synchronized security - ジェイズ・コミュニケー …...sophos security heartbeat ウィ...
TRANSCRIPT
Synchronized Security: 巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
ソフォス ホワイトペーパー2017年 5月 2
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
今日、多くの企業や組織は、ホスト型/ネットワーク型ファイアウォールや、コンテンツスキャン、マルウェア解析、ログ管理など、複数のセキュリティ製品による多層防御を、ネットワークやエンドポイントで展開しています。この「多層防御のセキュリティ対策」は、多層に分散したセキュリティ製品のどれか 1つが、一連の「攻撃チェーン」をどこかの段階で阻止できるであろうという考え方に基づいて、既知・未知の脅威から防御する手法です。
それぞれのポイント製品に利点がある一方で、それを積み上げ、サイロ化したセキュリティ対策には、根本的な欠点がいくつかあります。まず、これらの製品は、個々が独立して動作するものが多く、製品間で有用な情報をリアルタイムに共有するものはほとんどありません。このため、最初の段階で、ファイアウォールとエンドポイントが互いのネットワークやプロセスレベルのコンテキスト情報をリアルタイムに共有し、感染の隔離やクリーンアップを行うといったことができません。
次に、企業や組織で導入している多層防御の層が、深く、広くなるにつれ、管理の複雑さが増していく点です。アラートの相関分析をはじめ、複数のユーザーインターフェースの管理、イベント監視などを人の手で行わなければならず、人件費の増加につながります。さらには、複数の製品のエージェントがリソースを消費するため、システムのパフォーマンスにも影響が生じます。
最後に、切り離されている複数のポイント製品の橋渡しをする試みから、さまざまな SIEM (Security Information and Event Management) 製品が開発されていますが、それらの製品の主な目的はデータを 1箇所に見やすく集約することです。対応が必要となる情報の抽出性能は概して低く、事後対応型であるため、まずはシニアレベルの担当者が解析を行わなくてはなりません。
わかりやすい例を用いて説明すると、現在多くの企業が直面している状況は、ビル内とビル外にトランシーバーを装備していない警備員を配置し、互いに連係していない状態と同じです。警備員は、互いに連絡を取らない代わりに、中央の管理センターにすべての警備状況を送信しますが、その中から意味のある情報をより分け、警備員に伝えるためには人手が必要となり、担当者の負担は重くなります。ここで、複数のビルの外側に警備員を大勢導入し、さらにビル内の各部屋にも警備員を配置したうえで、その全員が管理センターに情報を送信したとします。ところが、その管理センターには、情報の送信者と内容を関連付ける機能がありません。この寄せ集めの防御ラインを突破しようと侵入者が次々と現れ、その手口はますます巧妙化するばかりです。
SIEM
エンドポイント ネットワーク
エンドポイント管理 ネットワーク管理
従来のセキュリティ対策
図1:一般的なソリューションでは、データを相関して意味を求めるため、人員や希少な専門知識が必要となります。
ソフォス ホワイトペーパー2017年 5月 3
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
従来の対策と進化する攻撃 かつては、好奇心や破壊欲求に駆られたサイバー攻撃が散見されましたが、現在は、より高度化・巧妙化した攻撃へと変化しています。こういった攻撃は、金銭、諜報活動、政治的主張といった動機のもと、犯罪組織や政府機関、ハクティビストなどによって行われています。サイバー犯罪者は、巧妙な手口のフィッシング詐欺でユーザーを騙して、ログイン情報の窃取や権限昇格攻撃、データの不正入手を行い、ソフトウェアの脆弱性が修正されるのとほぼ同じスピードで、それを悪用する攻撃を仕掛けていきます。ファイルのないメモリベースのマルウェアでネットワークに侵入し、瞬く間に他のシステムへと横断的に感染を広げるのも、最近のサイバー犯罪の手口のひとつです。
サイバー犯罪者には、犯罪テクニックやコードから、匿名通貨、高度にモーフィングされたマルウェア、そのまま攻撃に利用できる感染端末ネットワークまで確保できる地下組織があり、セキュリティベンダーは最新のサイバー犯罪への対応に苦戦を強いられている状況です。中には、完全に機能する高度なクラウドベースの攻撃サービスまであり、コード作成者に成功報酬の一部が転がり込む仕組みの「犯罪用アプリストア」から誰でも利用できるようになっています。
その一方で、従業員は、私物デバイスを企業ネットワークに接続して、自宅、外出先、海外まで、社外のあらゆる場所からシームレスに作業が行えることを期待し、クラウドサービスにデータを保存するケースが増えています。
最新型の脅威への対応は、世界でも最先端の発想力を持つ大企業でさえ解決し難い大きな課題です。攻撃がより巧妙に複雑に絡み合ったものへ変化し続けているにもかかわらず、その攻撃を防御するポイント製品は、個々が独立して動作するものが主流です。増え続ける需要に反して IT 予算が伸び悩む中、従業員はスマートフォンやクラウドアプリケーション、さまざまなポータブルデバイスを業務に活用するため、攻撃経路は広がる一方です。Ponemon Institute の調査では、情報漏えいの 74% が流出から発覚までに半年以上かかっていることがわかっています。また、ESG Group によると、46% の組織がサイバーセキュリティの人材不足を感じていることもわかっています。
Synchronized Security - 複雑な課題をシンプルな手法で解決するテクノロジーSynchronized Security は、エンドポイント対策とネットワーク対策を単一のセキュリティシステムとして統合した業界初のテクノロジーで、共通インターフェースを持つベスト・オブ・ブリードのセキュリティ製品が、相互連係しながらセキュリティ情報をリアルタイムに共有し、インシデントレスポンスを自動的に実行します。
統合管理
エンドポイント ネットワーク
Synchronized Security
図2:Synchronized Security が通信と管理をシンプルに統合
74%
発生から 6カ月以上発覚しなかったデータ漏えい事例の割合
46%
サイバーセキュリティの人材不足を感じている組織の割合
ソフォス ホワイトペーパー2017年 5月 4
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
管理機能はシンプルで、解析やイベント管理にリソースを追加することなく、簡単にフレームワークを設定して管理することができます。また、感染の検出から、隔離、復旧まで自動的に行われるため、従来は数時間から数日かかっていた攻撃の無害化も数秒で完了します。保護機能として優れているだけでなく、費用対効果や運用負荷の面でも効果を発揮します。
Synchronized Security 従来のセキュリティ対策
インテリジェンス 共有する 共有しない
相関分析 自動 人手および一部自動
未知の脅威の検出 コンテキスト分析を活用 コンテキスト分析の活用なし
インシデントレスポンス 対象を絞り込んだレスポンス 対象は曖昧
製品や人的リソースの追加 なし 多大
管理機能 シンプル、統合型 複雑、サイロ型
表1:Synchronized Security と従来のセキュリティ対策の特徴の比較
ファイアウォールとエンドポイントの通信を実現する仕組みは、導入が簡単な Sophos Security Heartbeat テクノロジーです。これにより、クラウドベースの管理コンソール「Sophos Central」を介した安全な相互通信ルートが確保されます。
セットアップは、Sophos XG Firewall のコンソール画面の「Security Heartbeat」タブに Sophos Central の管理者のログイン情報を入力するだけです。セットアップが完了すると、Sophos Central にファイアウォールが表示され、Sophos Central の管理下にあるすべてのエンドポイントと接続されているファイアウォールが相互にハートビート信号を送信しはじめます。
ソフォス ホワイトペーパー2017年 5月 5
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
エンドポイントは、自動的に最も近くのファイアウォールに接続し、一方ファイアウォールは、エンドポイントから送られてくる接続要求を検証して、エンドポイントが Sophos Central によって保護されていることを確認します。同様に、エンドポイント側でも、ファイアウォールのセキュリティ情報と Sophos Central を照合して検証が行われます。これらのすべては、複雑なルールや設定、アップデートなしで、自動的に実行されます。
Synchronized Security の基本動作ファイアウォールとエンドポイントを接続すると、Sophos Central の管理下にあるエンドポイントからファイアウォールにシステムのセキュリティ情報が流れはじめます。XG Firewall ダッシュボードの「Sophos Security Heartbeat」ウィジェットには、Sophos Central の管理下にあるすべてのエンドポイントのセキュリティ状態が示されます。業務上不要なアプリケーションを実行しているシステムや、感染しているシステムは、黄色や赤色で表示されます。赤色は、すぐに対処の必要があることを示し、黄色は緊急度の低いリスクを示します。
ファイアウォールのルールは、セキュリティステータスの変化に応じて作成できます。たとえば、ステータスが黄色のコンピュータに対して、一般的なインターネットのアクセスを許可する一方で、Salesforce や Dropbox など、企業の機密情報が含まれる可能性のあるサイトへのアクセスをブロックすることなどができます。ステータスが赤のコンピュータに対しては、 インターネットへのアクセスをすべてブロックし、ステータスが緑に戻るまで Sophos SafeGuard のファイル暗号鍵 (ライセンスをお持ちの場合) を無効化することも可能です。コンピュータのステータスが緑に戻ると、インターネットへのアクセスが自動的に復旧し、ファイルの暗号鍵も再発行されます。
XG Firewall ダッシュボードの Sophos Security Heartbeat ウィジェット
ソフォス ホワイトペーパー2017年 5月 6
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
XG Firewall 画面のファイアウォールルール - ユーザーが安全な状態でない限り、リスクの高いユーザーによるネットワークへのアクセスをブロックするように設定されている
Sophos XG Firewall は、正常に稼働していたエンドポイントが、ハートビートを送信せずにネットワークトラフィックを生成すると、それを検知します。この状態は、エンドポイント上のマルウェア対策機能が、侵入者によって改ざん、もしくは無効化された可能性を示唆します。侵入されたエンドポイントは、クリーンアップが完了し、ハートビートが復旧するまで、ネットワークから隔離されます。Security Heartbeat は感染したマシンを明確に識別することができ、その情報は、XG Firewall のダッシュボードと Sophos Central Admin コンソールに表示されます。アラートが発生したマシン名から、ログインユーザー名、プロセス名まで、すべてシステム全体で共有されるため、脅威の調査、検出、修復にかかる時間を大幅に短縮できます。従来のサイロ型セキュリティ対策では、一時的に割り当てられた IP ネットワークアドレスの特定だけなので、人手で問題の原因を特定するのに数時間から数日かかることもあります。
Sophos Central Admin コンソールの警告画面に表示される「赤」の警告マーク
ソフォス ホワイトペーパー2017年 5月 7
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
Synchronized Security によるサーバーセキュリティの強化企業や組織の最も価値ある情報が確実に保存されているサーバーは、サイバー犯罪者たちにとっては非常に魅力的なターゲットです。サーバーへの直接攻撃を防ぐことは無論重要ですが、サーバーに接続しているエンドユーザーのコンピュータから広がる感染を食い止めることも欠かせない対策です。
Sophos Server Protection は、攻撃が発生すると、セキュリティの状態の変化を XG Firewall に通知します。通知を受けたファイアウォールは、攻撃されたサーバーをインターネットと社内ネットワーク上の他のコンピュータから隔離し、データ漏えいや感染の拡大を防ぎます。さらには、Destination Heartbeat と呼ばれるサーバーへの受信接続をブロックし、攻撃されたサーバーは、ネットワーク上の他のデバイスに対して表示されなくなります。修復が完了すると、自動的にサーバーの隔離が解除され、サーバーの表示も元に戻ります。
ファイアウォール、サーバー、エンドポイントが相互連係する Sophos Synchronized Security は、最も高度な攻撃にもすばやく確実に対応します。また、Sophos Security Heartbeat に基づいたサーバーの検出と隔離の自動化で、インシデントへのレスポンスタイムも大幅に短縮されます。定期的な Heartbeat ポリシーの適用と併用すれば、侵入したシステムを完全 (インバウンドとアウトバウンド) に効果的に隔離することが可能です。
暗号化の新しいアプローチ: Synchronized Encryption従来ファイル暗号化は、セットアップや使い勝手などの面から、管理者にもユーザーにも厄介な機能でした。それに対し、企業セキュリティの新しいアプローチを取り入れた Sophos SafeGuard Encryption は、すべてのファイルをデフォルトで暗号化し、ユーザーやアプリケーション、デバイスのセキュリティ状態に基づいてファイルの復号化を行います。安全とみなされるアプリケーションのみに、暗号化されていないデータへのアクセスが許可されるため、マルウェアは機密データに一切アクセスできません。ファイルは作成と同時に暗号化され、社内でファイルを共有したり、クラウドにアップロードしたりしても暗号化された状態が保たれます。このすべてのプロセスは、エンドユーザーが一切意識することなく行われ、社外にファイルを送信する際は、ワンクリックで添付ファイルをパスワード保護することもできます。
攻撃を受けているコンピュータの暗号鍵を無効にした際の SafeGuard のメッセージ
ソフォス ホワイトペーパー2017年 5月 8
Synchronized Security:巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
Sophos SafeGuard Encryption もまた、Synchronized Security に対応している製品です。ソフォス製品で保護されており、かつ XG Firewall と通信するエンドポイントが攻撃された場合、ファイアウォールはエンドポイントをネットワークから隔離するだけでなく、SafeGuard のファイル暗号鍵を感染したマシンから削除します。このため、ファイルが外部に流出しても復号化できず、攻撃者は内容を閲覧できません。エンドポイントが安全な状態に戻ると、隔離が解除され、暗号鍵も再発行されます。ポイント製品を寄せ集めたシステムでは数時間、あるいは数日かかることもある、隔離からクリーンアップ、復旧までの全プロセスが、わずか数秒のうちに自動的に実行されます。
攻撃の根本原因を突き止めるSynchronized Security と Security Heartbeat による隔離、修復、復旧の自動化が、セキュリティ業界の流れを変える革新的なシステムであることは明白ですが、過去に発生した攻撃を詳細に解析することは、今後のサイバー攻撃対策の鍵となります。
Sophos Intercept X に搭載されている「根本原因解析」機能は、攻撃の経路をフォレンジックレベルで詳細に可視化し、感染したファイル、プロセス、レジストリはもちろんのこと、修復方法のアドバイスまで表示します。
Sophos Intercept X の根本原因解析機能の「グラフィック表示」タブ
マルウェアが最初にシステムに侵入した経路や、検出・除去までに実行された動作、脅威の完全なクリーンアップが確認できるほか、同様の攻撃を回避するための今後の対策を講じることが可能です。
Synchronized Security: 巧妙な攻撃に先手を打つベスト・オブ・ブリードの防御システム
英国、オックスフォード© Copyright 2017.Sophos Ltd. All rights reserved.Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UKSophos は、Sophos Ltd. の登録商標です。その他すべての製品および会社名は、それぞれの所有者に帰属する商標または登録商標です。
2017-05 WP-JA (NP)
Synchronized Security は、巧妙な攻撃に先手を打つ、ベスト・オブ・ブリードの製
www.sophos.com/ja-jp/synchronized
東京本社
大阪本社
名古屋営業所
福岡営業所
〒104-0033 東京都中央区新川1-16-3 住友不動産茅場町ビルTel : 03-6222-5858 / Fax : 03-6222-5855
〒532-0011 大阪市淀川区西中島5-5-15 新大阪セントラルタワー南館Tel : 06-6309-7600 / Fax: 06-6309-7677
〒460-0003 愛知県名古屋市中区錦1-17-13 名興ビルTel : 052-223-2131 / Fax : 052-223-2133
〒812-0027 福岡県福岡市博多区下川端町1-1 明治通りビジネスセンター 本館Tel : 092-263-6700 / Fax : 092-263-6710