○プロフィール 黒木直樹(くろきなおき) トレンドマイクロ株式会社 http://www.trendmicro.co.jp/ 上級セキュリティエキスパート
オフコンやファームウェアの開発を経て、1996年トレンドマイクロ入社。法人向けウイルス対策製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げ後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
では、この「Webからの脅威」から企業を守る為には、どのような対策をすれば良いであろうか? まず初めに、一般的なウイルス対策は必要である。インターネットの出入り口であるゲートウェイに、e−mail用の対策製品を導入し、外部から侵入するウイルス付きメールをブロックする。 クライアントPCには、クライアントに侵入したウイルスが実行される際にブロックする製品の導入が不可欠である。他に、ネットワーク内の不正パケットを検出する機器や、ミッションクリティカルな部門やセグメントには、検疫のソリューションも必要であろう。 更に、前述した「Webからの脅威」に対応する為に、3つのポイントをご紹介したい。 (1)「Webからの脅威」に対応したソリューション (2)パターンマッチングのみに頼らない検出方法の利用 (3)各地域、国に対応したソリューションを提供できるメーカーの選択
(1)「Webからの脅威」に対応したソリューション (図5)に示した様に、「Webからの脅威」に対応する為には、複数の技術を組み合わせて考える必要がある。インターネット上から企業に対して入り込む脅威は非常に多く、複雑な手法を取るため、インターネット > 企業ゲートウェイ > 企業内ネットワーク > エンドポイント(サーバ、クライアント)へと、脅威の数を確実に減らし、処置する必要がある。即ちこの図は、"漏斗(じょうご)"を表し、最上位のインターネットから、最下位のエンドポイントへと、その脅威を減らす。従って従来は、企業のウイルス対策の最前線は出入り口であるゲートウェイと言われていたが、現在では、インターネット上(In-the-Cloud)での対策も開発されている。 Webレビュテーション技術とは、世界中のWebサイトを監視し、そのサイトの信頼度を評価したデータベース情報(データベースには、ドメインの登録日、IPアドレスやサーバ名の変更履歴や、フィッシングサイト、不正プログラムの検出履歴な)を常に更新し保持しており、それらを総合的に判断してアクセスするWebサイトの危険度が評価し、アクセスそのものを制限する。従って、Webレビュテーション技術の利用により企業に侵入する「Webからの脅威」は大幅に軽減できる。 次に、Webレビュテーションに引っ掛からなかったサイトを、企業内のネットワークで、内容を検査(インラインスキャン)すると共に、ふるまいを分析し、疑わしきものを排除する。そして、それさえも通過したものを最後のエンドポイント、即ちクライアント対策製品で止める。 またこれらは、個々に動作するのではなく、各レイヤーで得た(学んだ)情報を他の関連するレイヤーにフィードバックして、お互いの精度を上げる構造になっている必要がある。図中の矢印を参照頂きたい。
(2)パターンマッチングのみに頼らない検出方法の利用 一般的に、ウイルスを発見するためには、予めウイルス対策会社が収集・分析してあるデータベースと、疑わしきファイルをマッチング(比較)することで、白黒の判定をする。しかし前述の通り、亜種が猛スピードで増えるとパターンマッチングのみの方法では追いつかない。従って、推論型エンジン(ヒューリスティック)や、ふるまい分析等の技術を組み合わせるソリューションが望ましい。また、前述のレピュテーション技術も積極的に利用したい。迷惑メールに対しては、メール配信元のIPアドレスの「評判」データベースを元に受信の可否を判断する。ウイルス配布サイトなど危険なWebサイトに対しては、Webサイトのドメインを評価したデータベースを用いて、アクセスを事前にブロックする(図6)。これらの技術を既存のパターンファイル検出と併用することで、仮にパターンファイルが対応していないウイルスの亜種が発生しても、連続攻撃を断ち切ることで予防的な対策を講じることができる。
(3) 各地域、国に対応したソリューションを提供できるメーカーの選択 最近の脅威は、ターゲットアタックに移行しているとお話しした。これは皆さんがウイルスに感染した際に、それが欧米諸国等では発生せず、例えば日本のみで発生しているウイルスである可能性もある。また日本でしか発売されていない、日本人向けのアプリケーションのみがウイルスの対象となる場合も考えられる。そういった際に、使用しているウイルス対策製品のメーカーが、各地域、国で発生した問題について、どれほど丁寧に対応してくれるかが鍵となる。例えば、ウイルス対策の開発センターが日本以外であった場合、日本のみで発生する事象については対応が遅れたり、優先順位が下げられたりする場合もある。全世界的に見れば、それは適切なのかも知れないが、実際に感染した企業からすると、それは理解できない。我々の住む日本に、若しくは地域特性を理解して柔軟に対応できるメーカーが望ましいであろう。
今回は、現在猛威をふるっている「Webからの脅威」を中心にご説明してきた。 脅威が変遷すると共に、企業が取り得る防衛策も変化する必要がある。それは全てを一新するということではなく、企業のリスクを見極めながら、現在のウイルス対策をどのように効果的に拡張していくかを考えることである。自社で全ての脅威を分析し、効果的な対策製品を選択するのは容易ではない、その為、ITセキュリティに強い、信頼できるSI業者との付き合いも重要であろう。 最後に、多くの企業では、ITセキュリティ対策はコストとして考えることが多いであろう。しかし、ITセキュリティが脆弱であれば、場合によって企業の信頼も失墜しかねない。従ってコストでは無く、企業の顧客からの信頼を得る為の資産であると認識頂きたい。