マイナンバー制度が始まり企業は特定個人情報の漏洩を防がなければいけませんが、巧妙さと悪質さを増すサイバー攻撃に対して完璧な防御を行うのは不可能だと言われています。日本マイクロソフト マイクロソフトテクノロジーセンター セキュリティアーキテクトの蔵本雄一氏が今後の企業に求められるセキュリティ対策の考え方とそれを実践するマイクロソフトのツールについて紹介している記事がありましたので、企業のセキュリティ担当者の方はぜひチェックしてみてください。
セキュリティ対策全般をカバーすればいくらお金をかけても足りない!
via singlemother.xyz
情報のセキュリティ対策をするにあたって全てを完璧に防御するのは時間的にもコスト的にも現実的ではありませんので、発想を転換させる必要があります。
セキュリティで重要なのは被害軽減と事後対応!
米国国立標準技術研究所が発行するNIST SP800-61によると、攻撃のROI(費用対効果)を下げるには「防御力向上」「検知分析」「被害軽減」「事後対応」という4つのフェーズがあるが、中でも重要になるのが、「被害を軽減」「事後対応」のフェーズだという。「攻撃をされても、ダメージを軽くする方法を検討することが重要だ」(蔵本氏)。その理由は、費用対効果の悪い会社は狙わないからだと蔵本氏。
攻撃して不正アクセスを行う側も初期投資をしているため費用対効果の低い会社は狙いません。攻撃を完全に防ぐよりも被害軽減と事後対応の仕組みをきっちり作り攻撃側のコストを高くすることが重要です。
メール攻撃は4段階
ここで蔵本氏は実際に脆弱性を使ったメール攻撃のデモを実施。攻撃を仕掛けられた端末はWindows7である。「端末に侵入して資格情報を盗み出す」「盗んだ資格情報を使って侵入を拡大する」「機密ファイルを盗み出す」「バックドアを仕込み、ログを消して脱出する」と4段階に分けて、いかに簡単にできるかその手口を披露した。
最近話題のメール攻撃は「資格情報の盗難」「侵入の拡大」「機密情報盗難」「ログを消去して脱出」の4段階に分けて行われるので、それぞれの段階で被害軽減することが重要です。
第1段階、資格情報の盗難を防止するEOPとATP
現在 EOP では、既知のマルウェアとウイルスに対し 3 種類のエンジンを使用して堅牢な階層型のウイルス対策保護を提供しています。ATP では「Safe Attachments」と呼ばれる機能によりこの保護機能を拡張し、未知のマルウェアやウイルスに対する保護機能、およびゼロデイ攻撃への対策機能を提供して、お客様の電子メール システムの安全を確保します。既知のウイルスやマルウェアのシグネチャが含まれていないメッセージと添付ファイルは、すべて特別なハイパーバイザー環境にルーティングされます。そこでさまざまな機械学習や分析の手法によって挙動が分析され、悪意のある動作が検出されます。特に不審な活動が検出されない場合は、メッセージがメールボックスに配信されます。
第2段階、侵入の拡大を防ぐクレデンシャルガード機能、LAPS、ATA
クレデンシャルガード
Device GuardとCredential Guardを組み合わせで使えば、OSを起動する時から高いレベルのセキュリティを保つことができる。ウイルスなどで問題になったrootkitやOSのシステムレベルで潜伏するウイルスを排除できる。さらに、PCのシステムメモリに潜伏するウイルスやデバイスドライバを改ざんするウイルスなども排除できるだろう。アンチウイルスソフトだけではウイルスの侵入を防げなかったが、Device GuardとCredential Guardを使えばウイルス侵入を限りなく防ぐことができる。
LAPS
攻撃者が組織に侵入する際、マルウェアなどを利用してまずはひとつのドメイン端末に侵入し、その後、Pass the Hash などの手法で同一のパスワードが設定されているその他のドメイン端末へ侵入を試みるなど、徐々に認証サーバーへ侵入するのに必要な高い権限を取得保持している可能性の高いアプリケーション・サービスを狙います。企業ではマスター イメージから複製展開する手法や、ヘルプデスク業務の効率化のために端末毎の管理者アカウントが同一になることが多く、このような場合は、一台がマルウェア感染すると他のすべての端末が侵害される可能性が高くなります。このように侵害を広げていく場合、脆弱性は不要であり、正規の認証を行い、正規の方法で不正なファイルが仕掛けられます。このような組織への侵入を阻止するためには、端末ごとの管理者アカウント パスワードの使い回しをしないことが重要になります。この LAPS ツールを利用する事で、ドメイン端末のローカル管理者アカウントのパスワードをランダムなものにし、管理を行うことができます。これにより、万が一組織内への攻撃者の侵入があった場合でも、組織内への攻撃の広がりや侵入拡大を防ぐためのセキュリティを強化することができます。
ATA
ネットワークに侵入した脅威は、検知されるまでの期間は、平均で 200 日間以上かかると言われています。それまでの間、その脅威はデータや情報を収集し、攻撃を行い続けているのです。Microsoft Advanced Threat Analytics (ATA) は行動分析に基づいて、わかりやすく必要な行動を時系列に提供します。
Microsoft Advanced Threat Analytics は、独自のアルゴリズムを使用してクラウドで機能し、プロファイリングおよび検出対象を判断することによって、システム内での疑わしいアクティビティを特定します。ATA は、既知の高度な攻撃およびセキュリティの問題も識別します。
第3段階、機密情報盗難を防止するAzureRMS
「機密情報を盗み出す」を防ぐ技術として活用できるのが、AzureRMSである。「同技術を活用すれば、たとえ情報が漏えいしてもファイルを追跡することができ、アクセス件を剥奪することができる」と蔵本氏は説明する。
第4段階、ログを消去して脱出されるのを防止するOMS
最後の「ログを消して脱出する」ことを防ぐ技術としては、「Operations Management Suite(OMS)が活用できる」と蔵本氏。OMSではアカウント認証やシステム活動、ポリシー変更などのセキュリティ状況、パスワードのリセットやイベントの削除などの注意すべき問題、パッチの適用状況やアラート、変更管理などの全社横断的な状況が把握できる。