2012年3月 6日 [ コラム ]

新しいタイプの攻撃に対応するための出口対策の必要性

前回のコラムで書いたとおり、「新しいタイプの攻撃」とは、従来の境界防御を突破し組織のシステムへ奥深く入り込んで情報を盗もうとする攻撃のことである。この「新しいタイプの攻撃」の出現により、組織内部への不正侵入を完全に防ぐのは非常に困難な状況になったといえよう。そこで重要になるのは、万が一組織のシステム内に侵入された場合でも肝心な情報が搾取されるのを防止しようという「出口対策」への取り組みである。

前回紹介したIPA(独立行政法人情報処理推進機構)発行の【「新しいタイプの攻撃」の対策に向けた設計・運用ガイド】には、出口対策の実装項目として次の8項目が記載されている。


(1)サービス通信経路設計の実施
   【対策目的】 経路ルール違反通信の遮断

(2) ブラウザ通信パターンを模倣するhttp通信検知機能の設計 
   【対策目的】  httpメソッド利用バックドア通信の遮断

(3) RATの内部proxy通信(CONECT接続)の検出遮断設計
   【対策目的】  RAT通信の遮断

(4)最重要部のインターネット直接接続の分離設計
   【対策目的】   最重要部へのバックドア設置の回避

(5)重要攻撃目標サーバの防護
   【対策目的】   攻撃対象となる重要サーバの防護 攻撃対象となる重要サーバの防護攻撃対象となる重要サーバの防護攻撃対象となる重要サーバの防護攻撃対象となる重要サーバの防護攻撃対象となる重要サーバの防護 ssss攻撃対象となる重要サーバの防護

(6)SW等でのVLANネットワーク分離設計
   【対策目的】 バックドアマルウェアの拡散範囲の限定

(7)容量負荷監視による感染動作の検出
   【対策目的】 バックドアマルウェアの内部拡散検知

(8)P2P到達範囲の限定設計
   【対策目的】 バックドアマルウェアの一斉機能更新等の防止


詳細な内容についてはIPAのレポートを参照頂くとして、ポイントを簡単にまとめると次のようになる。

(ア)機密データが通信回線を通じてインターネット上に漏れないようにするための対策
   →(1)~(3)
(イ)重要情報が保存されているサーバが攻撃されないようにするための工夫
   →(4)~(5)
(ウ)いったん入り込んでしまったマルウェアが組織の内部で活動することを防ぐための施策
   →(6)~(8)

「新しいタイプの攻撃」には、これといった決定的なソリューションがないのが実情だ。入口対策を継続して行っていくのはもちろんのこと、従来見過ごされがちであった出口対策にも目を向け、組織内部から外部へ向けた通信のセキュリティや、組織内部におけるネットワークセキュリティについて見直しを行い、多層防御を施すのが重要である。

これまで、インターネットの普及に合わせて、情報セキュリティという新たな分野の重要性が増してきたわけではあるが、このところ話題になっている「サイバー攻撃」「標的型メール」「新しいタイプの攻撃」の動向を見ていると、情報セキュリティ上の脅威が社会に与える影響は、今後もますます大きくなっていくものと予想される。すでに「サイバー戦争」という言葉も現実味を帯びてきてしまっていると言わざるを得ない。国家の安全保障を担う一部の組織や企業のみならず、一般の企業や個人においても、いつ不測の事態に巻き込まれるかわからない状況にあることを認識し、冷静な準備を進めていくべきだろう。


お知らせ

ユーザーサポート お客様専用ページはこちら

セキュリティコラム

お問い合わせ

ホワイトペーパー

ページトップへ