セキュリティ製品では「100％の安全確保」はやっぱり無理 残された一手は？：“多層防御万能論”も崩壊

複数のセキュリティ対策を組み合わせる多層防御の重要性が指摘されている。だが調査結果によると、セキュリティ製品が期待通りに機能しないことは珍しくないようだ。

[Brandan Blevins，TechTarget]

　多層防御セキュリティモデルが企業の情報セキュリティプログラムの中核を担っているといわれて久しい。多層防御セキュリティモデルでは、単一障害点を回避するために複数のセキュリティ製品やプロセス、コントロールを導入する。

　だが最近の調査結果によると、非常に優れたセキュリティ製品を導入していても、攻撃を受ける可能性はゼロにはならないことが分かった。

関連記事

• 誰もが間違う、セキュリティ対策「9の迷信」
• “3大セキュリティベンダー”はもはや「リーダー」ではない――Gartnerが辛口評価
• セキュリティベンダーが猛抗議した製品評価リポートの内容
• 役員会議で議論されるセキュリティ対策に意味はあるのか？

高性能セキュリティ製品の盲点

　情報セキュリティに関するテストとコンサルティングサービスを提供する米NSS Labsが最近公開したリポートでは、企業がどんなに慎重に計画して導入した多層防御も、多くの攻撃者によってくぐり抜けられる可能性があることが明らかになった。

　リポートによると、2013年に実施された侵入防止システム（IPS）製品のセキュリティ効果テストの平均スコアは94％だった。これは、攻撃のブロック率や回避防止能力などを加味した結果だ。次世代ファイアウォール（NGFW）に関する同様のテストでは、最高のスコアを記録した製品は98.5％の効果を発揮していた。また、ほとんどの製品のスコアは90％を超えていた。

関連記事

• 次世代ファイアウォールやWAFが“期待外れ”な6つの理由
• 宣伝通りの効果が出ない？　次世代ファイアウォールやWAFの期待と現実

　これらの数値を見る限りでは、効果の高いIPS製品とNGFW製品を導入すれば、起こり得る攻撃をほぼ全て回避できるように思われる。だが、あるセキュリティ製品を回避した攻撃は、他のセキュリティ製品も回避する可能性が高く、企業のセキュリティスタック（セキュリティ対策の組み合わせ）に大きな溝を残すことになる。そう説明するのは、NSS Labsでアーキテクチャとインフラストラクチャのプラクティスマネジャーを務め、上述のリポートの共同執筆者でもあるクリス・モラレス氏だ。

　こうした攻撃のうち幾つかは、2014年8月に明るみに出た米国の大手金融機関JP Morganが受けたような、高度なゼロデイ攻撃に分類されるものもある。だがモラレス氏は、2014年9月に判明した米Appleの「iCloud」のセキュリティ事件を例に挙げ、単純な攻撃でも問題を引き起こす可能性があると警告する。この事例では、攻撃者が有名人のユーザー名やパスワードを推測したといわれている。

関連記事

• IT部門が押さえておきたいiCloudのセキュリティリスク
• Apple「iCloud」ユーザーが今すぐやるべき“当たり前のハッキング対策”

　「セキュリティスタックは、期待する100％の効果を発揮するわけではないことが分かった。このことは、たった1回の攻撃で被害を受けた場合に問題になる」（モラレス氏）

製品数よりも“監視”に注目

　高度に階層化されたセキュリティスタックに弱点があるのは事実だが、「企業は全ての戦略を捨て去るべきではない」とモラレス氏は強調する。セキュリティ製品を適切に組み合わせ、セキュリティ対策の網の目をくぐり抜ける可能性が最も高い脅威に集中すべきだという。

　そのためには、企業はマルウェアを防止するという考え方をやめて、積極的なインシデントレスポンス（インシデント発生時の組織的な対応）に多くの労力を注ぐようにする必要がある。これは、Fortune 500（米経済紙Fortuneが発表する売り上げ上位企業500社）の企業では実践されていることだが、「まだ全ての企業には普及していない動向だ」とモラレス氏は言う。同氏によると、多層防御でカバーしきれなかったセキュリティホールを完全にふさぐ最も効果的な方法は、アウトバウンドトラフィックを注意深く監視して、悪意のあるアクティビティ（特に既知のボットネットに接続するホスト）の兆候を見つけることだという。

　モラレス氏は、アウトバウンドトラフィックの監視が極めて重要だと考えるようになった理由として、2013年に起きた米小売大手Targetの情報漏えい事件を例として挙げる。攻撃者は、Targetの特定店舗で稼働している空調機器システム業者のネットワークに侵入して、同社のネットワークへの足掛かりを得た。だがこの時点では、同社は実被害を一切受けていなかった。

関連記事

• 実は安全ではない「POSレジ」　サイバー犯罪者が好んで狙う理由は
• セール中はセキュリティ対策を後回し　小売業界の危ない慣習とは

　この状況がTargetにとって問題になったのは、攻撃者が同社の環境で支払いシステムにアクセスし、膨大な数のカード情報を取得してからだ。同社はネットワークに対する悪意のある攻撃の兆候を幾つも見逃している。だがアウトバウンドトラフィックを監視して同社の環境から持ち出された機密データを特定していれば脅威を軽減できたはずだと、モラレス氏は指摘する。「マルウェアはネットワークへの入り口を作ることができる。だが確実に出口を作ることができるわけではない」（同氏）

「攻撃を受ける可能性がある」という事実を受け止める

　Targetが受けたような事件を企業が回避できるようにするセキュリティ製品は多数存在する。初期段階の攻撃を特定するには、米Damballa、米FireEye、米Cisco Systems傘下の米Sourcefireなどのセキュリティ製品が適当だとモラレス氏は説明する。米EMCのセキュリティ部門であるRSAのネットワークデータ監視／分析ツール「RSA NetWitness」などのセキュリティ製品は、社内の監視に適している。理由のないホスト間通信などの異常なアクティビティを特定できる。米Splunkのビッグデータツール「Splunk」も、ネットワークからさまざまな情報を収集して異常な行動を特定するのに役立つ。

　また、FireEye、Damballa、米General Dynamics Fidelis Cybersecurity Solutionsなどの多数のベンダーが、さまざまなセキュリティ製品にボットネットの検出機能を搭載している。こうしたセキュリティ製品はアウトバウンドトラフィックの監視に適しているとモラレス氏は指摘する。だが最も重要なのは、導入しているセキュリティ製品にかかわらず、攻撃を受ける可能性があるという事実を企業が受け入れ、ネットワークで起こっていることに関心を向けるための時間と労力を割くことだ。

　「セキュリティ業界は『セキュリティツールを購入すれば問題ない』とうたってきた。そして企業はその通りにした。だが毎日始業時には、セキュリティ攻撃を受けていると想定することを強くお勧めする。そして、実際のところは分からなくても『誰かがネットワークに侵入している可能性があるから、状況を確認してみよう』と言ってみてほしい」（モラレス氏）