Skip to content

セキュリティマガジン TREND PARK

「鉄壁の守り」は存在しない!?
脅威の変化を捉える次世代型対策とは


実際、トレンドマイクロが発表した2013年の「国内における持続的標的型攻撃に関する分析」レポートからは、96%の攻撃が一般的にファイアウォールで閉じられることのないポート(ウェルノウンポート)を利用し、さらに67%がC&Cサーバのアドレスを正規のサービスなどに偽装していたことが判明しています(図1)。つまり、通信方法から不正プログラムの兆候を抽出しようにも、一見しただけでは正常な通信との見分けがつきにくくなっているのです。たとえ気付いたとしても、業務で使うポートを使われる場合、安易に通信を遮断するわけにもいきません。

図1 2013年標的型サイバー攻撃で用いられた偽装手段

図1 2013年標的型サイバー攻撃で用いられた偽装手段

C&Cサーバのホスト名分類67%が正規サービスなど誤解を誘う偽装手段を利用
※N=100 トレンドマイクロ調べ

「こうした偽装や隠ぺい工作に加え、攻撃方法は標的に合わせ常に変化していきます。敵は不正プログラムではなく、人間の攻撃者であり、攻撃者側も常に効果的な手法を模索しているのです。白か黒か、不正かどうかの判断が難しく、動的に変わる攻撃に対して、セキュリティにもそれに適応できるアプローチが求められているのです」と染谷は強調します。

攻撃者の挙動を関連付けて分析し
社内に潜む脅威をあぶりだす

そこでトレンドマイクロが提唱するのが次世代型セキュリティ「NextGeneration Threat Defense」のアプローチです(図2)。「Next Generation=次世代」のキーワードが示す通り、ここには今までにない新たな考え方が盛り込まれています。

図2 セキュリティのライフサイクル全体にわたる防御が必要

図2 セキュリティのライフサイクル全体にわたる防御が必要

「最大のポイントは、お客様ごとの状況をベースに、対策も適宜最適なものにダイナミックに変容させ続けるということです」と染谷は語ります。 先述の通り、標的型サイバー攻撃では、脅威は常に変化し、偽装や隠ぺいによりセキュリティ製品の検知や管理者の発見を逃れようとします。被害を最小化するためには、脅威の変化を捉え、偽装、隠ぺいされる脅威をあぶりだし、最適な防御策を動的に行っていくことが重要となります。防御技術もダイナミックにアップデートしていかなければならないのです。これを実現するのが、次世代型セキュリティの考え方です。
次世代型セキュリティを実現するためトレンドマイクロが用いる手法の一つが、脅威の挙動を「文脈」に沿って分析する対策手法です。「例えば『ファイル転送が行われた』というだけでは、それが悪意のあるものなのかは判別できません。しかし、『ファイル転送後、その履歴となるログを消そうとした』『転送したファイルを実行しようとした』といった具合に、複数の挙動を関連付けて調べていけば、高い精度で脅威を特定できます」(染谷)。いわば攻撃者の視点に立って、ある一連の挙動が何を目的としているのかを解き明かしていくわけだ。これにより、企業がいま直面するリスクを的確に把握することが容易になのです。

さらに、被害を最小化するためには、保護・検知・分析・対処というセキュリティのライフサイクルにわたって、ネットワーク、サーバ、エンドユーザまで幅広いレイヤーに最適な防御を施していくことが必要になります。

これらの対策を一般企業が自社だけで構築することは難しいこともあるでしょう。トレンドマイクロは、長年のソリューション提供や脅威のモニタリングを通じて得たノウハウを、スレットインテリジェンスとして蓄積。次世代型セキュリティの考え方の下、お客様に提供する製品やコンサルティングサービスなどに活用をしていきます。

「今後は次世代型セキュリティの考え方を取り込んだ新たな製品/サービスも提供予定。保護・検知・分析・対処のセキュリティのライフサイクルをカバーする包括的なソリューションを提供します」(染谷)。今までにない攻撃には、今までにない守り方を。新たな脅威に対する新発想のセキュリティ・アプローチは、ビジネスの安全・安心を今後必須になる考え方の一つと言えるでしょう。

次世代型セキュリティはこちらをご覧ください。

  • ※ トレンドマイクロのクラウド型セキュリティインフラ「Trend Micro Smart Protection Network」の集計による脆弱性を攻撃する不正サイトへのPCからのアクセス数:2013年12月「2013年サイバー攻撃『三大脅威』」

コアテク・脅威インテリジェンス 記事一覧へ戻る

記事公開日 : 2014.05.09

ページの先頭へ