町の社長の忘れ物(第2回)

情報流出を監視する「見張り番」

2018.02.09

クリップについて

 ここ数年、深刻な被害をもたらしている情報漏えい事件には、いくつかの特徴がある。まず挙げられるのは「検知の遅れ」だ。セキュリティソリューションサービスを提供しているファイア・アイの調査では、被害発生から検知までに要した平均日数は99日と、3カ月以上も放置されているのが明らかになった。日数は前年比で短縮傾向にあるが、即時対応には程遠い状況のようだ。

 マルウエア(コンピューターウイルス)は多くの場合、メールの添付ファイルを実行したり、Webサイトを閲覧したりすることで感染する。実際に攻撃者がシステムに侵入し、情報を窃取するまでには時間がかかる。これは侵入経路の確保や、目的とする情報の検索にかかる時間ともいえる。この段階で検知できれば、被害はある程度抑えられるはずだ。

 しかし、マルウエア侵入防止の対策をあざ笑うかのように被害が拡大している。そのため、最近ではあらかじめ感染、侵入されることを前提として、その後の動作を阻止する対策、つまり「出口対策」の重要性が指摘されている。これは、インフルエンザウイルスへの感染予防と、感染後の症状を抑える対策などと同様、どちらか一方では不十分であり、入り口と出口、双方を並行して整備するのが望ましい。

不正な遠隔操作が被害を拡大する

 それでは、具体的な出口対策とは、どのようなものだろうか。基本は「攻撃者との通信を遮断」することにある。しかし、現代のビジネスではメール、Webサイトなどの利用が不可欠。すべての通信を遮断するのは現実的ではない。そこで、マルウエア感染から情報漏えいに至る一連の流れを検証し、不審な動作を阻止する方法がある。

 多くの情報漏えい事件では、攻撃者はターゲットのパソコンをマルウエア感染させた後、遠隔操作によってシステム内のデータを検索する。そのためにはインターネットを介した通信が行われる。そこで、ログ(通信記録)を監視して不審な動作を検知する。

 ただし、この方法には欠点もある。ログには通信を行った端末や時間、相手先、通信経路などの詳細な情報が記録され、どの部分が不審かを瞬時に判別するのは困難だ。専門家に分析を依頼しても、回答の前にデータが窃取されては意味がない。

 最近のマルウエアはデータを送信するだけでなく、感染したパソコンのキーボード入力を記録したり、デスクトップ画面をキャプチャーして窃取したりする機能を持つものが増えている。そこで、さまざまなパソコンの動作を監視し、ユーザーが意図しない遠隔操作(なりすまし)が疑われる際には警告を発する仕組みが有効だ。

「見張り番」の特徴、導入メリット

 ウイルス対策ソフトに代表される入り口対策に比べて出遅れている感がある出口対策だが、各社から製品が発表されている。NTT西日本が提供する「セキュリティ機能見張り番(※)」は、外部への不正な挙動阻止を目的に開発されたサービスだ。

 「見張り番」という名の通り、本サービスはマルウエアの検知、駆除を行わず、あくまで外部との通信監視に的を絞った出口対策を行う。具体的にはデスクトップ画面がキャプチャーされたり、キーボードの入力記録が外部に送信されたりするタイミングで警告を表示。ユーザーが意図する動作なのかを、確認する。ここで「許可」あるいは「禁止」を選択することができるので、不正な操作を未然に防げる。

 また、不正なプログラムによって掲示板SNSに意図しない書き込み(犯行予告など)が行われることを防ぐため、不適切と判断されるキーワードを検知し、送信前に警告を表示してユーザーに確認を求める機能も装備する。これは「なりすまし」による被害を食い止めるために有効だ。なお、本サービスではパソコンの通信履歴などを常時記録、保存しているため、万一不正な遠隔操作が行われた場合にも検証、対策が可能になる。

 一方、既存のウイルス対策ソフトの中にも、出口対策を重視した製品が登場している。キヤノンITソリューションズが提供する「ESET」は、高いマルウエア検出率と高速動作を特徴とする製品だが、新シリーズでは出口対策を行う新機能「ボットネットプロテクション」を搭載している。

 この機能はマルウエアが侵入後に行う外部サーバーとの通信を検出、防御するものである。ESETはこれまで、マルウエアの挙動を分析して未知の新種、亜種に対応する「ヒューリスティック機能」を強化してきた。ここに出口対策を加え、多層防御の仕組みを整備し、高まる脅威に対抗する。

ソリューション組み合わせでレベルアップを

 ビジネス用途で本格的にパソコンが使われるようになって20年余り。セキュリティ対策の重要性は着実に認知されつつある。ここで、NTT西日本のセキュリティ機能見張り番を導入したある企業(メガネ販売店)の事例を紹介しよう。

 同社では以前からウイルス対策ソフトを導入していたが、情報漏えい事件の報道が続き不安を抱えていた。同社のパソコンには顧客情報などが保存されている。流出は絶対に避けたい。未知のマルウエアに対抗し切れないのであれば、何か他に対策はないのか。そこでセキュリティ機能見張り番が候補に挙がった。

 導入後もセキュリティ対策ソフトのウイルス定義のアップデートや、不審なメールの扱いには注意を払っているが、オーナーは「見守られているという安心感が増した」と語る。また、本サービスは「フレッツ光」のオプションサービスで、「フレッツ光」をすでに利用していたため、導入が簡単だった点も評価された。

 「備えあれば憂いなし」とは、あらゆる物事に共通する。しかし同時に、世の中に「完璧な備え」は存在しないのも事実である。つまり、予防策としてのウイルス対策ソフトに頼るだけでなく、たとえ感染しても被害を出さないことが求められる。そこに着目してソリューションを組み合わせ、より高度なセキュリティ対策を考えてみてはどうだろうか。

※ フレッツ光の契約・支払いが必要

SID : 00123002

執筆=林 達哉

執筆=林 達哉

あわせて読みたい記事

連載記事≪町の社長の忘れ物≫

PAGE TOP