標的型攻撃対策シリーズ「出口対策」編

被害の拡大を防ぐ「出口対策」

標的型攻撃の対策に、新しい考え方や対策の変化が見られるようになってきました。これまでの入口での対策よりも出口での対策を重視する方向に変わってきました。

標的型攻撃の対策には、「入口対策」と「出口対策」があります。入口対策としては、アンチウィルス・アンチスパム製品の導入、ファイアウォール、ワンタイムパスワードの導入があります。これらは主にゲートウェイでウィルスやマルウェアなどの侵入を防止する対策です。

これに対し、出口対策とは、いったん侵入してしまったマルウェアを早期に発見し、マルウェアからの情報漏えいの防止を重視する対策です。この背景には、未然にすべての攻撃を防ぐことが不可能になっている現実があります。悪意ある犯罪者は次から次へと思いもよらない攻撃手段をしかけてくるので、技術的あるいは物理的な防御策を講じても追いつかず、また、人為的なミスもあるので防ぎ切るのは難しいのが実情です。

そこで、侵入された場合、早期に発見して被害を未然に防ぐ仕組みが求められるようになったのです。 出口対策は確実に行うことで、社員やお客様の個人情報の流出を防ぐことができます。また、自社の設備を踏み台にされた被害の拡大も防止できます。この被害拡大の防止を目的とした「拡散防止型セキュリティ」という考え方も生まれています。

出口対策の主なツール

いったん侵入してしまったマルウェアへの対策としては、「早期に発見する」「外部からの指令を遮断する」「侵入の拡大を防止する」の3つが考えられます。順に解説しましょう。

早期に発見する

防ぎ切れなかったマルウェアは、放置するわけではありません。早期に発見して駆除し、システムを復旧させることが重要です。ここで必要となるのが、社内システムの変化をキャッチする統合的なログ管理ツールです。

ログ管理ツールは多くの種類が提供されていますが、ファイアウォール、ルータ、プロキシサーバ、UTMなど各種セキュリティツールには必ずログ出力機能があります。これらを確認することで、不正なプログラムの侵入を把握できます。

しかし、すべての機器からログを取るとなると、膨大な量になりますし、ログの形式もさまざまなので、目視で異常を発見することは極めて困難です。これは、不正プログラムを早期発見する大きなハードルとなっていました。

そこで、提供されているのが、統合的なログ管理ツールです。企業内にある各種機器から出力されるすべてのログを収集し、管理・監視できるツールです。リアルタイムにログをモニタリングし、怪しいログを発見した場合は、アラートを発生し、管理者に確認を求めます。

外部からの指令を遮断する

マルウェアの目的は外部からの指令を受けて、企業や団体の機密情報を盗み出すことにあります。この指令を遮断することは、マルウェアの動きを無効にするうえで重要な対策となります。具体的には以下のようなツールの活用が考えられます。

●L7ファイアウォール／次世代ファイアウォール：

ゲートウェイでパケットの中味の詳細をチェックし、不正なコードを発見して遮断します。アプリケーションごとに利用ポリシーを設定することも可能です。

●統合型セキュリティツール（UTM）：

プロキシサーバ、L7ファイアウォール、ユーザ認証、URLフィルタリング、アンチウィルス、IPSなどのセキュリティ機能を利用して、不正な動きを発見します。入口対策だけでなく、出口対策にも有効です。

●DLP（Data Loss Prevention）ツール：

特定した機密情報を物理的に送信したり流出することを防ぎます。氏名、住所、クレジットカード番号などの個人情報や業務上の機密書類を、コピー、メール添付、画面キャプチャ、印刷することができないようにします。内部犯行防止策としても有効です。

侵入の拡大を防止する

マルウェアのさらなる侵入や拡大を防止するために、以下のようなツールの活用が考えられます。

●パーソナルファイアウォール：

パソコンに侵入したマルウェアが社内ネットワークに拡大することを防ぎます。

●ネットワークの分離設計：

ネットワークを分離してセグメント間通信を必要最小限に制限します。これもマルウェアの拡大を防止できます。

標的型攻撃の対策は各ツールの有機的な活用が求められます。標的型攻撃への対策の棚卸しと強化をお勧めします。