標的型攻撃対策ツールで解決できる企業課題

標的型攻撃対策における３つの企業課題

課題1.　侵入を防止する入口対策

標的型攻撃はマルウェアの侵入から始まります。標的型攻撃対策は、この侵入を防ぐのが最も効果的と考えられ、多くの対策ツールが用意されています。マルウェアの侵入は主に2つのパターンがあります。1つが「標的型メール攻撃」です。偽装されたメールを送りつけ、添付ファイルを開くとマルウェアの活動を開始する攻撃です。 社員に「標的型メール攻撃」について説明していても、気付くことが難しいのが現状です。

もう1つが「水飲み場型攻撃」です。ターゲットとなる個人や企業の会社員が閲覧するサイトを改ざんして、マルウェアを埋め込み、閲覧と同時に侵入する手口です。

課題2.　侵入を拡大したくない - 潜伏期間対策

水際（ゲートウェイ）で防ぎきることができずに、侵入してしまったマルウェアを検出し、活動を阻止する手段として、統合ログ管理ツールが有効です。従来と異なる不審な動きをすばやく検知し、いち早く動きを阻止します。攻撃の準備段階で捕まえる手段となります。

ログ管理ツールはすでに数多く提供されており、既存のネットワーク機器にもログ出力の機能が備えられているので、紹介済みのファイアウォール、IPS/IDS、UTMでもログを出力できます。しかし、これら個々の機器から出力されるログは膨大な量になりますし、形式も異なります。そこで、必要となるのが、これらのログをまとめて監視できる統合的な管理ツールです。

これは、異常を発見した場合にアラートを発生し、担当者に対処を求めます。もっとも、既存のサーバでこれらの膨大な量のログ監視を行うとリソースに大きな負担を与えてしまうので、そういうときのための専用のアプライアンスも用意されています。

課題3.　情報を流出させたくない - 出口対策

出口対策では機密情報などの重要な情報の流出を防止します。従来は、入口対策が重視されがちでしたが、現在では出口対策の方が重視されつつあります。ある程度入ってきてしまうのはやむを得ないものとして、逆に情報が外部へ流出することを防ごうという考え方です。

出口対策には2つのパターンがあります。1つは外部との連絡を遮断することです。ネットワークに入り込んだマルウェアは、外部からの指示で情報の流出を図ろうとしますが、その指示を拒絶します。もう1つは、文字どおり情報流出の防止です。機密情報の転送を未然に検知して、流出を防止します。

入り口対策として攻撃を防ぐ5つの対策

侵入を防ぐための対策ツールがをご紹介していきます。

1．ファイアウォール/次世代ファイアウォール

ファイアウォールは、パケットのヘッダ部分を精査し、IPアドレスやポート番号などが正常なものかをチェックして、不正なプログラムの侵入を暗号化トラフィックなどの既知および未知の脅威を検出し防ぎます。次世代ファイアウォールでは、本文まで解析して、マルウェアの侵入を防ぐことができます。

2．アンチスパム/アンチウィルス

ファイアウォールと並んで、必須とされている対策です。不正なメールを検知して隔離/削除します。

3．IPS/IDS

ゲートウェイで登録済みの不正パターンに一致したものを防ぐのがIPS、アラートやレポートで検知を報告するのがIDSです。

4．UTM

プロキシサーバ、L7ファイアウォール、ユーザー認証、URLフィルタリング、アンチウィルス、IPSなど複数のゲートウェイで統合的な防御機能を備えています。

5．Webフィルタリング／URLフィルタリング

不審なWebサイトへのアクセスを禁止します。水飲み場型攻撃に有効です。

出口対策に効果的な3つの対策

情報の流出を防ぐために、どのような対策ツールが有効なのかをご紹介していきます。

1．次世代ファイアウォール

入口対策と同じ機器です。ゲートウェイでパケットの中味の詳細をチェックし、不正なコードを発見したら、流出を遮断します。

2．UTM

これも入口対策と同じです。外部からの不正な情報の侵入をキャッチし、流出を食い止めます。

3．DLP（Data Loss Prevention）ツール