情報セキュリティ対策のための“エンジン”
マルウェアや標的型攻撃、ビジネスメール詐欺など、企業を襲う脅威は、年々、巧妙化、先鋭化し、被害は減る兆しがありません。特定のマルウェアが鎮静化しても、その亜種や新手の攻撃も次々に現れ、対策が追いつかない状況もあります。
IT社会の進展に向け、情報セキュリティが足かせにならないように、守る側もいろいろな技術や手法を編み出して脅威と向かい合っています。今回は、“縁の下の力持ち”“情報セキュリティ対策のためのエンジン”として、さまざまなシステムやサービスのバックエンドで稼働するソリューションにスポットを当ててみます。
需要が高まる“セキュリティ情報サービス”
企業の情報資産を守るには、まず攻撃の目的を知り、手口を分析した上で、ガードを固めなければなりません。金銭目的で個人情報や企業秘密を盗み出すサイバー犯罪と、社会的主張や企業への反感から、Webサイトの改ざんや機能停止を企てる攻撃では、対処方法が異なるからです。
しかし、あらゆる脅威に対してアンテナを張り、情報を集めて対策を施すことは、大多数の企業にとってはハードルが高い作業と言えます。IT分野の人材、セキュリティ技術者の不足も課題とされる昨今、次々にやってくる脅威に対するリサーチと対策に、多くの労力を割くことは容易ではありません。
このような背景から、近年、ニーズが拡大してきたのが、脅威に関する情報を世界中から収集し、セキュリティ機器やソフトウェアのメーカー、一般企業、団体に提供する「セキュリティ情報サービス」です。
情報セキュリティの“インテリジェンス”を提起
セキュリティ情報サービスのようなソリューションを、“脅威インテリジェンス”や“セキュリティインテリジェンス”と呼ぶことがあります。一般企業や団体が利用できるサービスとしてはまだ歴史が浅いこともあって、必ずしも明確な定義はありませんが、この名称は少しずつ浸透してきたようです。
脅威インテリジェンスの実像を短く示すと、“セキュリティに関する複数の情報の集合体”、つまり知識や知性が含まれる情報と言えます。ですから、数値など一般的な情報を示す“data”や、IT(Information Technology)の“information”ではなく、知識や知性のニュアンスを含む、“intelligence”という言葉を使っています。
脅威インテリジェンスは、セキュリティに関するさまざまな情報:インテリジェンスを駆使して、企業の情報資産を守るソリューションです。次にインテリジェンスの構成要素を見ていきましょう。
IPアドレス・URLをリアルタイムで分析・分類
脅威インテリジェンスの提供情報として、まず一つはIPアドレスをキーにした「IPレピュテーション」とURLをキーとした「URLフィルタリング」が挙げられます。レピテーション(reputation)は“評判”の意味ですが、インテリジェンスを提供する側は、世界中の通信をモニターしながら悪意のあるIPアドレスやURLを分析することでレピテーションのデータベースを構築しています。
どのIPアドレス、URLからマルウェアが発信されているか、どのアドレスとどのアドレスの間で、攻撃の要素を含むメッセージをやり取りしたか、あるいは、攻撃ツールや脆弱性を残すサイトの情報が行き交うダークウェブの存在などをリアルタイムで解析し、IPアドレス単位の脅威情報と、フィルタリングすべきURL情報として配信します。
マルウェアやスパムを分析
脅威インテリジェンスでもう一つ重要な要素は「マルウェア情報」。世界中に設置したデータ収集センサーで、新種のマルウェアの動作やビットパターン、攻撃者の動機などの情報を検出。既存のマルウェアだけでなく、新たなウイルスなどの脅威にも迅速に対応できる体制を整えています。
「スパム情報」も重要な機能の一つです。スパムメールは、発信側も絶えず戦術を変えてくるため、一度立てた対策が有効に機能する時間は長くはありません。いっこうに減らないスパムのため、世界中の多くの企業・団体で、人材とハードウェアのリソースを消費している現実があります。
脅威インテリジェンスを利用したアンチスパム機能は、スパム特有のタイトル、本文の文字使い、送信IPアドレス、添付ファイルのハッシュ値などの要素を総合的に分析し、スパムと判断するための最新データを逐次更新します。
モバイル環境もカバー
企業ネットワークには、ノートPCをはじめ、多くのスマートフォンやタブレット端末がつながる環境が一般化しました。スマートフォンを狙ったフィッシングサイト、モバイルOSやアプリを標的にしたマルウェアの増加にも歯止めがかかりません。
脅威インテリジェンスの提供事業者は、モバイル端末を狙うマルウェアをはじめ、フィッシングにつながるサイトの改ざん、スパムなどのデータを分析し、リアルタイムで情報を配信できる体制を整えています。
脅威インテリジェンスを利用するには
脅威インテリジェンスを利用するには、逐次配信される情報を参照する形式に加えて、分析された脅威情報をシステムに取り込んで使うためのツールを活用する形もあります。この場合のツールは、いろいろなセキュリティ機器やソフトウェアに、IPレピュテーション、アンチマルウェア、アンチスパムなどの機能を実装するための「SDK(ソフトウェア開発キット)」です。SDKを使うことで、脅威インテリジェンスとして提供される情報と機能を、容易に自社のシステムに組み込むことができます。
セキュリティ情報の高度利用を
脅威インテリジェンスの活用方法の一つに、“企業ネットワークに蓄積されたログを脅威インテリジェンスから配信される情報と照合し、脅威に備えるための行動を起こす”というようなことも可能です。ログを集中管理するシステムは以前から稼働していますが、セキュリティインテリジェンス情報と照合することで脅威をいち早く検出できるようになります。
対象になるログは、ファイアウォールやUTM、IDS/IPSなどのセキュリティ機器をはじめ、ルーターやLANスイッチなどのネットワーク機器、Webやデータベースなどのサーバー、クライアントPC、そしてモバイル機器などに残るデータです。
過去のログを調べて攻撃の兆候を探すだけではなく、脅威インテリジェンスのプラットフォームが検知したばかりのマルウェアやスパム、サーバーに対する攻撃手法などの情報も、リアルタイムで照合できるため、マルウェアの検出時間を劇的に短縮することができるでしょう。
多角的・総合的な判断も
“複数のセキュリティ情報の集合体”である脅威インテリジェンスの利用環境では、単純なログ管理とは異
なり、総合的な判断が下せるようになります。
例えば、モバイル端末がログインに失敗し、少し時間を置いたアクセスで成功したとします。この端末がこれまでアクセスした記録がないデータベースサーバーへのログインを何度も試みた、脅威インテリジェンスから通知された攻撃者の痕跡が残るサーバーとの通信記録があるといったデータを検出できれば、要チェックと考えられるでしょう。
モバイル端末とデータベースのログを個別にチェックしただけでは、不審な振る舞いになかなか気づくことはできません。ログの複合的な検証に加えて、脅威インテリジェンスのプラットフォームから配信された情報を使って分析することで、新しい攻撃手法の詳細や過去の不正との関連性なども明らかになり、早期の対応ができる可能性が高まるのです。
脅威インテリジェンスのプラットフォーム
脅威インテリジェンスのサービス基盤には、グローバルな環境で未知のIPアドレス、不審なURL、フィッシングサイト、マルウェア、スパムメールなどの情報をリアルタイムで収集し、分析する機能が備わっています。
現在、脅威インテリジェンスとして提供されているサービスの多くは、クラウドベースで運用されており、ユーザー企業は必要な機能を選択して、自社のシステムに取り込むことができるようになっています。
サービス内容は企業によって異なりますが、機能を左右するのはプラットフォームの性能です。ここでは、当社がパートナーとして国内向けのサービスを提供しているCYREN(サイレン)社のケースをご紹介しましょう。
脅威情報を瞬時に把握
CYRENが提供する脅威インテリジェンスの特長は、グローバルな環境で運用しているインターネット・セキュリティソリューションをベースにしている点です。現在、世界190カ国、6億人以上のユーザーをさまざまな脅威からガードしています。
CYRENが運営するセキュリティプラットフォーム「GlobalView Cloud」では、60万個のデータ収集センサーから採取するデータ、毎日250億件を超えるリアルタイムトランザクションを分析。IPアドレス、ドメイン、ファイルなどを精査してリスクスコアを構築しており、このリソースを使って、さまざまな攻撃の芽を瞬時に検出することができるのです。
機器やサイトに実装し安全を強化
脅威インテリジェンス情報が活用されている代表的な分野を、CYRENのサービスを例にご紹介します。
◇IPレピュテーションエンジンをISP(インターネットサービスプロバイダー)や
一般企業で利用
IPアドレスの分析により、ISPや一般企業のメールセキュリティを向上しています。メールの内容をチェックする前に、IPアドレス単位のリスク分析が行われるため、メールの検証に必要なリソースが大幅に削減できています。
◇アンチマルウェアエンジンをオンラインストレージサービスで利用
オンラインストレージサービスを運営する事業者が、アンチマルウェアのエンジンを組み込む形でアプリケーションを開発しました。エンジンは、シグネチャ方式や振る舞い検知など、多層的な検知機能を持ち、未知のマルウェアにも迅速に対応できるようになるなど、より安全なサービス運営を実現しています。
◇すべての脅威インテリジェンスエンジンをUTM(統合脅威管理)機器へ実装
複数のセキュリティ機能を実装するデバイス UTM(Unified Threat Management)のメーカーが、アンチスパム・アンチマルウェア・IPレピュテーション・URLフィルタリングエンジンを搭載して、自社システムの機能を強化しています。「GlobalView Cloud」から配信される脅威情報を反映することで、最新の脅威に迅速に対応できるようになりました。