世の中、大小ありますが、日々、セキュリティ・インシデントが起きています。
その度、その犯行が起きたのか、なんていう議論をしたりしますが、案外、漏洩したクレデンシャルを使ったリスト攻撃などローテクなものも結構多いと思っています。また、正面玄関(公開Webサーバ)から突かれたものより、標的型攻撃を起点としたもの(マルウェア混入)がやはり多いのでは、とか、マルウェアがノートPCのカメラを乗っ取る、キーロガーを仕込む、そういう攻撃は国内で実際どのくらいあるのだろう、など、正確なところがわからないことも多いです。セキュリティは性悪説で考えるべきだという観点から、内部犯行もケアしなければいけませんし、どこをどう対策すべきか、どこから始めるべきか、それはなかなか判断が難しいところがあります。何故なら、犯行をする人間は一番弱いところを探して攻撃してきますので、本来ならば想定できる攻撃に対し、すべての対策を施すべきだからです。今回は、なるべく製品名を書かず、その対策などを纏めてみたいと思ったのですが、やはり、販社ですので、申し訳ございませんが、製品名を書かせてください。
歯切れが悪い記事で申し訳ありません。とにかくセキュリティの世界では、言えないことも多いので、一般論しか論じられない苦しさ、難しさがあります。また、この記事に書く製品以外にも多種多様な対策製品があったり、いろいろな情報が入ってきてはいるのですが、今回は代表的なものについて書かせていただきます。
Webサーバの脆弱性対策であれば、WAFや侵入防御装置(IPS)などは既に導入されているかと思います。これは、あくまで筆者の私見になりますが、もし、二要素認証を採用していないのであれば、これを採用するだけで、かなり攻撃成功の確率を下げることができるのではないかと考えます。アプリケーション・レイヤのセキュリティ診断というのは、市場にプレイヤーが多く、かつサービスの粒度(はっきり申し上げますと「質」)の幅も大きいように思えますが、ツールを使用した診断であるならば、できるだけ信頼できるものを利用すべきですし、自社開発のシステムであれば、当社ではやっておりませんが(協業させていただいた経験はございます)、ツールによる分析に加え、第三者による監査、人間の目による、ソースコード・レベルの解析を提供している業者がいるかと思いますので、依頼してみるのがよいと思います。自社の開発部隊にノウハウが残るサービスがよいです。当社はツールの提供業者ではありますが、筆者はそう考えています。きっとスゴ腕の方もいらっしゃると思うので、お友達になって欲しいなあ、というのは筆者の心の声でございます。あとは何度も紹介しているので、食傷気味になられている読者の方もいらっしゃると思いますが、ネットワーク・レイヤの脆弱性診断は定期的にしておいたほうがよろしいかと存じます。サーバなどに脆弱性が認められたとしても、到達性が低ければ対策の優先度を下げることができますし、直接攻撃や踏み台攻撃による被害が懸念されるのであれば、対策の優先度を上げなければいけない、これは当たり前のことでありますが、人間の目や手作業で確認するのは困難です。
以下、ご参考までに製品について簡単に書かせていただきます。
まだまだ、コンテンツが全然足りませんね。
対策系
- Lastline
- 標的型攻撃対策にはゲートウェイ型サンドボックス
- 標的型攻撃対策にはゲートウェイ型サンドボックス
- Lastline E-mail Defender
- GmailやOffice365を使っているのであれば、これは有効
- クラウドメールだと通常のセンサーではメールを検査できないのでこちら
- Next Generation Anti-Virus (NG-AV)
- NG-AVで未知のマルウェア対策
- テリロジーならCarbon Blackとか
- Lastlineで検知しきれない場合にこちらで止めるイメージ
- DNSによるブロッキング
- Infoblox Active Trust (DNS Firewall)
- DNS を利用したマルウェアの通信制御
- サイトブロッキングの実現
- TippingPoint
- 公開サーバの保護、定石
- 古いOSやミドルウェアを捨てられない場合に有効な手段になることも
予防系
- RedSeal
- 我らが赤汁、ネットワーク・レイヤの脆弱性リスク管理
- 脆弱性のあるノードの暴露性や攻撃深度の把握はもはや必須
- 各種スキャナ製品との連携も可能
- Rapid7
- 脆弱性スキャナ製品をはじめ、製品群は多岐にわたる
- Tempered Networks
- 秘匿性の高いメンテナンスライン用途
- 重要個所のクローキング(遮蔽)
- マイクロセグメンテーション化
- ポートスキャンさえさせないステルス・ネットワーク
- CTI (Cyber Threat Intelligence)
- KELA等のThreat Intelligenceサービス
- 一言で説明するのは難しいが、ダークウェブへの情報流出状況の把握など
- 生々しい...
- Rapid7 InsightIDR
- 米国で導入が進む、内部犯行対策...
- 米国で導入が進む、内部犯行対策...
- OneSpan(旧Vasco)
- 二要素認証で正面からの攻撃はかなり防げるかと
事後処理(追跡査証)
- EDR
- Carbon Black
- コンピュータフォレンジック
- momentum
- ネットワークフォレンジックというやつですね
- ネットワークフォレンジックというやつですね
- パケットキャプチャ
産業制御システム
- Nozomi Networks
まだまだありますが、またの機会にいたします。
つたない記事を読んでいただいてありがとうございました。
