金融サイバーセキュリティフォーラム2018 ~金融機関におけるサイバーセキュリティの展望と課題~
2018年10月31日、「金融サイバーセキュリティフォーラム2018」が開催された。同フォーラムでは、金融機関におけるサイバーセキュリティ対策について、各分野で第一線の専門家が解説した。このなかから、Menlo Security, Inc.の講演を紹介する。
検知に依存するセキュリティ対策では被害はなくならない
従来のWebセキュリティ対策とはまったく異なるアプローチで、エンドポイント(最終ユーザー)を脅威から守るためのソリューションとして最近注目されている「アイソレーション」について、紹介します。
数年前の標的型攻撃による情報漏洩や最近のランサムウェアによる金銭的被害など、セキュリティ事故は依然として発生し続けています。なぜ、こうした被害が起こるのでしょうか。これまでのセキュリティ対策がそもそも検知に依存しているからではないかと考えています。
ファイアウォールやIDS/IPS、アンチウィルスなど悪意があると既に分かっている脅威に対して、照合によって排除するといった第一世代はもとより、サンドボックスや機械学習、AI(人工知能)など未知の脅威への対策といった第二世代も含め、良いか悪いかの判断が加わる以上、誤検知や見逃し、ユーザーのうっかりミスといったことは起こりえます。また、検知技術と回避技術はイタチごっこを続け、新たな脅威に備え、日々、新たな製品やソリューションを挿入するといった動きを取られているのではないかと思います【図表1】。
Web経由の脅威について、興味深いデータがあります。例えば、アクセスの多い10万サイトの42%がリスクであること。4,600のフィッシングサイトが正規ホスティングサービスを利用していること。プロキシのカテゴリーにおいてはBusiness and Economyが一番のリスクであるといったことです。1つのドメインへのアクセスで、裏では数十もの別ドメインとつながっていることも多く、ユーザーが知らない間にマルウェアに感染することもありえます。業務上利用するWebサイトへの注意喚起は、社員教育をもってしても不可能です。
「分離・無害化」を軸とした防御策=アイソレーション
アイソレーションは、検知技術に頼らず、そもそも脅威がエンドポイントに到達できない仕組みを実現した「分離・無害化」を軸とした防御策です。Webにあるすべての情報を取得し、安全な表示結果だけをエンドポイントに届けます。Webとエンドポイントの間にあるアイソレーションプラットフォームでコードを取得するため、先ほどの別ドメインといった裏でつながっているサイトのリスクも回避できます。
アイソレーションは、非常に効果的な新しいテクノロジーであり、弊社を含めいくつものベンダーが存在します。アイソレーションを採用するにあたっては、いくつかの課題点があります。例えば、基本機能として実用的であるかどうか。WebサイトにはHTMLだけではなく、JavaScript、画像、フォントといった多くのファイルが存在します。フォントの脆弱性からマルウェアが仕込まれたこともあり、ページを構成するすべての要素に対応できることが大切です。また、HTTP/HTTPSのどちらにも対応していること。暗号化通信での内容についても無害化する必要があります。
導入への負荷が低いことも非常に大切です。エンドポイントソフトウェアを必要としない点やユーザーの操作感を損なわないかどうかも検討課題です。多くのアイソレーション技術は、ピクセルミラーリングと呼ばれる実装形式で、分離した結果を画像としてエンドポイントのブラウザに表示しているため、解像度が高いほど、PCへの負荷がかかったり、インターネット回線の帯域を圧迫したりします。
【図表1】これまでのセキュリティ対策「検知」
既存環境への影響を抑え簡単に導入できる点も特徴
実は、こうした課題点を解決したのがMenlo Security lsolation Platform(MSIP)です。DVCとACRという2つのコアな技術によって、ユーザーの操作感を損なわないまま、リスクとなるすべてのアクティブコンテンツをエンドポイントと分離した環境で、取得・実行できるものです。
もうすこし具体的に説明します【図表2】。MSIPでは、仮想マシンがいくつも動いていて、それを仮想コンテナとしてユーザーに割り当てながら代理でコンテンツを取得し、表示結果を返します。新たなセッションのたびに仮想コンテナを消去するため、たとえ仮想コンテナが感染したとしても持続することはありません。また、表示結果に関しても単純に絵ではなく、Webページの構成要素をコピーするため、ユーザーの使い勝手を損ないません。これは弊社が特許として取得している技術です。
日本の金融機関様では、VDIの代わりにアイソレーションを導入したり、VDIを補完する形で導入したりする事例が増えています。また、プロキシのカテゴリーが未分類のサイトに関しては、MSIPを通じて閲覧するといった運用もあります。ダウンロードした文書ファイルを安全に見て保管する際に用いるケースもあります。MenloSecurityは、クラウドサービスであり、アプライアンスを社内に導入する必要もなく、既存環境への影響を抑え簡単に導入できる点も特徴の1つです。
【図表2】Menlo Security Isolation Platform(MSIP)
転載元:株式会社JTBコミュニケーションデザイン
お問い合わせ・資料請求
株式会社マクニカ Menlo Security 担当
- TEL:045-476-2010
- E-mail:menlo-sales@macnica.co.jp
平日 9:00~17:00