
最新セキュリティトレンド「分離・無害化」とは
従来のセキュリティ対策からの脱却:「侵入を検知する」から「そもそも侵入させない」へ
サイバー攻撃が高度化し、脅威が日々迫っている中、
企業はそれらの攻撃に対して自社の情報資産を守るため、従来から様々な対策を施してきました。
企業に入り込むマルウェアの大半が、インターネット上のWebサイトや、ハッカーからのメールを経由して侵入してくるという統計もあり、
Webを閲覧したり、メールを受信する入り口にアンチウイルス、IDS/IPS、Sandboxなどの製品を実装し、「侵入を検知する」ことで情報資産を守るというのが多くの企業での一般的な対策です。
上記のような、企業へのマルウェアの侵入を経路途上で検知して防御することで、侵入する確率を下げるという従来のセキュリティ対策から、
根本的に「そもそも侵入させない」ことで確率を限りなく0%に近くするという新しいセキュリティ対策として、Webやメールに対する「分離・無害化」を実施する企業が増えつつあります。
ざっくり解説!「分離・無害化」の仕組み
この「そもそも侵入させない」という、Web、メールの「分離・無害化」とはどのように実現するのでしょうか。
ベンダーの定義にもよりますが、この「分離」と「無害化」でそれぞれ方式が異なります。
「分離」の方法
いわゆる「分離」ソリューションとして実施する内容としては、
クラウド上のWebブラウザをユーザーが画面転送を通じて見て利用する、というものです。
つまり、Webサイトの画面情報のみ送られ、実際のHTMLファイルやスクリプトはユーザーの端末には送られてきません。
このような方式にて、実際にWebサーバからファイルを取得するWebブラウザ環境と、ユーザーの環境を分離することで、マルウェアが侵入してこれないようにするというのが「分離」ソリューションです。
「無害化」の方法
一方で、「無害化」ソリューションとは、送られてくるファイルなどが実際のユーザーの端末に届けられるため「分離」はされないですが、
途中のプロキシ環境がコンテンツを解析してFlashやマクロなどの危険な動作をする要素を取り除いた状態、つまり、「無害化」された状態で届けられます。
その結果、マルウェアの侵入を限りなく少なくすることができるのです。
まとめると、
・「分離」:実際にWebサーバからファイルを取得するWebブラウザ環境と、ユーザーの環境を分離する
・「無害化」:コンテンツを解析してFlashやマクロなどの危険な動きをする要素を取り除く
という従来のマルウェアを検知し防御する方法から、そもそも侵入させないという方法に一部の企業でシフトしつつあります。
「分離・無害化」ソリューションの抜け穴
このような「分離・無害化」ソリューションとして、「Menlo Security」などが代表的なものです。
では、このようなソリューションを実装することでWebやメールに潜む脅威の全てに対して有効でしょうか。
「分離・無害化」でできること・できないこと
やはり、セキュリティにおいて銀の弾丸は存在せず、Web・メール経由の脅威全てに対して有効ではありません。
まず、このような「分離・無害化」が対応できることとしては、
冒頭から説明しているマルウェアの侵入に対しては有効なソリューションです。
従来のセキュリティ対策として実装されてきた、アンチウイルス製品やSandboxなどが必ずしも有効ではなくなってきている昨今において、
マルウェアの侵入に対してこのような「分離・無害化」を実装することは高い効果を発揮します。
一方で、「分離・無害化」が対応できないこととしては、
以下のような脅威が挙げられます。
・フィッシング攻撃
銀行のサイトなどと偽る不正なサイトにユーザーを誘導し、勘違いし入力された情報を搾取するといったフィッシング攻撃に対しては、分離や無害化をしても防ぎきれません。
このような攻撃に対してはユーザーへの注意喚起やIP・FQDNブラックリストに基づくフィルタリングで防ぐ必要があります。
・ビジネスメール詐欺(BEC)
近年急増している攻撃で、経営幹部層をターゲットにし、
関連企業を装い入金をさせようと騙すという、オレオレ詐欺のメール版のような攻撃です。
これに対しても防ぎきれないため、同じくユーザーへの啓発やメール上の文面を見て、フィルタリングしてくれるメールゲートウェイ製品を実装する必要があります。
つまり、ITproの記事の表現を借りて説明すると、
画面を通じて騙す攻撃には無力
http://itpro.nikkeibp.co.jp/atcl/column/17/033000113/033100001/?P=3
ということです。
まとめ
セキュリティトレンドである「分離・無害化」ソリューションと、その欠点についてご紹介しました。
有効なソリューションではありますが、
対応できるリスク、対応できないリスクがあるため、しっかり把握した上で導入の決定を推奨します。