サイバーキルチェーンへの多層防御ソリューション(ウオッチガード)

ウォッチガード・テクノロジー・ジャパン株式会社（以下ウォッチガード）は3日、コアネットインタナショナル（以下CNI）と標的型攻撃に対する新しい対策ソリューションで協業することを発表し、あわせて米WatchGuard Technologiesから来日したDave Taylor氏（VP of Corporate Strategy & Marketing）によるプレスブリーフィングが行われた。

協業は、ウォッチガードのNGFW（次世代型ファイアウォール）など入口・出口対策製品と、コアグループ（CNIはコアグループのメンバー企業）のアンチマルウェア製品によるエンドポイントセキュリティを組み合わせることで、ワンストップの標的型攻撃対策を実現するというもの。CNIは業務システムのコンサルティング、システム設計・構築などSI部分を担う。導入企業は、入口・出口対策、エンドポイントセキュリティの組み合わせは任意に選ぶことができるが、両社の協業によるソリューションの特徴は、高度化する標的型攻撃に対抗するため、企業システム全体を統合的かつ多層的に防御を可能にする点だ。

攻撃フェーズや業務レイヤごとの多層防御となると、個別のソリューションや対策を組み合わせることになりがちだが、一般にこれはポリシーの適用、運用コストがかる。UTMやSIEMが重宝される所以だが、発表会に登壇したCNI 代表取締役社長大内幸史氏は、コスト面、パフォーマンス面、そして統合的な管理と運用を支援する可視化システム（Dimension）の存在を考慮してウォッチガードのNGFW、UTMを協業先として選んだという。CNIでは、今回の協業ソリューションは、おもに500人～1,000人程度の企業を中心に提供していきたいとする。

近年のセキュリティ対策において、攻撃フェーズ全体を通じての防御、業務フロー、部署・セグメントごとの対策を多層的に展開することが増えている。とくに年々、高度化、複雑化する標的型攻撃にこのような多層防御はむしろ常識だ。

この点については、Taylor氏から米国の動向を交えて詳しい説明があった。Taylor氏は、、米国でも企業に対する攻撃は増えており、昨年の米国でのセキュリティインシデントは前年比66％も増え、攻撃数は1日あたりに換算すると約118,000件という数字になるという。また、スマートフォンやタブレットなど、標的とされるデバイス数も飛躍的に増えている。そして、マルウェアの開発キットなどにより、マルウェアそのものは簡単に手に入るが、やりとり型標的型攻撃など高度な攻撃はコストがかかるようになってきている。標的にたどり着くため、取引先を騙して利用したり、ソーシャルエンジニアリングを利用したりする。また、数日から1年といった時間をかけた攻撃も行われる。

人的コストや時間もかかるため、攻撃者側としては必然的に大手企業、とくに多数の顧客をかかえる小売業が狙われているという。実際、2014年はTarget、eBay、Home Depoなど大手小売りチェーンが相次いで大規模な被害にあっている。

標的型攻撃のプロセス、「サイバーキルチェーン」にも変化が見られるという。高度な標的型攻撃やAPT攻撃については、ロッキードマーチンが提唱した7段階のサイバーキルチェーンが有名だ。最終的な目標に到達するため、まず「（1）偵察」を行い、攻撃手法を決めたりツールを開発する「（2）武器化」のフェーズに入る。その後、マルウェアの配布（「（3）デリバリ」）を行い脆弱性を利用して侵入・感染（「（4）エクスプロイト」）させる。内部に侵入したマルウェアがバックドア、RAT、ボットなどを標的に「（5）インストール」する。この時点で本格的な攻撃の準備が整ったことになり、攻撃者の指令や制御（「（6）C&C」）が標的に対して実行される。最終的に目的の攻撃コードや処理が実行（「（7）目的の実行」）される。

Taylor氏は、標的型攻撃は進化しており、最近ではこの枠組みに沿わないものもあるといい、ウォッチガードでは「キルチェーン3.0」と若干のアップデートを行ったプロセスで対策を考えているという。3.0では、「武器化」のフェーズをなくし、「C&C」と「目的の実行」の間に「感染活動（Lateral Movement/Pivoting）」を追加した。なぜなら、よほど特殊な相手への攻撃以外は、武器化のフェーズがなくとも既存の手法や既知の脆弱性を利用して侵入、インストールまで可能であり、侵入してからバックドアを仕掛けたり、エージェントを起動するだけでなく、システム内部をさらに探索したり、他のサーバーや端末にマルウェアを仕込んだり、あるいはなりすましや踏み台いよって外部への攻撃を行ったりするパターンが増えているからだ。

政府機関や重要インフラ攻撃は、おそらく従来型のサイバーキルチェーンが有効だが、小売業や金融業など一般企業を狙う標的型攻撃の場合、このキルチェーン3.0のほうが適合しやすい。

Taylor氏は、このようなキルチェーンのすべてのフェーズにおいて対策を講じることが重要だという。例えば、「偵察」のフェーズでは外部からのpingについてモニタリングをし、異常や不審なものを検知したら、その応答にマスキングをかけたりブロックする。「感染活動」では、組織内部を部署ごとなどセグメントに分割してそれぞれにFWを設置したり、個別のセキュリティポリシーを適用する。これらをすべてに適用しようとすると、単一のFWやソリューションでは対応しきれないだろう。また、フィルタリングや監視のオーバーヘッドが処理スループットの低下を招く。

サイバーキルチェーンへの対策は、フェーズごとの多層防衛が重要だが、各ポリシーを効果的に管理・運用すること、ログやアラートの見落としを防ぐ可視化ツールの役割、そしてさまざまなソリューションを組み合わせてもパフォーマンスへの影響を抑えられること。Taylor氏は、これらの機能も大切なポイントなので、合わせて対策を講じてほしいとした。