インターネットが普及し、世界中のさまざまな場所、さまざまなデバイスが相互につながり合えるようになったことで、ネットワーク上でやり取りされる情報量の増加、さらには情報そのものの価値の上昇と同時に、これらの情報は新たなリスクに晒されることとなりました。

そのリスクとは、サイバー攻撃です。

本記事の読者の中には、
「サイバー攻撃くらい知っているし、それを防ぐためのアンチウイルスソフトだってしっかりと導入済みだ」
と思われている方も多いことでしょう。

確かに情報セキュリティについては今や広く言い立てられており、またその重要性に対する理解も徐々に高まってきていると感じる場面はあります。しかし、その多くは自分が日常的に触れているPCやスマホ、タブレットなどのエンドポイント端末に対してのみにすぎません。

後述することになりますが、近年のサイバー攻撃は非常に多彩かつ巧妙で、従来の考え方では対処しきれません。その代表的な攻撃として近年顕著なのが、サーバへの攻撃です。

そこで本記事では、2018年5月11日に開催された情報セキュリティEXPO内で行われた、サーバセキュリティのためのソフト、Trend Micro Deep Security(以下、Deep Security)についての講演と、その後で実現したDeep Security担当者、福田氏へのインタビューの模様を、前後編に分けてお届けします。

日々進化していくサイバー攻撃に対応するためには、常に自分の知識や環境をアップデートしていくことが欠かせません。
インタビューではDeep Securityがどのような企業に適しているのか、までも詳しく伺っているので、自社の環境に適した製品であるかのチェックも含めて読むことができるはずです。

目次

1.エンドポイントだけではない、サーバのセキュリティ
2.いま振り返る2017年の重大インシデント
3.重大インシデントに学ぶサーバセキュリティの4要素
4.多層防御こそが“いたちごっこ”に対する解答のひとつ
5.Deep Securityが先駆ける、ランサムウェアの挙動から見る不正対策のいま

エンドポイントだけではない、サーバのセキュリティ

企業における情報資産のうち、コンピュータについては大きく「サーバ」と「クライアント」との2種類に大別されます。

中小企業においては「サーバ」に対する機能として「公開ウェブサーバ」「メールサーバ」「社内向け業務サーバ」「ファイルサーバ」といったものが挙げられ、「クライアント」に対してはユーザ(従業員)の手元のコンピュータやモバイルデバイスといったものが挙げられます。

セキュリティ担当者の観点から見たとき、中小企業においては特に「クライアント」に対するセキュリティであるエンドポイント防御――つまり、一般的にいう「セキュリティ対策ソフト」の導入は進んでいると思います。

では、「サーバ」に対するセキュリティはどうでしょうか。

日々、サーバのファームウェアやソフトに対する脆弱性対策を行っていることはもちろんですが、そもそもそういったセキュリティパッチ等が出ていない事象に対しての防御は万全といえるでしょうか。

一般的にサーバを脅威から防ぐセキュリティソフトは、エンドポイントを防ぐセキュリティソフトと比較して高価であったり、システム要件などの面で導入しづらかったりすることから、従業員数が100人以下の企業では特にその導入率が低いと考えられます。

一方で、サーバに保存される情報はこれまでよりも重要なものとなり、また常時インターネットに接続されるようになったことで「万が一」のことを無視してはいられないようになりました。

昨今の情報セキュリティ関連のイベントでも、サーバに対するセキュリティソフトの導入の必要性が大きく語られるようになり、「万が一」を未然に防ぐためのソリューションや製品が取りざたされるのが一般的になってきた印象です。

そんなサーバ向けのセキュリティソフトのひとつに、トレンドマイクロが開発したDeep Securityが存在します。

このソフトウェアは先日のAWS re:Invent 2017においてもAWSのサーバ防御に対応したソフトのひとつとして紹介され、注目されているソフトです。

このソフトは、サーバを脅威からどのように保護するのでしょうか。

2018年5月に開催された第15回情報セキュリティEXPO[春]の中で紹介された、トレンドマイクロのセッションから、近年のサーバセキュリティの動向と、Deep Securityの多彩な機能とを紹介します。

いま振り返る2017年の重大インシデント

まずはトレンドマイクロの福田氏によるセッション内容をお送りします。

セッションの冒頭で挙げられたのは、2017年に発生した
 1.WannaCRY
 2.Word Pressの脆弱性を利用した攻撃
 3.Apache Struts2の脆弱性を利用した攻撃
という3つの重大インシデントの説明でした。

1.WannaCRY
脆弱性を利用して進入したWannaCRYは、挙動自体は通常のランサムウェアと同様、感染した端末の内部やその端末から見える範囲のファイルサーバを暗号化していくというものでしたが、一番の特徴は自身がワーム機能を持っていたということです。
この機能によってWannaCRYは感染した端末からファイルサーバへと移動し、そこを基点に会社中のファイルに感染・暗号化、爆発的な感染を引き起こしました。

2.Word Pressの脆弱性をついた攻撃
第三者が脆弱性を利用してサーバに働きかけるもので、これによってサーバコンテンツが容易に改ざんされてしまいます。
福田氏によれば、サーバコンテンツの改ざんというとウェブ上の画像や文章を変えたりするのが印象的ですが、現代の攻撃者はそんなわかりやすいことはせずに、画像・ボタン・バナーはそのままで、クリックするとウイルスをダウンロードしてくるようにするというものがほとんどとのこと。
こうなると人間の力では改ざんに気づくことができないので厄介です。

3.Apache Struts2の脆弱性を利用した攻撃
数多くのウェブアプリケーションに使用されていたフレームワークのApache Struts2に存在していた脆弱性を利用した攻撃で、管理者でないとできない任意の行動を、ID/パスワードを使用することなく外部から起こせるというものでした。
この脆弱性を利用すると、管理者同様の行動が可能になります。
つまり攻撃者は、マルウェアに代表される悪意あるソフトウェアを利用することなく、正規のツールを利用して情報漏えいを引き起こすことが可能なのです。
これでは当然、アンチウイルスソフトによる検知は期待できません。

重大インシデントに学ぶサーバセキュリティの4要素

福田氏は続けて、昨年大流行した重大インシデントを受けて、サーバセキュリティにおいては以下の4要素が不可欠なのだと語りました。

1つ目は、サーバの脆弱性対策。
エンドポイント端末に対しては、セキュリティパッチを適用することによる脆弱性対策を十分に進めていても、サーバに対しては迅速にセキュリティパッチを適用できず、十分な脆弱性対策ができている企業はまだ少ないそうです。

2つ目は、未知のウイルスへの対策。
きちんとウイルス対策がされているサーバであれば、アンチウイルスソフトのパターンマッチングによって当然検知できますが、パターンマッチングのリリースよりも早くウイルスが出回った場合にはいくら対策していても不可能です。
これに対抗するには、パターン化されていないウイルスへの対策が必要になります。

ここで福田氏が語ったのが、挙動監視についてです。
ウイルスを過去の事例からパターン化して検知するのではなく、挙動そのものを見てそれが不審なものであればそのアプリケーションの動きを止める、というものでした。
今までのセキュリティは白か黒、つまりウイルスかそうでないか、という考え方しかありませんでした が、挙動監視によって白と黒の間に無数に存在するグレー、つまりサイバー攻撃の種を検出することができるのです。

3つ目は、変更監視。
目視では気づけないような不正な改ざんを受けたときのためには、当然改ざん検知機能もなくてはなりません。
どの時点で変更が行われたのかをはっきりさせるという意味でも、重要な要素の1つといえます。

4つ目は、ホワイトリスト運用。
サイバー攻撃はウイルスを使用したものだけではありません。
正規ツールを使用して情報を漏えいさせることも可能なのです。これを防ぐためにあるのが、ホワイトリスト運用。これはサーバの目的以外の動きをするソフトを、もともと動かさないようにしてしまうものです。ホワイトリストに登録されたもの以外は動作させないようにすることにより、不審な挙動をそもそも起こさせません。

トレンドマイクロのサーバセキュリティ製品であるDeep Securityはこの4つの要素を重点に据え、管理者の利便性とともに堅牢な防御を機能させているのだと明かされました。

多層防御こそが“いたちごっこ”に対する解答のひとつ

さらに福田氏は、Deep Securityの開発の根底にあるのは、多層防御である、と加えます。
現実問題として、いたちごっこの様相を呈している現在のセキュリティ環境において、ウイルスなどの悪意のあるものを単一のセキュリティ機能で完全にシャットアウトするのは不可能といえます。

つまり、たとえ感染したとしても、どこかでその挙動を停止させるということが大切だ、ということです。

これを実現するためには、複数の機能を網目のように捉え、ひとつ目の網を突破されても次の網で捕まえられる体制が必要と語っていました。

また、福田氏はこの多層防御の考え方はサーバにおいて特に重要だと強調しました。
なぜなら、業務用サーバにおいて一番肝心なのは、動きを止めないということだからです。
外向けのサーバが稼働を停止してしまえばお客さまとの連絡がとれなくなってしまいますし、社内サーバにある重要な情報ファイルが暗号化されれば社内での情報伝達がストップしてしまい、業務自体が滞ってしまいます。

このことは、公開サーバ・社内サーバに関係なく、多層防御によるサーバへのセキュリティ対策が欠かせないということを示しています。

確かに一昔前までは、公開サーバには改ざん検知機能などを搭載して堅牢なセキュリティを築くことをおすすめする一方、社内サーバに関してはウイルス対策だけやっていれば十分、といわれていた時代もありました。

しかし上記のように、この考え方は古いといわざるを得ません。
公開サーバだろうと社内サーバだろうと、どちらも同じような脅威に晒される時代となっているのです。

今の時代に即しているのは、サーバであれば狙われる、という発想のもとに、どちらも均等に意識を配り、セキュリティ環境を構築していくこと。
これが大切であると福田氏は語り、セッションは終了しました。

Deep Securityが先駆ける、ランサムウェアの挙動から見る不正対策のいま

福田氏のセッションに次いで行われたのは
「なぜ今サーバの不正プログラム対策強化が必要なのか」
と題された、謝(シャ)氏によるセッションです。

今回は、先ほどの福田氏のセッションでも触れられたランサムウェア「WannaCRY」を掘り下げる形で進められていきました。

謝氏によると、ランサムウェアがサーバに被害を与えるケースは、サーバに感染しない場合と感染する場合に分けられるそうで、中でも今回主題となるWannaCRYは、サーバに感染する可能性の高いランサムウェアです。

これに関連して、全部で7つあるDeep Securityの保護モジュールの中から、不正プログラム対策について語られました。

Deep Securityの不正プログラム対策の特徴として、「機械学習」と「挙動監視機能」とが挙げられるとのこと。
この2つについて、福田氏の講演では語られなかった詳しい部分について、解説がされていきます。

通常、不正プログラムを検知するのはディスクI/Oが発生した段階でのパターンマッチングからですが、トレンドマイクロの挙動監視では、そのファイルが実行された段階の挙動を見て検知するので、不正プログラムの検出率と駆除率は向上しているそうです。

もう1つは、未知の脅威に対する機械学習機能。
不正プログラムやランサムウェアの大流行の理由の1つが、短時間で多大な数の亜種が生み出されるということ。
機械学習機能では過去の不正プログラムの特徴を抽出し、それに照らし合わせることでこういった未知の脅威である亜種にも対応していけるそうです。
※すべての未知の脅威に対応するものではありません。

これによって、パターンにないグレーのプログラムを白と黒とに分けることが可能になっています。

この2つの機能の活動機序についてもご紹介を受けました。
・まずはパターンマッチングによって明らかな白と黒を調査の対象から除外。
・その後、挙動検知と機械学習機能でグレーのプログラムを、「ふるいにかけるようなイメージで」判別。

近年の巧妙な不正プログラムには、単純なパターンマッチングだけでは十分に対策できるとはいえません。
だからこそ、挙動監視と機械学習機能による高度な不正対策プログラム機能を持っているDeep Securityが必要になるのです、とまとめ、謝氏のセッションが終了しました。

後編では、前半のセッションの講演者である福田氏にインタビューにて伺ったお話を元に、サーバセキュリティの現在と企業がとるべき対策について考えていきたいと思います。