従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回 | ScanNetSecurity
2024.04.20(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回

 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処すること

特集 特集
 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処することが出来ず、企業のシステム内部に潜む不正プログラムを発見し駆除することは大きな課題であった。

 そこでトレンドマイクロは、これらの問題を解決する企業向けのセキュリティソリューションの最新版「Trend Micro Threat Management Solution 2.5(TMS 2.5)」のサービスを11月18日から開始する。このソリューションはパターンファイルを使用せず、企業内ネットワークの疑わしい挙動を捉えることで、潜在的な脅威を可視化するというもの。国内外の拠点にも導入することで脅威の状況を一元的に把握し、素早く対処することが可能になる。今回はTMSおよび新機能について、トレンドマイクロ株式会社ソリューションビジネス推進部部長代行、市場開発担当である大田原忠雄氏に話を聞いた。

Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html

●脅威の変化による、パターンファイルでの対策の限界

 トレンドマイクロの企業向けセキュリティソリューション「Trend Micro Threat Management Solution(TMS)」の新バージョン「2.5」が登場する。昨年8月に発表された「2.0」以来のメジャーバージョンアップとなるものだ。TMSは基本的にウイルス対策のためのソリューション。しかし、ほぼすべての企業が何らかのウイルス対策を導入している現在、なぜTMSが必要になるだろうか。その背景には、ウイルスをはじめとする脅威の大きな変化がある。

 脅威の変化にはまず、ウイルス増加が挙げられる。ウイルスの発生頻度は昨年の時点で2.5秒に1回となっており、さらに増え続けている。ウイルス対策はパターンファイルの更新によって対応しているのが一般的だが、このペースではパターンファイルの更新が頻繁になってしまい、ユーザ側もダウンロードやインストール作業に時間や手間、リソースが大きく割かれることになる。もはやパターンファイルでの保護は限界に近づいているのだ。

 また、ウイルスの多様化も大きな変化だ。トップ10のウイルスが全体に占める割合は、2001年は68.3%だったのに対し、2007年は4.5%、2008年は11.3%と、1割程度に減っている。これはウイルスの種類が非常に増えていることを意味している。以前のような大量発生がなくなり、攻撃も細分化されてきた。さらに、攻撃手法の巧妙化が挙げられる。以前はウイルス感染を鼓舞するような攻撃者が多かったが、最近では感染を気づかれないようにしている。

 攻撃手法の巧妙化の裏には、目的の明確化がある。その目的とは金銭であり、ウイルスが金儲けのための犯罪ツールとなっているのが現状だ。以前のウイルスは感染を目的としていたが、最近ではWebサイトの閲覧やUSBメモリの接続など、ひとつの感染をきっかけに不正なプログラムを次々にダウンロードしていく。連鎖的に感染を拡大していくことと、それが内部から行われていくことが、現在の脅威の大きな特徴となっている。

 このような現状から、企業のセキュリティ管理者は「ウイルス対策をしているはずなのに感染してしまう」「新種のウイルスが心配」といった悩みを常に抱えている。さらには、国内外の拠点など遠隔地のウイルス対策が行き届かないという悩みも多く聞かれる。特に海外の拠点の場合は、言語の違いからコミュニケーションを円滑に行えなかったり、現地にセキュリティの管理者がいないといった問題があり、ウイルスに対し十分な対策ができていないのが現状だ。

 このため、海外拠点で問題が発生した場合も現地では対応できず、本社の管理者がリモートアクセスによって原因を探るケースが多いという。時間や人的リソースを割くことになり、コストもかかってしまう。また、そのような海外拠点に出張した社員がウイルスに感染して帰国し、社内から感染が拡大するケースもある。ただでさえ、社内ネットワークに入り込んでしまった脅威に対しては、従来の対策では守りきれなくなっているのだ。

 遠隔地と同様に十分なセキュリティ対策を行えないものに、レガシー環境がある。特に、すでにサポートが切れてしまったOSが搭載されている環境では、脆弱性が放置された状態であることが多い。たとえば、銀行のATMの一部にはWindows NTが組み込みで搭載されており、ここに存在する脆弱性に対策できないままになっている。このようなレガシー環境が脅威の入り口になってしまい、社内ネットワークに入り込み蔓延する危険性もある。

●従来の対策では対処できなかった「内部からの脅威」をカバー

 TMSは、このような従来型のセキュリティ対策製品では対処できなかった部分をカバーするソリューションとなっている。その特徴として、「内部ネットワークの実態を可視化できること」「ウイルス感染からの自動復旧が可能なこと」「エージェントを使用せずにレガシー環境を保護できること」が挙げられる。特に、パターンファイルに依存せずに新種のウイルスにも対応できることが大きな特徴となっている。

 TMSは、アプライアンスである「Trend Micro Threat Discovery Suite」と、処理用サーバ「Trend Micro Threat Mitigation Suite」の2つのスイートにより構成されている。前者が不正プログラムが引き起こす疑わしい挙動を検知、分析してレポートを提供し、後者が感染活動の追跡調査による原因分析と復旧処理を行う。スタンスとしては、社内ネットワークから疑わしい挙動を検知しレポートするサービスに、緊急時の対応、復旧を行う機能を追加したソリューションといえるだろう。これにより検知・分析・連絡・駆除までの一連の流れに対応する。

 では、パターンファイルを使用せずに新種ウイルスにも対応する仕組みをみていこう。TMSでは、社内ネットワークを常時監視してログを記録する。これは「Threat Discovery Suite」に含まれる「Threat Discovery Appliance」によって行われる。このため「Threat Discovery Appliance」は、企業のネットワークトラフィックがもっとも通る場所の、ネットワークスイッチのミラーポートに設置する。

 TMSはこのログをクラウド上にあるトレンドマイクロの分析システムに送り、詳細な分析が行われる。現在のウイルスは、ウイルス自身をアップデートしたり別の不正プログラムをダウンロードしたり、インターネット越しに攻撃者からの指令を待ち受けるといった動作を行う。つまり、必ずネットワークを使った通信を行うわけだ。

 たとえばボットの場合、未登録を含むDNSサーバへ問い合わせを行う、外部のコマンドアンドコントロールサーバへアクセスする、不審な通信ポートを利用したIRC通信を行う、RCボットによるコマンド通信を発信するといった動作を行う。分析システムでは、こういった不正プログラムが使いそうな動きをひとつひとつ分析し、慎重な判断によって不正プログラムによる動作かどうかを洗い出していく。

 分析の際には、トレンドマイクロの「Smart Protection Network(SPN)」と連携する。SPNは、トレンドマイクロのクラウド上にある脅威に関するデータベースで、「ファイルレピュテーション」「Webレピュテーション」「E-mailレピュテーション」の3種類の評価情報を相関分析している。たとえば、スパムメールの情報は「E-mail」に、メールに記載されていたURLの情報は「Web」に、そのリンク先でダウンロードされるファイルの情報は「ファイル」にと、それぞれのレピュテーションに関連づけて登録されている。

 SPNは、このような情報の蓄積によって、メールやURL、ファイルといったひとつの情報から芋づる式に脅威の情報を得ることができ、脅威に先回りして保護を行うことができる。もちろん、分析によって新たに得られた情報はSPNに加えられていく。分析結果はレポートにまとめ、ユーザに送られる。このようにして、企業ネットワーク内部に入り込んだ脅威を見つけ出すことができる。

 トレンドマイクロでは、TMSを1ヶ月間設置して効果を試せるアセスメントサービスも実施しているが、ウイルスがまったく検出されない企業はほとんどなく、たいていの場合は従来の対策に比べて4倍近いウイルスが検出されるという。これは、外部からの脅威だけに特化していた従来の対策ではできなかったことである。たとえIDSやIPSを導入していても、内部からの脅威に対しては脆弱だ。TMSは、こういった従来の対策では守れなかった部分を保護するものであり、従来の対策に追加する形で導入するソリューションとなっている。

【執筆:吉澤亨史】

【関連リンク】
Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ
Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信
組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に 画像

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に
インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×