新しいセキュリティのアプローチ「アイソレーション」

ニューノーマルでの働き方やITツールに対応した新しいセキュリティの考え方として「ゼロトラスト」が注目されている。

マクニカネットワークスの上村 直大氏は、ゼロトラストに必要な要素として、「認証・認可の実現」「デバイスの安全性の監視」「ゼロトラストなアクセス許可」「ゼロトラスト時代の運用変革」の4つを挙げる。

「その中でも、テレワークの浸透によって特に注目を集めているのが、SaaSやWebに対するゼロトラストなアクセス許可です。アクセス許可は、社内は『安全』、社外は『危険』と認識していたものが、これからは社内外の経路を問わず最小権限のアクセス許可を付与する形へと変わります」（上村氏）

ゼロトラストなアクセス許可の実現に向け、従来の脅威検知ベースのセキュリティではなぜ駄目なのだろうか。その理由は大きく3つあるという。

「1つ目は『インターネット制限による生産性の低下』です。URLフィルタリングによるアクセス制限は、業務で必要なサイトもブロックしてしまうケースも多々あり、どうしてもユーザーの生産性低下を招いてしまいます。

2つ目は『対処するセキュリティ運用の負荷増加』です。新しい検知手法としてサンドボックスや機械学習などが次々と登場してきましたが、当然その分、検知アラートが増加し、セキュリティ運用の負荷が増大してしまいます。

3つ目は『侵入をゼロにはできない』ことです。新しい検知手法が出たとしても、それをかいくぐる、新たな攻撃手法もすぐに出てきてしまいます。結果として、どれだけ対策を行っても侵入をゼロにすることは実質不可能といえます」（上村氏）

検知手法の限界として挙げられるのが、セキュリティホールが発見された日から、その脆弱性を解消するための対処方法が確立される日までのタイムラグを突く「ゼロデイ攻撃」だ。セキュリティの脆弱性には、ベンダーからのセキュリティパッチを適用すれば対処できるが、どうしてもゼロデイの期間は発生する。稼働中のアプリケーションに影響がないかどうか確認するため、リリースされたパッチがすぐ適用されないケースもある。

また、良いか悪いかを見分ける検知の手法では、ゼロデイ攻撃も新しい手法も、すべてを100％正確に判別できるわけではない。そのため間違いが必ず発生し、誤検知や見逃しがなくならず、負荷も増加していく。

「そこで、全く新しいセキュリティのアプローチである『アイソレーション（分離・無害化）』が注目されています。アイソレーションは、インターネットに存在するすべてのコンテンツを悪意のあるものと位置付け、すべての処理を企業ネットワークと切り離して行います。そして完全に安全なものだけを企業ネットワーク内に送り届けるのです」（上村氏）

アイソレーション技術でマルウエアの脅威を防ぐ

このアイソレーション技術で高い評価を得ているのがメンロ・セキュリティだ。2013年に米国で設立した同社のソリューションは、アメリカ国防総省にITと通信サービスを提供するアメリカ国防情報システム局（DISA）にも採用されている。

それでは新しいセキュリティ「アイソレーション」とはどのような仕組みなのだろうか。これについてメンロ・セキュリティ・ジャパンの寺田 大地氏は次のように解説する。

「アイソレーションでは、コンテンツにかかわらず、そのダウンロードと実行をエンドポイントとは分離された環境で行います。この環境は一般的にはコンテナとしてユーザーごとに割り当てられます。エンドポイントでは外部のコンテンツは一切実行されないため、マルウエアの感染は起こり得ません。またエンドポイントとは安全なレンダリング情報、キーボードやマウスの入力しかやり取りできないため、たとえコンテナが汚染されたとしても、それ以外の情報がエンドポイントに到達することはありません」。

ユーザーがセッションを終了すると、コンテナごと削除されるので常にクリーンな環境が保たれる。エンドポイントには特別なソフトウエアをインストールする必要がなく、ユーザーは使い慣れたブラウザやアプリケーションをそのまま使用できる。そのためユーザーの操作性や生産性を損なうことがないというわけだ。

「メンロ・セキュリティは、このアイソレーション技術を活用し、グローバルでサービスを展開しています。現在、セキュリティ侵害の経路はWebとメールが9割以上といわれています。そこで私たちは、まずこの2つの脅威を防ぐことを目的としたソリューションを提供しています」（寺田氏）

Webおよびメール経由の脅威を排除

まずWeb経由の脅威に対抗するのが「Webアイソレーション」だ。

Webアイソレーションでは、Webサイトの閲覧とWebサイトからのファイルダウンロード／実行処理をエンドポイントから分離することでWeb経由の脅威を排除する。コンテンツのダウンロードと実行はすべてクラウド上のコンテナ内で行われ、エンドポイントには安全なレンダリング情報のみが届く仕組みだ。

「Webサイトは様々なコンテンツから構成されており、その中のアクティブコンテンツ、例えばJavaScriptなどがエンドポイントで実行されることがマルウエア感染を引き起こす原因になっています。また、水飲み場攻撃にあるように、一般的には信頼されているWebサイトに悪意のあるアクティブコンテンツが仕込まれているケースも珍しくありません。Webアイソレーションを活用すれば、こうした脅威を未然に防ぐことができます」（寺田氏）

文書ファイルに潜む脅威も完全に排除できる。例えばWebサイトからWordファイルをダウンロードする場合、オリジナルのファイルはクラウドにあるコンテナで実行され、ユーザーにはその内容がWordではなくブラウザ上で表示される。脅威を排除した形式でローカルへのダウンロードもでき、ExcelやPowerPoint、PDFなど30種類以上のファイル形式に対応しているという。

そしてもう1つ、メール経由の脅威を防ぐのが「メールアイソレーション」である。

メールアイソレーションでは、送られてきたメールに対し、添付ファイルを開いたり、記載されたURLのリンクをクリックしたりしたときに、コンテンツのダウンロードと実行がコンテナで行われるように変換した上で、ユーザーに送信される。ファイルはHTMLでラッピングされ、ユーザーはWebブラウザで閲覧する仕組みだ。パスワード付きファイルであっても安全に閲覧することができる。

ファイルを編集する必要がある場合は、サンドボックスを含むセキュリティチェックをかけた上でダウンロードすることができる。ただし、元のファイルのリスクはゼロではないため、このダウンロードを禁止することも可能となっている。

「既存のセキュリティ対策とは異なり、アイソレーションは検知をしません。そのため、膨大なアラートやユーザーからのリクエストに頭を悩ませることもなくなり、セキュリティ運用の負荷とコストを大幅に軽減することができます。常に安全な状態でコンテンツを閲覧させることができるため、過度なアクセス制限も不要で、ユーザーの生産性を向上させることができます」と寺田氏。テレワークに伴い安全かつ利便性を損なわないアクセス環境の構築を検討している組織にとっては、有効な選択肢となるだろう。

アイソレーションという考え方

既存のWebセキュリティ対策は、様々な制限や負荷の増大を招き、思ったほどの効果を上げることが難しい。これに対しアイソレーションは、侵入前に脅威を分離・無害化するため、現場の負担とコストを大幅に軽減できる

検知に依存しないアイソレーション技術

メンロ・セキュリティでは、そのアクセスが良いものか悪いものかを検知するのではなく、Webやメール経由のアクセスとデバイスをアイソレーション（分離）することで、デバイスが直接の被害を受けない仕組みを実現している

メンロ・セキュリティ・ジャパン株式会社