IT展示会「2012 Japan IT Week 春」が5月9日、東京ビッグサイトを会場に開幕し、11日まで行われる。同イベントの1つとなる「情報セキュリティEXPO」では2011年に多発した国内の企業や組織を狙う「標的型攻撃」事件を背景に、出展各社が最新の対策技術を披露している。
標的型攻撃への対策は、“特効薬”がないといわれる。攻撃者は狙いを定めた情報などを持つ組織にだましのテクニックや、未知・既知の脆弱性を悪用する幾多の不正プログラムを使った組織内部のコンピュータを乗っ取り、対象の情報を盗み出す。対策を講じるべき範囲はITシステム全体からユーザーの意識レベルにまで及ぶ。さまざまな対策技術や教育・啓発を組み合わせ、脅威の侵入を防ぎ、侵入を許しても被害を食い止めることが求められる。
シマンテック、トレンドマイクロ、マカフィーは、広範な製品やサービス、ソリューションによる標的型攻撃対策を来場者に訴求。サーバやクライアント、ネットワーク、データの各層に適した対策技術を実装し、それらを統合管理することで標的型攻撃の脅威を最小化するというアプローチだ。そうした中で、各社は標的型攻撃対策を一歩進めるための最新対策を出展した。
シマンテックは、VMwareとの協業を通じて仮想化環境に対する多くのソリューションを披露する。仮想化技術の適用範囲がサーバからクライアントへ広がりつつあり、セキュリティ対策の導入も本格的に意識され始めているという。ソリューションの1つの「Symantec Critical System Protection」ではポリシーベースの監視を行い、ポリシーから外れる挙動を阻止するというアプローチである。例えば、仮想マシンでWebサーバを運用している場合、管理者権限でコンテンツの変更が通常プロセスとは異なる形で実行されようとするとポリシー違反が疑われ、システムで制御する。これにより、マルウェアのダウンロードリンクがWebサイトに埋め込まれるような改ざん攻撃をブロックできるという。
トレンドマイクロは、4月下旬に発表した「Deep Discovery」ソリューションを出展。組織内に侵入した不審なプログラムをアプライアンス内の仮想空間(サンドボックス)で実行して分析し、実際に脅威であるかを判定する。サンドボックスは、WebブラウザやAdobe Reader/Acrobatなどクライアントアプリケーションで搭載したものは多いが、ネットワーク製品での搭載はまだ少ない状況。「クラウドレピュテーション」と呼ばれるベンダーの解析リソースを活用する仕組みが多い中で、ローカル上で解析することにより、脅威が侵入した場合の対応をより迅速にできるメリットがあるとしている。
マカフィーは、米Intelと3年をかけて共同開発した「Deep Defender/DeepSAFE」や「ePO Deep Command」を国内で初めて披露した。Deep Defender/DeepSAFEは、PCのチップセット上で動作し、OSの深部に潜み混むrootkitの検出や駆除を可能にしたもの。高度な手法が使われる標的型攻撃は、従来のセキュリティソフトでは検出が困難とされ、その課題を抜本的に解決するものという。既に第2世代以降のCore iシリーズ(i3/i5/i7 VT-x対応)に搭載され、国内では今夏以降に利用できるようにする計画。ePO Deep Commandは、統合管理ツールのePOでDeep Defender/DeepSAFEの有効化や、Intel vProのアクティブマネジメントテクノロジーを使った電源管理とセキュリティプログラムの更新などを可能にするという。
マクニカネットワークスは、米FireEyeの「次世代マルウェア防御システム」を出展。2005年から販売を手掛けているが、2011年になって標的型攻撃の増加を背景に企業などから問い合わせが急増しているという。次世代マルウェア防御システムは、Webからのダウンロードファイルやメールの添付ファイル、また、URLリンクなどをアプライアンス内の「仮想実行エンジン」で実行して挙動を解析する。悪質なものはその場で定義ファイルに登録され、世界中のユーザーをすぐに共有される仕組みを持つ。ファイアウォールやIPSなど定義ファイルベースでの対策に追加的に実装するソリューションとの位置付けだ。
日本プルーフポイントは、標的型攻撃の初期段階で用いられることの多い不正プログラムや不正リンクを添付したメールへの対策を出展した。同社はIPアドレスやURLによるレピュテーション(評価)機能でこうした攻撃メールを検知する仕組みを持つが、今夏にリリース予定の次のバージョンではメールの“振る舞い”を解析して検知する機能や分析結果などのレポート機能を提供するという。
標的型攻撃対策が数多く出展される中でユニークなデモを披露したのがネットエージェント。実際使われている攻撃ツールを操作して、標的の組織を攻撃者が選定するところからマルウェアの作成、メールを使ったマルウェアの送付、感染したPCで行われる不正操作までの一連の流れを紹介した。対策を講じる上で実際の攻撃を見て理解することが重要だという。デモではマルウェアを忍び込ませたPDFファイルをメールに添付して送りつけるという“一般的”な手法を用いたが、同社ではPDFファイルをJPEG画像に変換して、マルウェアを無害化する新技術を開発している。
情報セキュリティEXPOでは標的型攻撃対策以外の新製品も数多く出展されている。その中で特徴的なものを紹介したい。
マクニカネットワークスは、社内IDで外部のクラウドサービスなどをシングルサインオンできるようにするID認証連携(フェデレーション)の「PingFederate」も出展。同製品ではSAMLやOAuth、OpenIDなどの標準規格に基づいたフェデレーションを実行する。
国内でも企業間の買収や合併、協業が加速する昨今、全く異なるID基盤やITサービスを統合することは容易ではなく、数年がかりで多額のコストを必要するケースが少なくない。フェデレーションに関するソリューションは、クラウドサービス型で提供されるものが多い中で、同製品はオンプレミスで運用するという数少ないタイプのものという。このため、社内外のさまざまなサービスのフェデレーションを柔軟に設定できる点が特徴。
海外では800社の導入実績があり、特に買収や合併などに伴う異なるID統合の負担を解消するソリューションとして採用されているという。
トライポッドワークスは、UTM(統合脅威管理)のセキュリティ対策機能とIP-PBXの機能を1つにしたIP統合ソリューション「SWIFTBOX」を出品した。同社によれば世界初の製品という。
提供対象としているのは、専任のIT管理者を置くことが難しい従業員数が数人から数十人規模の小規模オフィス。近年はこうした規模のオフィスでもコスト削減などからIP電話の導入が進んでおり、セキュリティ対策と一本化することで、設置スペースの削減や管理が不要といったメリットを提供できるとしている。
将来的には、ルータ機能や無線LANコントローラなどIPネットワークに接続可能な機器の機能を順次取り込んでいくという。