Skip to content

脆弱性対策ソリューション

脆弱性攻撃からの保護と対処

ゼロデイ脆弱性を含む、頻発する様々な脆弱性。その対策は脆弱性を狙った攻撃からの保護はもちろん、攻撃を受けた場合の対処についても重要と言えます。ここでは脆弱性対策を取り巻く3つの課題と解決について紹介します。


脆弱性対策における3つの課題と解決

すぐにパッチが適用できない
そもそもパッチが提供されない
  どのシステムに脆弱性があるのか
すぐに分からない、特定が難しい
  脆弱性を狙った攻撃を受けた場合、
どうすればよいかわからない

正規パッチ適用までのクライアント/サーバの保護、サポート切れOSの暫定対応には仮想パッチが有効です。

クライアント/サーバ対策

 

ネットワーク上の通信をモニタリングし、脆弱性を狙った攻撃を検出、ブロックします。
 

ネットワーク監視による対策

 

運用はもちろんのことインシデント対応がとれる体制を構築しておくことが望ましいと言えます。
 

専門家による支援 

クライアントの脆弱性対策を動画で解説

脆弱性や仮想パッチなどの脆弱性対策について、アニメーションで分かりやすく解説します。
所用時間:4分50秒


すぐにパッチが適用できない、そもそもパッチが提供されない

課題   トレンドマイクロの解決策

すぐにパッチが適用できない、そもそもパッチが提供されない

「正規パッチの適用には事前の検証が必要」、「稼働中のサーバをすぐに停止できない」、「PCの場合、適用が利用者任せになってしまう」など、迅速に正規パッチを展開することは簡単ではありません。また、脆弱性が発見されてから正規パッチが提供されるまで数週間かかることもあり、OSやソフトウェアのサポート終了後においては、通常正規パッチが提供されることはありません。

仮想パッチで正規パッチ適用、サポート切れOS利用期間をカバー

脆弱性がいつ発見されるか予測はできず、正規パッチ適用には事前の検証や実際の適用作業などの負荷がかかるケースも考えられます。運用の負荷を下げ、正規パッチ適用を計画的に行うためにも(正規パッチ適用までの暫定的な対策)、脆弱性対策には仮想パッチによる対策が有効です。また、仮想パッチによる保護は、サポート切れOSの脆弱性対策にも応用可能です。

トレンドマイクロ製品による対策の優位性

仮想パッチで仮想的に脆弱性を保護! 計画的な正規パッチの運用が可能に

「仮想パッチ」とは、脆弱性を狙う攻撃コードをネットワークレベルでブロックする機能です。あたかも正規パッチが適用されているのと同様の状態を作り出すことから「仮想パッチ」と呼ばれています。
例えるならば、傷口に貼る絆創膏(バンソウコウ)をイメージしてください。人は怪我をしたときに、バイ菌の侵入を防ぐために、傷口が治るまでは、絆創膏を貼ります。これをクライアントやサーバに置き換えると、傷口が脆弱性で、バイ菌の侵入が脆弱性への攻撃です。「仮想パッチ」(絆創膏)は、脆弱性(傷口)への攻撃(バイ菌の侵入)を仮想パッチ(絆創膏)で防ぐことができます。
この仮想パッチはWindows、Linux、Solaris等主要なサーバOSを始め、Apache、BIND、Microsoft SQL、Oracle等100以上のアプリケーションに対応しています。

仮想パッチとは?

脆弱性を自動で見つけて、自動で保護する”推奨設定”機能

推奨設定機能は、クライアントやサーバに存在する脆弱性を自動で検出し、必要な仮想パッチを自動的に適用する機能です。IT管理者の悩みである”どんな設定をしなければいけないか”という設定管理の手間から解放され、運用負荷を低減します。また、仮想パッチはサーバを停止、再起動することなく適用することができます。さらに、利便性が高い点は、正規パッチが適用される(例えばWindowsアップデートを実行して脆弱性がなくなる)と、仮想パッチは自動的に解除されます。結果として、IT管理者が抱えている正規パッチの検証、サーバの計画停止、適用などの課題に対応することができ、パッチ適用の“遅れ”や“漏れ”を解消します。

脆弱性を自ら見つけて、自ら保護

仮想パッチによるパッチマネジメントのメリット

正規パッチ適用までの
脆弱な期間をカバー

 

仮想パッチであれば
適用による副作用の心配なし

 

正規パッチが
提供されない場合も保護

仮想パッチで脆弱性を狙った攻撃から保護しつつ、正規パッチの検証・適用作業が可能です。

 

ソフトウェアの動作に影響を与えることなく、脆弱性を狙った攻撃から保護可能です。

 

OSのサポート終了等で正規パッチが提供されなくても、OSを移行するまでの暫定的な保護が可能です。

仮想パッチを提供するトレンドマイクロの製品

クライアントの脆弱性対策
Trend Micro Virtual Patch for Endpoint

OSやアプリケーションの既知の脆弱性を発見し、見つかった脆弱性は自動的に保護します。

詳しくはこちら

対応可能な脆弱性

主にクライアントOS及び、クライアントで使用されるアプリケーションの脆弱性を保護

  • Windowsのみ
  • Adobe Acrobat、Adobe Flash
  • メールクライアント(Outlook & Outlook Express)
  • Webブラウザ(Internet Explorer、FireFox)
  • Officeソフト (Word、Excel、PowerPointなど)
  • メディア再生ソフト(Windows Media Player、Real Player)等

製品導入事例

残さざるを得ないWindows XP搭載PCの脆弱性を守る方法を模索
二木ゴルフ

サーバの脆弱性対策
Trend Micro Deep Security™

Deep Security によるサーバの多層防御
【動画】Deep Security
によるサーバの多層防御

サーバが抱える課題を仮想化・クラウド・物理環境においてトータルに解決するサーバ向け総合セキュリティ製品です。

詳しくはこちら

対応可能な脆弱性

サーバOS及び、サーバ上で稼働しているアプリケーションの脆弱性を保護

  • Windows, Linux, Solaris(OS自体の脆弱性)
  • データベースソフトウェア(MS SQL, Oracle等)
  • メールソフトウェア(Exchange,Sendmail,Postfix)
  • Webアプリケーション(IIS, Apache)
  • APPソフトウェア(Tomcat, WebLogic)等

製品導入事例

“仮想パッチ”で正規パッチ適用の遅延に伴うリスクを解消
大学共同利用機関法人 自然科学研究機構



どのシステムに脆弱性があるのかすぐに分からない、特定が難しい

課題   トレンドマイクロの解決策

どのシステムに脆弱性があるのかすぐに分からない、特定が難しい

インベントリ管理を完璧にすることは容易ではありません。その場合、ゼロデイを含めた脆弱性を持つシステムが特定できないというケースも考えられます。各種脆弱性検査ツールを用いて検査する方法もありますが、相次いで新しい脆弱性が発見された場合は、対処が難しくなることも事実です。

脆弱性攻撃を監視することで脆弱性を持つシステムをあぶりだす

Open SSLの脆弱性である Heart Bleed に見られたように、脆弱性を抱えたシステムが潜在的に存在する場合、もしくは仮想パッチを適用できないアプライアンスなどのシステムの場合、対策は困難になります。その場合、サーバやクライアントではなく、通信に対して詳細な解析を行い、脆弱性攻撃コードが含まれるかを判断するアプローチが有効です。

ネットワークモニタリングによる詳細な通信解析

仮想パッチのネットワーク版とも言える働きをするのが、Network Contents Inspection Engine(NCIE)です。これは通信を解析し、脆弱性攻撃コードが含まれているかどうかを検出するものです。NCIEはDeep Discovery Inspector™ および Network VirusWall Enforcer™ に搭載されており、ネットワークレベルでの脆弱性攻撃の検出、ブロックに役立ちます。

ネットワークモニタリングに最適なトレンドマイクロの製品

多角的な脆弱性攻撃検出アプローチを持つレーダー
Deep Discovey Inspector™

NCIEのほか、通信のふるまいを分析するエンジンなど、合計4つのエンジンで脅威を検知する製品です。

詳しくはこちら

脆弱性を狙った攻撃パケットをブロック
Network VirusWall Enforcer™

NCIEを搭載したネットワークセキュリティ専用機。脆弱性攻撃コードが検出されれば、その通信をブロックします。

詳しくはこちら



脆弱性を狙った攻撃を受けた場合、どうすればよいかわからない

課題   トレンドマイクロの解決策

脆弱性を狙った攻撃を受けた場合、どうすればよいかわからない

脆弱性に対し可能な限りの保護を行っていても、全ての攻撃を防御できるとは言い切れません。脆弱性は、それ自体がセキュリティ脅威ではなく、脆弱性を狙った攻撃があるからこそ脅威になると言えます。だからこそ、脆弱性を狙った攻撃そのものに対する事前の保護も重要ですが、いざ攻撃を受けた場合、どのように対応すべきか、事前に講じておくことも重要です。

日常の運用はもちろん、もしもの時は早めに専門家に相談を

脆弱性が判明した場合は正規パッチを適用する、もしくは仮想パッチで防御するのが基本的な脆弱性対策だが、「正規パッチ(または仮想パッチ)で守られているから安心」とは言い切れません。保護だけでなく脆弱性を狙った攻撃に対処する運用と、インシデント対応体制を構築しておくことが有効です。そのため、被害が発生する前にセキュリティの専門家の支援を受けることも検討してみてはいかがでしょうか。

セキュリティのライフサイクル全体にわたる防御が必要

インシデントによる被害を最小化するためには、保護・検知・分析・対処というセキュリティのライフサイクルにわたって、ネットワーク、サーバ、エンドユーザまで幅広いレイヤーに最適なセキュリティ対策を施していくことが必要になります。脆弱性対策としては、例えば仮想パッチによる事前の保護を行いつつ、脆弱性を狙った攻撃を「検知」した場合には、その攻撃を「分析」し、「対処」することが重要と言えます。

これらの対策を一般企業が自社だけで構築することは難しいこともあるでしょう。トレンドマイクロは、長年のソリューション提供や脅威のモニタリングを通じて得たノウハウを、スレットインテリジェンスとして蓄積し、次世代型セキュリティの考えの下、お客さまに提供する製品やサービスなどに活用しています。

脆弱性を狙った攻撃が確認された場合のケーススタディ

社内サーバの脆弱性を狙った攻撃が確認された場合、それが外部からの攻撃であった場合は、該当するIPアドレスをファイアウォールでブロックするといった運用が求められます。

しかし、サイバー攻撃では関連企業や取引先の端末を標的型メール等で感染させてC&Cサーバ配下に置いた後、その端末を踏み台にして、標的とする企業のサーバの脆弱性を狙った攻撃を行う場合もあります。その場合、関連企業や取引先のIPアドレスをファイアウォールでブロックする事は困難な場合も多く、関連企業や取引先に状況を報告し、該当端末の調査やネットワークからの隔離といった処置を依頼する運用が必要です。

必要に応じて端末クリーンナップを

自社端末が同様の手法でC&Cサーバの配下に置かれ、社内サーバの脆弱性を狙った攻撃に用いられることもあります。その場合は、自社端末にサイバー攻撃に用いられる新種ウイルスが潜んでいることになり、その端末の調査およびウイルス駆除といったインシデント対応を社内で実施する必要があります。

脆弱性に対し可能な限りの保護を行っていても、全ての攻撃を防御できるとは言い切れません。したがって、保護だけでなく攻撃そのものに対処する運用と、インシデント対応体制を構築しておくことが望ましいと言えます。トレンドマイクロでは、日々のセキュリティ運用と万一のインシデント対応を支援する「トレンドマイクロ プレミアムサポート」を用意し、セキュリティに関する高度な知見に基づくセキュリティ運用支援を提供しています。


24時間365日、安心のセキュリティ運用を支援
トレンドマイクロ プレミアムサポート for Enterprise

トレンドマイクロ製品を導入された後、安心してセキュリティ運用を行っていただくために、プロアクティブ(事前予防)/リアクティブ(事後対策)の両面からお客さまをご支援していきます。

詳しくはこちら

サービス導入事例

セキュリティ施策立案、ログの分析などをアウトソースし、高度な対策も負荷なく実現
中西金属工業株式会社


資料

Heart Bleed、IE ゼロデイ、サポート終了… 頻発する脆弱性にそなえる。~ 3つの問題と対策ステップ ~

トレンドマイクロが提供するゼロデイ脆弱性を含む、脆弱性対策について解説しています。本ページとあわせて参照ください。

資料ダウンロードはこちら

Windows XP サポート終了を迎えるに当たりセキュリティ観点から必要なこととは

サポート終了となったWindows XPをどうしても使い続けなくてはならない場合のセキュリティ対策について紹介しています

資料ダウンロードはこちら

頻発するWeb改ざん被害、Trend Micro Deep Security で解決!(簡易資料)

Web改ざん被害の防止には、サーバの脆弱性対策が有効といえます。Trend Micro Deep Securityでの解決方法について紹介しています。

資料ダウンロードはこちら

Revisit Your Web Server Security with “Defense in Depth”(日本語資料)

脆弱性対策をはじめとする公開Webサーバセキュリティについて、「多段防御(Defense in Depth)」の考え方のもと、再考します。

資料ダウンロードはこちら

その他の脆弱性対策に関する資料は資料ダウンロードよりご確認いただけます。セキュリティ対策にお役立てください。

お問い合わせ・連絡先

フォームでのお問い合わせ

フォームでのお問い合わせはこちら

※ お問い合わせにあたっては、迅速にご返答するため、法人のお客さま向けお問い合わせフォームにて、「脆弱性対策」のチェックボックスをオンにしてください。

法人お問い合わせ窓口

03-5334-3601 (FAX:03-5334-3639)
月曜日~金曜日の9:00 ~ 12:00、13:00 ~ 18:00
(ただし祝祭日および、その振替日を除きます)
〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー