TOP>製品/サービス>課題から探す>【標的型攻撃対策】マルウェア侵入前提の「内部対策」とは

【標的型攻撃対策】マルウェア侵入前提の「内部対策」とは

標的型攻撃によるマルウェアの初期侵入は、もはや防ぎきれないと言われています。
そこで重要視すべきなのは、マルウェアの組織内侵入を前提とした「内部対策」です。ここではその手法について、対策の全体像とポイントをご紹介します。

標的型攻撃対策とは

標的型攻撃とは、特定の組織内の情報を狙って行われるサイバー攻撃の一種です。
右の図のように、殆どの場合、手口は共通しています。組織の従業員宛にメールを送ってマルウェアを組織内部に侵入させ、バックドアを開設してコマンド&コントロール(C2)サーバと通信しながらクライアントPCに拡散を繰り返し、より深く入りこみながら情報を抜き取ったり、システムの破壊行為を行います。



標的型攻撃のステップ

標的型攻撃の概要

目的 特定の組織内の情報を持ち出すこと
侵入の手段 偽装メールや偽装Webからのマルウェア感染
被害 重要情報の漏洩とそれに伴う「損害賠償」「対外的信頼の失墜」「刑事罰」
侵入防止策 ファイアウォールやIDS/IPS(不正侵入検知/防御システム)を適用してもすり抜けられる可能性があり、メールやWeb経由で人が介在する以上、侵入の完全阻止は不可能と言われている

標的型攻撃対策で重要視すべき「内部対策」とは

マルウェアの侵入はもはや防ぎようがない

2015年度の標的型攻撃メールの件数は前年比220%(3,828件)※と、ますます増加しています。また、マルウェアの初期侵入はファイアウォールや IDS/IPS(不正侵入検知/防御システム)を適用してもすり抜けられる恐れがあり、完全に阻止するのは不可能といわれています。
 ※ 参考:警視庁 「平成27年におけるサイバー空間をめぐる脅威の情勢について」より

このような背景からIPAでは、『「高度標的型攻撃」対策に向けたシステム設計ガイド』において、侵害の拡大防止と監視強化を目的としたシステム設計手法を推奨しています。マルウェアの侵入はもはや防ぎようがないことを前提に、侵入、攻撃に気づき状況の全体像を捉えながら、守るべきデータをどのような手段で攻撃者の手に渡らないようにするか、いわゆる「内部対策」が重要であるとしています。

「内部対策」のポイントは、定期的なモニタリングと多重防御

一般的な攻撃者の攻撃手法と流れから対策の全体像を分類すると、以下の図のようになります。侵入が100%防げないのが現実であれば、マルウェアの侵入状況を定期的に把握するモニタリングの仕組みを構築し、状況の全体像を捉えながら、侵害拡大や情報漏洩防止のため、守るべきデータに近い端末やサーバに対して、1つではなく多重の防御方法を組み合わせることが「内部対策」のポイントです。

<標的型攻撃対策におけるシステム設計 : 内部対策のポイントは定期的なモニタリングと多重防御>

内部対策のポイント

アシストでは標的型攻撃対策で重要視されている内部対策を中心に、運用性や実績から選定したソフトウェアをお客様の課題や現状の運用方法に合わせてご提案しています。

クライアントにおける対策

(1)マルウェア対策

エンドポイント型の標的型攻撃対策ソフトウェアです。多層化された検知エンジンにより、既知の攻撃だけではなく、未知の攻撃に対しても高精度で検知し、マルウェアを停止・駆除します。オフライン環境でも利用可能です。

マルウェア対策

ポイント:官公庁や重要インフラ企業での採用実績多数

(2)ネットワーク制御

端末からのインターネットアクセスは、社内ゲートウェイを必ず経由させます。これによりWEBからのマルウェア感染を軽減したり、社外ネットワーク経由での情報漏洩を防止します。

秘文

ポイント: 未対策の企業が多く、新たな抜け道対策として注目

(3)ネットワーク分離

インターネットアクセス用のブラウザを仮想環境で提供し、業務用端末から外部へのインターネットアクセス(HTTP通信)を禁止させ、業務用端末のインターネットアクセスを分離します。標的型攻撃の出口となるC2サーバとのインターネットアクセスを禁止することで攻撃を無効化します。

ダブルブラウザ・ソリューション

ポイント: 金融機関等での採用実績多数

サーバにおける対策

(1)特権ID管理、アクセス制御

特権IDをワークフロー申請とし、承認された場合のみ利用できるように制御します。ワークフローを経由しない重要サーバへのログインを一切禁止することで、万が一標的型攻撃によって特権IDを奪取された場合でも、不正なアクセスを防止します。

ポイント:金融機関等での採用実績多数/アシスト提供実績 250社以上

(2)暗号化

ファイルサーバのデータを暗号化し、Windowsのアクセス権限とは別に独自のアクセス権を設定します。ファイルサーバに対してアクセスできるのは、専用クライアントが導入されている端末のみに限定することで、Windowsの特権IDを奪取された際もデータの持ち出しリスクを軽減し、データが直接持ち出された際も、暗号化により情報漏洩を防止します。

ポイント:小規模から数万台規模まで採用実績多数/日本での採用実績は7,600社 790万ライセンス(2016年3月時点)/アシスト提供実績 1000社以上

モニタリング

(1)統合ログ管理/分析

ファイアーウォールやプロキシ、Active Directory等のログを自動収集し、一元的に管理します。マルウェアの侵入状況や、内部での拡散情報等をレポート出力します。
これにより、標的型攻撃の早期発見や、万一の時の原因特定を迅速にするとともに、入口・出口対策だけでは分からない、マルウェアの内部での拡散状況を把握します。

●C2サーバとの通信(=マルウェア感染)端末を、ファイアーウォールやプロキシのログを突き合わせることにより早期発見

マルウェア感染が疑われる端末を、「BlackDomainSensor」によりあぶり出しができます。

標的型攻撃対策について詳しく知りたい方へ(アシストにお任せください)

約40年前に日本に初めて汎用ソフトウェアを持ち込んだアシストは、これまで大手企業を中心に約20,000社のお客様とお取り引きをしています。独立系のパッケージ・ソフトウェアベンダーであり、特定メーカーに依存しないソフトウェア選定の目利き役として、最適なご提案と導入後の安定運用をサポートします。

セミナー

最新のセキュリティ対策について、普段よりお客様の現場に立ち合わせていただいている技術者が、事例やデモンストレーションを交えながら具体的にご紹介しています。セミナーのテーマや日程は、下記からご確認ください。

内容についてご不明な点や、最新の未公開事例、ソフトウェア選定においてお困りの点など、メールやご訪問による個別相談を承ります。ご希望の方は、下記からご連絡ください。

セキュリティに関するその他の課題

ページの先頭へ戻る