シスコが見るサイバーセキュリティー


入口をしっかりとガードしながら、万が一のマルウェア侵入に備える──。これは、シスコシステムズ(以下、シスコ)が提供するセキュリティ・ソリューションの大きな特色だ。しかも、マルウェア防御の革新技術によって、マルウェアの侵入阻止と侵入後の対策がともに大幅に強化されるという。

マルウェア (malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。マルウェアには、様々な脅威が含まれる。

→wikipedia参照

シスコシステムズ合同会社セキュリティ事業 SEマネージャー 西 豪宏氏シスコシステムズ合同会社セキュリティ事業 部長 桜田 仁隆氏

侵入阻止と侵入後の施策に万全を期す

企業には、外部への流出や盗難を是が非でも阻止すべき資産がある。ゆえに、通常のオフィスでは、不審者の侵入を防ぐために入口のガードをしっかりと固める。ただし、プロの窃盗犯に重要資産が狙われた場合、予期せぬかたちで厳重なガードが破られ、重要資産が抜き取られるリスクがある。そうした万が一の事態に備えて、入口や重要資産の周辺に監視カメラを設置し、仮に、犯罪者の侵入を許したとしても、監視カメラの映像をたどって犯人や犯行内容・侵入経路などを特定できるようにしている向きもある。

こうした資産保護の考え方は、今日のサイバー攻撃対策についても同様に当てはまる。

シスコシステムズ合同会社 セキュリティ事業 部長 桜田 仁隆氏
シスコシステムズ合同会社
セキュリティ事業 部長
桜田 仁隆氏

そもそも、企業の情報資産を狙ってサイバー攻撃を仕掛けてくるのはプロの犯罪者である場合がほとんどだ。そのため、サイバー攻撃によるマルウェア侵入を防ぐ難度は極めて高いとされ、侵入阻止の施策をさまざまに講じていたはずの大企業がマルウェアの侵入を許し、重要情報を盗まれるケースも珍しくなくなっている。しかも、サイバー攻撃用のマルウェアはいったん侵入を許すと発見に手間取ることが少なくなく、外部から指摘によって初めて攻撃を受けている事実に気づくことも多い。

「そこで重要になるのが、マルウェアの侵入を許したあとの対策強化です」と、シスコの桜田 仁隆 セキュリティ事業部長は語り、こう続ける。

「サイバー攻撃への備えに万全を期すうえでは、マルウェアの侵入口のガードを固めるのは当然の施策で、それを怠ることはできません。ただし、ガードをいかに固めようとも、攻撃によるマルウェア侵入を100%阻止できるとは言い切れないのが現実です。ですから、万が一のマルウェア侵入に備えることも大切で、それがマイナンバーなどの重要情報の漏えいリスクを引き下げる一手となりうるのです」

侵入阻止の革新技術

では、マルウェアの侵入阻止と侵入後の対策を強化するには、具体的にどのような施策を講じればいいのだろうか。

現在、大多数のサイバー攻撃(外部からサイバー攻撃)が、以下の2つの手口を通じて攻撃用のマルウェアを標的企業・組織に送り込もうとしている。

①標的企業の従業者を不正なWebサイトに誘導し、マルウェアをダウンロードさせる

②メールを介してマルウェアの実行ファイルや、不正サイトのURLを標的企業の従業者に送り付ける

したがって、上記2つの手口を通じたマルウェアの侵入を阻止することが必須と言える。

そうした観点から、シスコは現在、メール経由でのマルウェア侵入を阻止するための「Email Security Appliance(ESA)」や、Web経由でのマルウェア侵入を阻止するための「Web Security Appliance(WSA)」/「Cloud Web Security(CWS)」といった製品を提供している。これらの製品は、マルウェア感染の元になる不適切なメールやWebサイトに対する受信/アクセスを遮断する機能を持つほか、高度なマルウェア防御の仕組み「Cisco AMP (Advanced Malware Protection)」の機能も備えている。

Cisco AMPは、巨大な脅威情報ネットワークであるシスコのクラウド(セキュリティインテリジェンスネットワーク)を活用したソフトウェアだ。ESA/WSA/CWSなどで用いられるCisco AMPは、このクラウドとの連携によって組織内ネットワークに入ろうとする不審なファイルに検疫をかけ、マルウェアを高精度に検知する。さらに革新的なのは、検疫の結果として「白(=非マルウェア)」と判定したファイルについても、検疫情報を(クラウド上に)記録し、のちの参照を可能にしていることだ。

ここで記録される検疫情報には、検疫したファイルが、「どこから送られてきたか、どんな名称で、いつ検疫を通過したか」といった情報が含まれる。

これにより、例えば、検疫を通過させた「ファイルA」が、数日後にマルウェアと断定された場合も、検疫記録を追跡調査することでファイルAの「送信元」を即座に突き止め、その送信元との通信を遮断することができる。結果として、同じ経路を通じたマルウェア侵入を阻止することが可能になるのだ。

ちなみに、Cisco AMPが検疫で通過させたファイルについて、マルウェアか否かのチェックを継続的にかける処理はクラウド側で行われ、チェックによってマルウェアと断定された際には、Cisco AMPに「クラウドリコール」が自動的にかけられる。つまり、「通過させたファイルはマルウェアである」との知らせが、クラウドからCisco AMPへと自動的に届けられるというわけだ。

フォレンジックがもたらす効果

コンピュータ・フォレンジクス英語computer forensics)は、コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学の一分野である。コンピュータ法科学computer forensic science)とも呼ばれる[1]

→wikipedia参照

Cisco AMPは、端末(Windows PCやLinuxマシン、Android端末など)側に組み込むことも可能であり、そうすることで、「マルウェア侵入後の対策」を強化することができる。

例えば、端末側でCisco AMPを動作させることで、「デバイストラジェクトリ」機能が用いられるようになる。これは、マルウェアに感染した端末内において、マルウェアがどのように動いてきたかを可視化する機能だ。この機能によって、「(マルウェアが)どのブラウザを使って、どのサイトから、どういったファイルとしてダウンロードされたか」が可視化され、マルウェアの感染経路が簡単に把握できるようになる。また、Cisco AMPを用いれば、「いつ、どの端末にマルウェアが感染したか」も分析できる。そのため、マルウェアの感染範囲を特定するのも容易だ。さらに、マルウェアを検知した時点で他の端末への感染をブロックすることもできる。

こうしたCisco AMPのメリットについて、シスコの西 豪宏 セキュリティ事業SEマネジャーはこう説く。

シスコシステムズ合同会社 セキュリティ事業 SEマネージャー 西 豪宏氏
シスコシステムズ合同会社
セキュリティ事業
SEマネージャー
西 豪宏氏

「マルウェアの変化が激しい今日では、入口での検疫時点で”白”と判定されたファイルが、のちの分析で”黒”と判定されるケースが起こり得ます。通常のウイルス検疫ソフトウェアは、検疫をかけた時点の脅威情報を基に、白か黒かを判定する機能しか備えていないので、検疫を通過させたファイルがのちにマルウェアと分かっても対処のしようがありません。それに対して、不審なファイルの動きを追尾しているCisco AMPならば、そのファイルが黒と断定された時点ですぐに捕えられるのです」

また、桜田氏は、Cisco AMPの重要なアドバンテージは、「フォレンジック」の実現にあると強調する。

「Cisco AMPで言う”フォレンジック”とは、監視カメラのように、犯罪者(マルウェア)の動きを記録し、その記録を基にマルウェアが過去に行った行為を総合的に調査・分析していくことを意味しています。こうした追跡調査により、マルウェアがどんな経路で侵入し、どのように感染を広げ、何に対して、どんな行為を働いたかが簡単に突き止められるようになるのです」

この言葉を受けたかたちで、西氏はこう付け加える。

「これまで、サイバー攻撃用のマルウェアを検知したものの、侵入経路や感染範囲、影響範囲をつかむのに長い時間と多くの人手・コストがかかるケースが大変でした。Cisco AMPを使えば、そうした手間やコストをかける必要がなくなるのです」

フォレンジックを可能とするCisco AMPは、サイバー攻撃による実害を被った企業が対外的な説明責任を果たすうえでも有効であるという。実際、サイバー攻撃で何らかの事故を引き起こした企業は、以下の事項を明確化し、説明する必要に迫られる。

  • 何が起きたのか
  • なぜ、起きたのか
  • どこに影響があったのか
  • どのように解決したのか
  • 何をもって収束と見なしたのか

上の記述からも察せられるとおり、Cisco AMPの機能を用いれば、これらすべての事項について明確な答えを出すことが可能だ。

もっとも、シスコ製品によるマルウェア侵入阻止のソリューションは堅牢であり、そのガードが破られる可能性は極めて低い。また同社では、Cisco AMPによる検疫にプラスして、クラウド上のサンドボックスで、”グレー判定”のファイルを実行させ、不審な挙動を検知させる機能も提供している。それでも、侵入後の対策強化に力を注ぐ理由について、桜田氏は改めてこう訴え、話を締めくくる。

「確かに、シスコの侵入阻止のソリューションは非常に強固です。だからと言って、マルウェア侵入後のソリューションを何も提供しないという不誠実な考え方はシスコにありません。ガードが破られる可能性が”ゼロ”ではない以上、ガードが破られた後のソリューションも、あらゆる叡智と技術を結集して作り上げるのが、我々のスタンスです。Cisco AMPはそれを体現した製品と言えるのです」

3 thoughts on “シスコが見るサイバーセキュリティー

  1. Pingback: εγκυμοσυνη

  2. Pingback: pax 3 durability

  3. Pingback: GVK Bioscience

Comments are closed.