と似たような考え方で、「侵入されることを前提に」対策を行うものになります。具体例として、サンドボックス(※参照)型の標的型攻撃対策ソリューションを導入したり、ファイアウォールやIPS(※参照)を使用して内部から外部への通信を制限するなどが挙げられるでしょう。
出口対策を行う上で大切なのは、「攻撃の成功確率を下げる」ことです。攻撃者の侵入を完全に防ぐことが難しい以上、侵入された後のデータの持ち出しをどのように阻害するかという点を重視することが大事です。
※IPS・・・不正侵入防止システムのこと。異常な通信を検知して通知したり、通信を遮断するシステム
※サンドボックス・・・未知のウイルスやマルウェアの挙動を検知するために作られる、攻撃されても問題ない仮想的な環境のこと
自社の弱点をカバーする検知機能を選ぶ
「標的型」の名前は、最初から特定の相手(企業や政府機関)に不正プログラムを送り、目標を達成させことに由来しています。2005年ごろから見られるようになった脅威で、世界各国の軍事・防衛関連企業や官公庁、大使館などを繰り返し攻撃してきました。その手口を知ると同時に、自社の弱点を分析し、必要となる検知技術を選択しましょう。
- 敵を知り己を知る
-
日本年金機構の情報漏えい事件のきっかけは「厚生年金基金制度の見直しについて(試案)に関する意見」という、極めてもっともらしいタイトルの添付付きメールでした。その添付ファイルをうっかり開いてしまったことから、ウィルスに感染してしまったのです。
IPAは標的型攻撃のステップに7段階があるとしています。
- 1.計画立案
- 2.攻撃準備
- 3.初期潜入
- 4.基盤構築
- 5.内部侵入・調査
- 6.目的遂行
- 7.再侵入
このステップを元に、自社に欠けている対策を見付けましょう。自社内で無理であるならば、アセスメントサービスをメニューに用意しているツールもあります。それを利用して自社の弱点を見付け出します。
- 主な検知機能
-
ツールに搭載されている代表的な検知機能を紹介します。自社の現状を分析して、ここから必要な機能を検討しましょう。
- サンドボックス
- 実害を及ぼさない仮想化技術を利用して、疑わしいソフトウェアやファイルの「振る舞い」を確認し検知します。
- DPI制御
- IPパケットのデータ部分の情報を基に、フィルタリングなどの処理方法を決め検知します。
- プロトコル制御
- さまざまなプロトコルに対して、アクセス許可/禁止設定を行います。
- 振る舞い検知
- プログラムの挙動を常時監視し、正規プログラムにはない不審な挙動を発見し、検知する機能です。「ヒューリスティック分析」「ジェネリック検知」とも呼ばれます。
- 偽造メール検知
- 発信元を偽って送られてくるメール(なりすましメール)を検知します。
製品のタイプを選ぶ
標的型攻撃対策ツールにはいくつかのタイプがあります。それを確認して、ツールを選択します。複数のタイプに属するツールもありますし、トータルな機能を備えているタイプもあります。
メールセキュリティ
受送信されるメールを監視するタイプです。フィルタリングにより、スパムメールやウィルス添付メールをブロックします。入口・出口対策に役立ちます。
ファイアウォール:
ファイアウォールや次世代ファイアウォールをベースにしたツールです。ファイアウォールは許可されていない端末やサーバからのアクセスを拒否します。次世代ファイアウォールはWebアプリケーションへの攻撃にも効果があります。
マルウェア対策:
マルウェアとはウィルス、ワーム、スパイウェアなどの悪意を持ったソフトウェアのこと。このマルウェアの侵入や関連ファイルなどを監視するツールです。
IPS/IDS
IPS/IDSをベースに標的型攻撃を検知・遮断するツールです。
ログ管理
アクセスログを監視し、標的型攻撃を検知・通知するツールです。実害の有無に関係なく、後から攻撃の痕跡を見付けることができます。ログは感染PCの特定にも役立ちます。
UTM
UTM(統合脅威管理)をベースにしたツールです。総合的な標的型攻撃対策に対応します。
標的型攻撃は世間で騒がれている攻撃です。気の付かない間に攻撃されていることも多いため、十分な備えが求められます。
まとめ
「標的型攻撃対策ツール」と一口にいっても、搭載されている機能や特長はまちまちです。マルウェアやウイルス対策に特化しているものもあれば、ログ監視に特化しているものもあり、さらには全方位的な機能が搭載されているサービスもあります。
標的型攻撃は方法を問わず幅広い攻撃手法が想定されるため、広範囲型のサービスを導入するにこしたことはありません。しかし、広範囲型のものは特化したサービスを比べると専門性に欠けている可能性もあるため、できれば総合的に判断したいところです。
それぞれの製品の違いを学び、自社にあったツールの導入を心がけましょう。
