標的型攻撃対策ツールで解決できる企業課題

標的型攻撃対策における３つの企業課題

課題1.　侵入を防止したい - 入口対策

標的型攻撃はマルウェアの侵入から始まります。標的型攻撃対策は、この侵入を防ぐのが最も効果的と考えられ、多くの対策ツールが用意されています。

マルウェアの侵入は主に2つのパターンがあります。1つが「標的型メール攻撃」です。偽装されたメールを送りつけ、添付ファイルを開くとマルウェアの活動を開始する攻撃です。 社員に「標的型メール攻撃」について説明していても、気付くことが難しいのが現状です。

もう1つが「水飲み場型攻撃」です。ターゲットとなる個人や企業の会社員が閲覧するサイトを改ざんして、マルウェアを埋め込み、閲覧と同時に侵入する手口です。こうした手口からの攻撃を防ぐためのツールとしては、以下のツールがあります。

■ファイアウォール/次世代ファイアウォール

ファイアウォールは、パケットのヘッダ部分を精査し、IPアドレスやポート番号などが正常なものかをチェックして、不正なプログラムの侵入を防ぎます。次世代ファイアウォールでは、本文まで解析して、マルウェアの侵入を防ぐことができます。

■アンチスパム/アンチウィルス

ファイアウォールと並んで、必須とされている対策です。不正なメールを検知して隔離/削除します。

■IPS/IDS

ゲートウェイで登録済みの不正パターンに一致したものを防ぐのがIPS、アラートやレポートで検知を報告するのがIDSです。

■UTM

プロキシサーバ、L7ファイアウォール、ユーザー認証、URLフィルタリング、アンチウィルス、IPSなど複数のゲートウェイで統合的な防御機能を備えています。

■Webフィルタリング／URLフィルタリング

不審なWebサイトへのアクセスを禁止します。水飲み場型攻撃に有効です。

課題2.　侵入を拡大したくない - 潜伏期間対策

水際（ゲートウェイ）で防ぎきることができずに、侵入してしまったマルウェアを検出し、活動を阻止する手段として、統合ログ管理ツールが有効です。従来と異なる不審な動きをすばやく検知し、いち早く動きを阻止します。攻撃の準備段階で捕まえる手段となります。

ログ管理ツールはすでに数多く提供されており、既存のネットワーク機器にもログ出力の機能が備えられているので、紹介済みのファイアウォール、IPS/IDS、UTMでもログを出力できます。しかし、これら個々の機器から出力されるログは膨大な量になりますし、形式も異なります。そこで、必要となるのが、これらのログをまとめて監視できる統合的な管理ツールです。

これは、異常を発見した場合にアラートを発生し、担当者に対処を求めます。もっとも、既存のサーバでこれらの膨大な量のログ監視を行うとリソースに大きな負担を与えてしまうので、そういうときのための専用のアプライアンスも用意されています。

課題3.　情報を流出させたくない - 出口対策

出口対策では機密情報などの重要な情報の流出を防止します。従来は、入口対策が重視されがちでしたが、現在では出口対策の方が重視されつつあります。ある程度入ってきてしまうのはやむを得ないものとして、逆に情報が外部へ流出することを防ごうという考え方です。

出口対策には2つのパターンがあります。1つは外部との連絡を遮断することです。ネットワークに入り込んだマルウェアは、外部からの指示で情報の流出を図ろうとしますが、その指示を拒絶します。もう1つは、文字どおり情報流出の防止です。機密情報の転送を未然に検知して、流出を防止します。

■次世代ファイアウォール

入口対策と同じ機器です。ゲートウェイでパケットの中味の詳細をチェックし、不正なコードを発見したら、流出を遮断します。

■UTM

これも入口対策と同じです。外部からの不正な情報の侵入をキャッチし、流出を食い止めます。

■DLP（Data Loss Prevention）ツール

機密情報を特定し、物理的に送信や流出を防ぎます。氏名、住所、クレジットカード番号などの個人情報や業務上の機密書類のコピー、メール添付、画面キャプチャ、印刷ができないようにします。内部犯行防止策としても有効です。

標的型攻撃には2重3重の対策が必要です。しかし、それでも100％とはいえないのが実情です。いま一度対策を再確認しましょう。