脅威の分離、サイバー攻撃対策の現実解

サイバー攻撃に利用されるソフトウェアの脆弱性の数が年々増加傾向にあることに加え、攻撃手法の高度化により、マルウェアや攻撃の検知が難しくなってきています。状況把握と対応に主眼をおいたEDRも注目されていますが、組織やコストがネックとなり機能を生かしきれないという課題があります。一方、検知は行わずリスクを分離する「脅威分離型」アプローチにより、短期・低コストで大きな成果をあげた事例が出始めました。今回はこの「脅威分離型」アプローチに焦点をあてサイバー攻撃対策の現実解をご紹介します。

このところほぼ毎日のようにサイバー攻撃被害のニュースを目にします。ある調査によればサイバー攻撃によって全世界で失われる富は2022年には年間で6兆ドルにも達するとされ、日本でも経済産業省や総務省がセキュリティ投資に対する経営者の理解を高めるためにサイバーセキュリティガイドラインを発行するなどの啓蒙活動を行っています。しかし欧米と比べると、その投資の要であるCIOやCISO^※1の設置、セキュリティインシデントを早期解決するためのSOC^※2やCSIRT^※3の設置率ではかなり後れをとっています。

日本は横並びの意識が強く、社会的に影響の大きなサイバー攻撃被害が発生すると、同業種で一気に同じ様なセキュリティ対策を実施する傾向がありますが、セキュリティに関してはこの横並び意識は危険です。機密情報や個人情報を狙った攻撃は、同様の手法で業種横断的に行われることが多く、同業他社が被害にあったときには自社も既に攻撃されていることが多いのです。

また、重要インフラ企業でもないし金になる情報も扱っていないと高をくくってセキュリティ対策を怠るのも危険です。ランサムウェアや仮想通貨採掘マルウェアによる業務継続への影響、ビジネスメール詐欺による巨額の金融詐欺、取引先やグループ会社への攻撃の踏み台、マイナンバーなどの従業員の個人情報の窃取などはあらゆる組織に共通した脅威であり、実際に標的型攻撃の半分は中小企業に対して行われているからです。

今後、組織のセキュリティ対策は、業務継続への影響や情報資産に対する脅威に応じて優先順位をつけ確実に実施していく必要があります。また、泥棒が盗みに入りやすい家を下調べするのと同じように、サイバー攻撃者も攻略しやすい標的を狙います。同業他社と同じレベルを目指すのではなく、可能な限りのセキュリティ対策を実施した上で、さらに脅威情報にアンテナを張り、むしろ攻撃者や同業他社の上をいく対策の実施が理想です。

今までどの企業でも最低限の備えとしてファイアウォール、Webプロキシ／URLフィルター、IPS／IDS、アンチウィルス、PC資産管理ツール、暗号化ツールなどを導入してきましたが、日々高度化するサイバー攻撃に対して十分なセキュリティを提供できているとは言い難い状況です。サイバー攻撃に利用されるソフトウェアの脆弱性の数は年々増えており、正規のソフトウェアを隠れ蓑にしたファイルレス攻撃が検知を困難にし、Webアクセスの常時SSL化による検知機能の無力化など、個々のポイントセキュリティソリューションに対する課題は山積しています。

全ての攻撃を検知するのは不可能であるため、状況把握と対応に主眼をおいたEDR^※4が注目されていますが、セキュリティセンサーから出力される大量のアラートを分析、判断、対応できるSOCやCSIRTといった組織体制が整っているか、同等のサービスにお金を払える企業でなければせっかくの機能を生かしきれません。これに対して、脅威分離型アプローチは、検知は行わず、良し悪しに関わらず「リスクを分離」することでセキュリティを大幅に高めるというものです。

この脅威分離型アプローチにより1年半という短期間、しかも限られた予算で対策を行い、非常に高いセキュリティレベルまで押し上げた例があります。それは、サイバー攻撃などによりマイナンバーが流出することを防止するため、総務省のセキュリティガイドラインのもと、全国自治体によって行われた以下のような対策です。

文化も、規模も、個々のシステムの事情も異なる全国1,700以上の自治体がこれらを1年半でやり遂げるという一大プロジェクトは見事に成功し、その後、システムから住民情報が漏えいする事件は発生していません。実際に組織のマルウェア感染の8割以上がインターネットから入ってくると言われていますが、この事例の最大のポイントは、それらの脅威から守るべきシステムや情報資産を分離したことにより、感染リスクを8割以上潰したことにあります。次に、ファイルのやり取りによってマルウェアなどが入り込むことを防止するため、無害化（サニタイズ）を行い残りの2割弱の感染リスクを防止しました。あとは、内部犯行による情報漏えいですが、多要素認証の導入や操作ログの採取といった認証強化と抑止力によって防いでいます。

しかし、強力なセキュリティ対策である脅威分離型アプローチには利便性の低下という痛みが伴います。インターネットの閲覧が業務で必要な場合も、外部とのメールのやり取りも自分の端末ではなく共有のインターネット端末を使わなければならず、不便なことに加え、生産性低下は明らかです。そのため、業務のために仕方なく禁止されたデバイスやUSBメモリ、またはクラウドのファイル共有を使うといったシャドーITの引き金にならないとは言えません。そこで、一部の自治体では、利便性低下を防ぐために、VDIや仮想ブラウザ、メール無害化ソリューションを導入しました。

これらのソリューションによって、自分の端末を使いつつ、マルウェア感染などの心配なく、ブラウザやメールを利用できるようになります。自治体ならずとも高いセキュリティが必要な組織にとって脅威分離型アプローチは一考に値するのではないでしょうか。

以下にポピュラーな脅威分離型アプローチの方式を解説します。

１．リモート仮想マシンで分離
自分の端末から仮想デスクトップ（VDI）環境へリモート接続し、その中でメールやブラウジングを行います。仮想デスクトップ側が感染した際には、他の仮想デスクトップやIT資産に感染が広がらないように、ネットワークから分離します。難点は、ローカルとリモート、二つのデスクトップを使い分けるのに多少の慣れと手間がかかることと、利用者人数分の仮想デスクトップを動かすため、サーバやライセンスコストに加え、実装コストがかかります。そのため、自治体の中でこの仕組みが実装されているのはごく一部です。

２．リモートデスクトップサーバで分離
共有のOS環境をマルチセッションで利用できるので仮想マシンの半額程度のコストで環境構築が可能です。ただし、リモートデスクトップ側は場合によっては100ユーザーがインターネットを利用するアプリケーションを動かすため、ホストOSのマルウェア感染の可能性が高くなります。サーバの脆弱性対策を万全に行い、メールゲートウェイやWebフィルター系の製品と組み合わせて多層的にリモートデスクトップサーバを守る必要があります。

３．リモート仮想ブラウザで分離
仮想ブラウザサーバで個々のブラウザ用にコンテナを割り当て、ブラウジングします。コンテナの稼働負荷は仮想デスクトップとは比較にならないほど低いので、ハードウェアのコストはリモートデスクトップサーバと同程度となります。ブラウジングセッションが終わるとコンテナが破棄されるため、マルウェアが滞留せず、拡大する可能性は極小化されます。ただし、ローカルメーラーの添付ファイルのマルウェア対策には別の対策が必要です。

４．ローカル端末で分離
ローカル端末上にハイパーバイザやベンダーの独自技術に基づくサンドボックスを作成し、その中で実行されるアプリケーションの動作を制限します。ハイパーバイザなどでOSを複数立ち上げ、深いレイヤーからの分離にはそれなりのコンピューティングリソースが必要です。また、実行プロセスで分離する場合、他のプロセスへのアクセスが制限されるため、想定どおりにアプリケーションが動かないなど、稼働に影響が出やすく、導入前に分離するアプリケーションの稼働検証が必須です。

アシストは、上記3の方式にあたる「Ericom Shield」を販売しています。サイバーセキュリティ企業が集積するイスラエルのEricom社がリリースし、完全にセキュアなブラウジングを実現しつつ、使い勝手が良いという点でアナリストから高い評価を得ており、アメリカのITセキュリティの専門誌『Cyber Defense Magazine』が毎年発表しているアワード「InfoSec Awards 2018」において「次世代アンチマルウェア賞」を受賞しました。ブラウザの「タブ」単位でコンテナを割り当てるという最高の分離レベルを実現しています。コンテナ内の仮想ブラウザで実行された結果の画面ストリームがWebSocket通信でユーザー端末のブラウザに送られますが、WebSocketによる画面転送はEricom社が世界で初めて製品化したもので、転送時のパフォーマンスや日本語入力の面でも洗練されています。ユーザーは今までどおりローカルのブラウザのお気に入りからWebサイトを閲覧し、テキストのコピー＆ペースト、Cookieの保持、印刷、ファイルダウンロード（ファイルはEricom Shieldの内部で無害化した上でダウンロード）が可能です。これならば、ユーザーがシャドーITに走ることはないでしょう。

セキュリティ対策をヌケモレなく計画を立てて実践するには、NIST^※5のサイバーセキュリティフレームワーク（特定、防御、検知、対応、復旧）などに当てはめて考えることをお勧めしますが、包括的な対策を実装し、実際に運用できるのは潤沢な資金と人材を有するごく一部の限られた組織しかありません。さらに、どれだけお金をかけても、100%確実にリスクを削減することは不可能で（NSA^※6やセキュリティベンダーですらサイバー攻撃で被害を被っているのが現状です）、100%に近くなればなるほど1%を向上させるコストが高くなります。

今回ご紹介した脅威分離型アプローチの中でもリモート仮想ブラウザでの分離はコスト面とセキュリティ面をバランスよくカバー可能です。また、脅威分離型アプローチとポイントソリューションである検知型アプローチを共存させることもできますが、両方の導入はコスト面で現実的ではないため、分離と検知、どちらの方向性が適しているか、自組織のセキュリティ方針や体制によって判断することをお勧めします。


※1：CISO（Chief Information Security Officer）最高情報セキュリティ責任者
※2：SOC（Security Operations Center）セキュリティ監視を行う拠点
※3：CSIRT（Computer Security Incident Response Team）組織内の情報セキュリティ問題専門のインシデント対応チーム
※4：EDR（Endpoint Detection and Response）
※5：NIST(National Institute of Standards and Technology）米国国立標準技術研究所
※6：NSA（National Security Agency）米国国家安全保障局

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。