従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回 | ScanNetSecurity
2021.06.20(日)

従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回

 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処すること

特集 特集
 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処することが出来ず、企業のシステム内部に潜む不正プログラムを発見し駆除することは大きな課題であった。

 そこでトレンドマイクロは、これらの問題を解決する企業向けのセキュリティソリューションの最新版「Trend Micro Threat Management Solution 2.5(TMS 2.5)」のサービスを11月18日から開始する。このソリューションはパターンファイルを使用せず、企業内ネットワークの疑わしい挙動を捉えることで、潜在的な脅威を可視化するというもの。国内外の拠点にも導入することで脅威の状況を一元的に把握し、素早く対処することが可能になる。今回はTMSおよび新機能について、トレンドマイクロ株式会社ソリューションビジネス推進部部長代行、市場開発担当である大田原忠雄氏に話を聞いた。

Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html

●脅威の変化による、パターンファイルでの対策の限界

 トレンドマイクロの企業向けセキュリティソリューション「Trend Micro Threat Management Solution(TMS)」の新バージョン「2.5」が登場する。昨年8月に発表された「2.0」以来のメジャーバージョンアップとなるものだ。TMSは基本的にウイルス対策のためのソリューション。しかし、ほぼすべての企業が何らかのウイルス対策を導入している現在、なぜTMSが必要になるだろうか。その背景には、ウイルスをはじめとする脅威の大きな変化がある。

 脅威の変化にはまず、ウイルス増加が挙げられる。ウイルスの発生頻度は昨年の時点で2.5秒に1回となっており、さらに増え続けている。ウイルス対策はパターンファイルの更新によって対応しているのが一般的だが、このペースではパターンファイルの更新が頻繁になってしまい、ユーザ側もダウンロードやインストール作業に時間や手間、リソースが大きく割かれることになる。もはやパターンファイルでの保護は限界に近づいているのだ。

 また、ウイルスの多様化も大きな変化だ。トップ10のウイルスが全体に占める割合は、2001年は68.3%だったのに対し、2007年は4.5%、2008年は11.3%と、1割程度に減っている。これはウイルスの種類が非常に増えていることを意味している。以前のような大量発生がなくなり、攻撃も細分化されてきた。さらに、攻撃手法の巧妙化が挙げられる。以前はウイルス感染を鼓舞するような攻撃者が多かったが、最近では感染を気づかれないようにしている。

 攻撃手法の巧妙化の裏には、目的の明確化がある。その目的とは金銭であり、ウイルスが金儲けのための犯罪ツールとなっているのが現状だ。以前のウイルスは感染を目的としていたが、最近ではWebサイトの閲覧やUSBメモリの接続など、ひとつの感染をきっかけに不正なプログラムを次々にダウンロードしていく。連鎖的に感染を拡大していくことと、それが内部から行われていくことが、現在の脅威の大きな特徴となっている。

 このような現状から、企業のセキュリティ管理者は「ウイルス対策をしているはずなのに感染してしまう」「新種のウイルスが心配」といった悩みを常に抱えている。さらには、国内外の拠点など遠隔地のウイルス対策が行き届かないという悩みも多く聞かれる。特に海外の拠点の場合は、言語の違いからコミュニケーションを円滑に行えなかったり、現地にセキュリティの管理者がいないといった問題があり、ウイルスに対し十分な対策ができていないのが現状だ。

 このため、海外拠点で問題が発生した場合も現地では対応できず、本社の管理者がリモートアクセスによって原因を探るケースが多いという。時間や人的リソースを割くことになり、コストもかかってしまう。また、そのような海外拠点に出張した社員がウイルスに感染して帰国し、社内から感染が拡大するケースもある。ただでさえ、社内ネットワークに入り込んでしまった脅威に対しては、従来の対策では守りきれなくなっているのだ。

 遠隔地と同様に十分なセキュリティ対策を行えないものに、レガシー環境がある。特に、すでにサポートが切れてしまったOSが搭載されている環境では、脆弱性が放置された状態であることが多い。たとえば、銀行のATMの一部にはWindows NTが組み込みで搭載されており、ここに存在する脆弱性に対策できないままになっている。このようなレガシー環境が脅威の入り口になってしまい、社内ネットワークに入り込み蔓延する危険性もある。

●従来の対策では対処できなかった「内部からの脅威」をカバー

 TMSは、このような従来型のセキュリティ対策製品では対処できなかった部分をカバーするソリューションとなっている。その特徴として、「内部ネットワークの実態を可視化できること」「ウイルス感染からの自動復旧が可能なこと」「エージェントを使用せずにレガシー環境を保護できること」が挙げられる。特に、パターンファイルに依存せずに新種のウイルスにも対応できることが大きな特徴となっている。

 TMSは、アプライアンスである「Trend Micro Threat Discovery Suite」と、処理用サーバ「Trend Micro Threat Mitigation Suite」の2つのスイートにより構成されている。前者が不正プログラムが引き起こす疑わしい挙動を検知、分析してレポートを提供し、後者が感染活動の追跡調査による原因分析と復旧処理を行う。スタンスとしては、社内ネットワークから疑わしい挙動を検知しレポートするサービスに、緊急時の対応、復旧を行う機能を追加したソリューションといえるだろう。これにより検知・分析・連絡・駆除までの一連の流れに対応する。

 では、パターンファイルを使用せずに新種ウイルスにも対応する仕組みをみていこう。TMSでは、社内ネットワークを常時監視してログを記録する。これは「Threat Discovery Suite」に含まれる「Threat Discovery Appliance」によって行われる。このため「Threat Discovery Appliance」は、企業のネットワークトラフィックがもっとも通る場所の、ネットワークスイッチのミラーポートに設置する。

 TMSはこのログをクラウド上にあるトレンドマイクロの分析システムに送り、詳細な分析が行われる。現在のウイルスは、ウイルス自身をアップデートしたり別の不正プログラムをダウンロードしたり、インターネット越しに攻撃者からの指令を待ち受けるといった動作を行う。つまり、必ずネットワークを使った通信を行うわけだ。

 たとえばボットの場合、未登録を含むDNSサーバへ問い合わせを行う、外部のコマンドアンドコントロールサーバへアクセスする、不審な通信ポートを利用したIRC通信を行う、RCボットによるコマンド通信を発信するといった動作を行う。分析システムでは、こういった不正プログラムが使いそうな動きをひとつひとつ分析し、慎重な判断によって不正プログラムによる動作かどうかを洗い出していく。

 分析の際には、トレンドマイクロの「Smart Protection Network(SPN)」と連携する。SPNは、トレンドマイクロのクラウド上にある脅威に関するデータベースで、「ファイルレピュテーション」「Webレピュテーション」「E-mailレピュテーション」の3種類の評価情報を相関分析している。たとえば、スパムメールの情報は「E-mail」に、メールに記載されていたURLの情報は「Web」に、そのリンク先でダウンロードされるファイルの情報は「ファイル」にと、それぞれのレピュテーションに関連づけて登録されている。

 SPNは、このような情報の蓄積によって、メールやURL、ファイルといったひとつの情報から芋づる式に脅威の情報を得ることができ、脅威に先回りして保護を行うことができる。もちろん、分析によって新たに得られた情報はSPNに加えられていく。分析結果はレポートにまとめ、ユーザに送られる。このようにして、企業ネットワーク内部に入り込んだ脅威を見つけ出すことができる。

 トレンドマイクロでは、TMSを1ヶ月間設置して効果を試せるアセスメントサービスも実施しているが、ウイルスがまったく検出されない企業はほとんどなく、たいていの場合は従来の対策に比べて4倍近いウイルスが検出されるという。これは、外部からの脅威だけに特化していた従来の対策ではできなかったことである。たとえIDSやIPSを導入していても、内部からの脅威に対しては脆弱だ。TMSは、こういった従来の対策では守れなかった部分を保護するものであり、従来の対策に追加する形で導入するソリューションとなっている。

【執筆:吉澤亨史】

【関連リンク】
Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る