ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

攻撃者はエキスパート。
守る側は英知を結集し連携せねば勝ち目はない

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第2回】 2015年3月6日
著者・コラム紹介バックナンバー
previous page
6

 こうなると厄介で、動きを止めたマルウェアを発見するためには、パソコンのハードディスクの情報をひっくり返して調査するフォレンジック(証拠保全)対応が必要になる。つまり、いかにしてマルウェアがパソコンに侵入するのを食い止めるか、あるいは侵入したマルウェアを短時間で、しかも効率的に発見し、再侵入を防止しつつ完全に駆除できるか、これが評価のポイントになる。ここ1~2年で「エンドポイントセキュティ対策」の重要性が叫ばれだした背景はここにある。

 当社では2013年から、エンドポイントセキュリティ分野の対策技術について、マイクロソフト、FFRIと3社で共同研究を重ねてきており、先般その取組みを発表させていただいた。開発コード名はZAP(Zero day Attack Protection)である。

 名前の通りマイクロソフトの解析技術とFFRIのゼロディ攻撃の検出技術と、当社のセキュリティオペレーションを組み合わせることで、ゼロディ攻撃(公表される前の脆弱性を悪用して行われる攻撃)を防御する新しい付加価値の提案が出来る見込みが立っている。

 この仕組みの説明はややマニアックなので、文末にまとめて掲載したので興味のある方はご覧いただきたい。新しいセキュリティ対策として幅広い分野に応用できる技術として普及させていきたい。

セキュリティ対策の特効薬

 ここまで読んで頂いた皆さんには、お礼の気持ちを込めて、企業や組織のセキュリティレベルを飛躍的に向上させる特効薬「呪文」をお教えしたい。それは経営者のみが発することができるマジックワードである。

 経営者の皆さんには、他社のサイバー攻撃事案が起きた時に「うちは大丈夫か?」と聞いていただきたい。そして大丈夫な理由を聞いてあげてほしい。「セキュリティは良く分からないからよろしく頼む」は禁句である。そして説明する担当者に対して「なぜ?」と理由を求めるだけで答えは出る。もしも「大丈夫かどうか判りません」という主旨の回答であれば、経営者が自ら動けというサインだと受け止めてほしい。

< ZAP(Zero Day Attack Protection)の解説 >

 ZAPはマイクロソフトとFFRIと弊社による共同研究で開発した、日本独自のセキュリティ対策技術である。やや専門的な話になるので、前述の「エンドポイントセキュリティ」の図を見ながら読んでいただきたい。

 マイクロソフトのWindowsには、アプリが不具合を起こしてクラッシュした際に分析するWER(Windows Error Report)の仕組みがある。

 マイクロソフトではこのWERで集めた情報を分析して、セキュリティ面の脅威を分析するMTDS(Microsoft Thret Detection Service)を提供してきた。今回はFFRIのyaraiとWindowsOSが連携し、[1]マルウェアが動作不具合で誘発した際のクラッシュダンプファイルと、[2]FFRIyaraiが攻撃を止めた時点のメモリダンプを、MTDSの脅威分析ノウハウを活用して分析し、[3]実際に攻撃が行われたURLや攻撃コードを抽出して、[4]FFRIyaraiにフィードバックすることで、高効率で類似の攻撃を防御していく仕組みを実現した。[3]抽出した攻撃に関する情報は[5]セキュリティ対策装置にも入力することで、ゲートウェイセキュリティの先鋭化にも貢献するものである。

 現在はサービス開発の最終段階にあるが、標的型攻撃やAPT攻撃(下記参照)に対しては皆様のお役に立てるレベルに到達できると考えている。

(参考)APT攻撃について
 近年では国家等の組織の関与が疑われる、より高度な標的型攻撃として、APT(Advanced Persistent Threat)攻撃への警鐘が鳴らされている。IPA(独立行政法人情報処理推進機構)はAPTについて「脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗な攻撃」と説明している。またマカフィーは「純粋な意味での金銭目的、犯罪目的、政治的な抗議ではなく、国家の支持または資金援助によって特定の標的に対して実行されるサイバー上のスパイ行為または犯罪行為」と定義している。

previous page
6
IT&ビジネス
クチコミ・コメント

facebookもチェック

小山 覚
[NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。

情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧