標的型攻撃対策ツールで解決できる3つの課題
標的型攻撃には入口・潜伏期間・出口の3つの段階での対策が課題です。課題に対し標的型攻撃対策ツールではどのようなことができるのか解説していきます。
課題1. 侵入を防止する - 入口対策
標的型攻撃はマルウェアの侵入から始まります。標的型攻撃対策は、この侵入を防ぐのが最も効果的と考えられ、多くの対策ツールが用意されています。マルウェアの侵入は主に2つのパターンがあります。1つが「標的型メール攻撃」です。
偽装されたメールを送りつけ、添付ファイルを開くとマルウェアの活動を開始する攻撃です。社員に「標的型メール攻撃」について説明していても、気付くことが難しいのが現状です。
もう1つが「水飲み場型攻撃」です。ターゲットとなる個人や企業の会社員が閲覧するサイトを改ざんして、マルウェアを埋め込み、閲覧と同時に侵入する手口です。
標的型攻撃対策ツールでは、標的型攻撃メールの検知や隔離を行います。メール本文のURLや添付ファイルを検査し、不正なメールの検知や隔離を行い、自社のPCがマルウェアに感染するのを防ぎます。また、マルウェア感染源となる悪意あるWebサイトへのアクセスやファイルのダウンロードも制御してくれます。
課題2. 侵入を拡大したくない - 潜伏期間対策
水際(ゲートウェイ)で防ぎきることができずに、侵入してしまったマルウェアを検出し、活動を阻止する手段として、統合ログ管理ツールが有効です。従来と異なる不審な動きをすばやく検知し、いち早く動きを阻止します。攻撃の準備段階で捕まえる手段となります。
標的型攻撃対策ツールには社内のサーバや端末に潜伏しているマルウェアの検出や、感染経路の調査・確認を行ってくれるものもあります。また、潜伏期間中に感染範囲を広げようとするマルウェアの挙動を確認して、感染している端末を特定します。今後の対策方針の指針も提出してくれるツールもあり、潜伏期間対策にも有効です。
課題3. 情報を流出させたくない - 出口対策
出口対策では機密情報などの重要な情報の流出を防止します。従来は、入口対策が重視されがちでしたが、現在では出口対策の方が重視されつつあります。ある程度入ってきてしまうのはやむを得ないものとして、逆に情報が外部へ流出することを防ごうという考え方です。
出口対策には2つのパターンがあります。1つは外部との連絡を遮断することです。ネットワークに入り込んだマルウェアは、外部からの指示で情報の流出を図ろうとしますが、その指示を拒絶します。
もう1つは、文字どおり情報流出の防止です。機密情報の転送を未然に検知して、流出を防止します。標的型攻撃対策ツールは、不正な通信を検知すると外部とのアクセスを遮断するため、情報流出を防ぐことができます。
5つの他のツールでできる入口対策
侵入を防ぐための標的型攻撃対策ツール以外のツールをご紹介していきます。
1.ファイアウォール/次世代ファイアウォール
ファイアウォールは、パケットのヘッダ部分を精査し、IPアドレスやポート番号などが正常なものかをチェックして、不正なプログラムの侵入を暗号化トラフィックなどの既知および未知の脅威を検出し防ぎます。
次世代ファイアウォールでは、本文まで解析して、マルウェアの侵入を防ぐことができます。
2.アンチスパム/アンチウィルス
スパムメールへの対策を行うツールです。ファイアウォールと並んで、必須とされている対策です。不正なメールを検知して隔離/削除し、無差別に送られてくるスパムメールから個人や企業を守ります。
3.IPS/IDS
ゲートウェイで登録済みの不正パターンに一致したものを防ぐのがIPS、アラートやレポートで検知を報告するのがIDSです。IDSは不正侵入検知システムともよばれ、通信を監視することにより異常があった場合に、通知を送ることにより対処をするきっかけになります。
一方、IPSは不正侵入防止システムとも呼ばれ、IDSより一歩進んで、異常な通信があれば、管理者へ通知するだけにとどまらず、その通信をブロックするところまで動作します。
4.UTM
プロキシサーバ、L7ファイアウォール、ユーザー認証、URLフィルタリング、アンチウィルス、IPSなど複数のゲートウェイで統合的な防御機能を備えています。複合的なセキュリティ対策を施すことで、管理・運用の負担を軽減でき、セキュリティ対策の一元化ができます。
5.Webフィルタリング/URLフィルタリング
職務上、閲覧するのに不適切なサイトへのアクセスをブロックします。ツールが悪意ある誘導先のWebサイトや不審なWebサイトへのアクセスを自動的に禁止するため、水飲み場型攻撃に有効です。
3つの他のツールでできる出口対策
情報の流出を防ぐために、どのような対策ツールが有効なのか、標的型攻撃対策ツール以外のツールをご紹介していきます。
1.次世代ファイアウォール
入口対策と同じ機器です。ゲートウェイでパケットの中味の詳細をチェックし、不正なコードを発見したら、流出を遮断します。
次世代ファイアウォールでは、アプリケーションの可視化や制御が可能なため、外部からマルウェアに感染した端末の制御や情報搾取を行うために利用されるアプリケーションをブロックする出口対策に有効です。
2.UTM
UTMも入口対策と同様に出口対策にも有効です。。外部からの不正な情報の侵入をキャッチし、流出を食い止めます。多層防御を施すことにより入り口を突破された場合でも、外部に情報がもれることを防ぎます。
3.DLP(Data Loss Prevention)ツール
機密情報を特定し、物理的に送信や流出を防ぎます。氏名、住所、クレジットカード番号などの個人情報や業務上の機密書類のコピー、メール添付、画面キャプチャ、印刷ができないようにします。内部犯行防止策としても有効です。標的型攻撃対策における課題をふまえて最適なツールを選ぼう
標的型攻撃には2重3重の対策が必要です。しかし、それでも100%とはいえないのが実情です。標的型攻撃対策ツールで解決できる課題には、入口対策、潜伏期間対策、出口対策の3つがあります。
どれを疎かにしても脅威が残るため、自社に適切なツールを使用し攻撃を防ぎましょう。標的型攻撃対策ツールなら入口から出口までそれぞれ対策することができます。標的型攻撃の脅威から自社を守るため、セキュリティ課題を見直し、いま一度対策を再確認することをおすすめします。
標的型攻撃対策ツールの製品について詳しく知りたい方には、下記の記事がおすすめです。
