2021.02.03
「知らなかった」では済まされないセキュリティの世界《第三回》これで万全…は無い! 複雑化するセキュリティ対策
#サイバーセキュリティ #FW #IDS・IPS #WAF #NGAV・NGEPP #UTM
トップ > 技術ナレッジのアーカイブ > これで万全…は無い! 複雑化するセキュリティ対策
2021.02.03
#サイバーセキュリティ #FW #IDS・IPS #WAF #NGAV・NGEPP #UTM
インターネットが市民権を得て、数十年。常にセキュリティの問題を抱えてきました。
セキュリティ被害は一部の人に降りかかる災難、と思われがちですが、実は身近な問題として存在しています。
サイバーセキュリティの最前線で取り組むテクノプロ・デザイン社の渡邉 瑞穂氏に、サイバーセキュリティにおける対策についてお話しいただきました。
複数のツールを取り上げ、それらをどのように活用するのか見ていきましょう。
2020度新卒でテクノプロ・デザイン社に入社。
約4ヶ月のセキュリティ研修と約1ヶ月のOJT期間を経て現在のサイバーセキュリティ業務に配属。
Webアプリケーションなどの脆弱性診断業務を担当。
趣味はゲーム
以前はセキュリティといえば侵入を防ぐ「入口対策」、やはり侵入を防ぐ対策だけでは限界があるため、近年は侵入されることを前提とした「内部対策」、「出口対策」も重視されるようになりました。
それぞれを簡単に説明すると、下記となります。
入口対策 | 内部ネットワークへの不正アクセスやマルウェアの感染を防ぐための対策 | 内部対策 | 侵入された後で攻撃をいち早く見つけ情報漏洩を防ぐための対策 | 出口対策 | 攻撃によって情報が外部へ流出するのを防ぐための対策 |
---|
対策は、主に三種類存在します。
1つ目は技術的な方法。ツールの使用や、データの暗号化、アクセス権限の制限などで行います。ツールについてはこの後よく使われるものについて解説します。
2つ目は人的な対策。社員へのセキュリティ教育や、情報資産を操作するときのマニュアルの作成などがあります。
3つ目は物理的な対策。内部での犯行を防ぐための防犯カメラや、関係者以外が部屋に入るのを防ぐための入退室の管理などが挙げられます。
これらの対策を情報資産の保守対策として実施する必要がありますが、特にツールに関しては1つだけでは攻撃者に簡単に通り抜けられてしまうため、複数のツールを使用し、1つ通り抜けられても次が防ぐというように多重防御を施す必要があります。
ここからはよく使われるツールの説明をしていきます。
FW(ファイアウォール)は、外部ネットワークから内部ネットワークへの不正アクセスを防止するためのツールです。FWにもいくつか種類がありますが、基本的には外部からのトラフィックを拒否し、内部からのトラフィックとその戻りのトラフィックだけを許可します。
IDSは不正侵入検知、IPSは不正侵入防御のことです。どちらもパケットを監視し、不正なパケットを発見することができますが、攻撃と判断されたパケットは、IDSは管理者に通知するのみでそのまま通してしまいますが、IPSは遮断します。
FWとの違いは、FWはパケットのIPアドレスやポートのチェックを行いますが、IDS・IPSはパケットの中身をチェックし、不正アクセスかどうかを確認することが可能です。
WAFはWebサイトに対しての攻撃を防ぐ効果があります。Webサイトの脆弱性を完全になくすことは実質不可能なためWAFでの対策を行う必要があります。クロスサイトスクリプティングやSQLインジェクションなどはWAFで防ぐことが可能です。
SIEMとは、FWやIDS・IPSなどのセキュリティ機器からログを収集し、リアルタイムに相関関係の分析を行うシステムのことです。 これによって単一機器のみでは検出できなかったインシデントを発見することが可能になります。
PCやスマートフォンなどのエンドポイントの操作や動作を監視し、マルウェアやランサムウェアの感染を素早く検知し封じ込めを行うことができます。感染が疑われる挙動を発見し、その旨を管理者へ通知、管理者はすぐに対応することができます。
NGAV・NGEPPは次世代のAV(アンチウイルス)ソフトのことです。AI・人工知能による機械学習、ソフトウェアの動作からマルウェアの判定を行う振る舞い検知などを用いてマルウェアや疑わしい動作を検知、サンドボックス等で分析することでマルウェアを高い精度で検知することが可能です。
ここまで様々なセキュリティ機器を紹介してきましたが、UTMというAVソフトやFW、IDS・IPSなどの様々なセキュリティ機能を1つにまとめたものが存在します。これ1つでセキュリティ対策を行うことが可能で、複数のツールを導入するよりもコストを低く抑えることができます。ただし、UTMに備わっている機能しか使用できず、UTMのメーカーがセキュリティ更新パッチを配信しない限り、セキュリティ更新を行うことができないため、導入前に製品の比較やメーカーのサポート体制を確認することが重要です。
ツールについて色々と説明してきましたが、何かツールを導入してそれでセキュリティ対策は終わりというわけではありません。発売後に不具合や脆弱性が発見されてセキュリティパッチが公開されたり、新しい攻撃に対応できるようにバージョンアップされたりします。そのため、都度、最新のパッチを導入することや、最新のバージョンに変更するなどのメンテナンスを適宜していく必要があります。ソフトウェアやプラグインなどが古いバージョンのままだったり、パッチの更新を怠っていると、攻撃者に簡単に侵入されてしまう可能性があります。そのため、メンテナンスをしておくこともセキュリティ対策の1つと言えるでしょう。