従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)

従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回

特集 特集

 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処することが出来ず、企業のシステム内部に潜む不正プログラムを発見し駆除することは大きな課題であった。

 そこでトレンドマイクロは、これらの問題を解決する企業向けのセキュリティソリューションの最新版「Trend Micro Threat Management Solution 2.5(TMS 2.5)」のサービスを11月18日から開始する。このソリューションはパターンファイルを使用せず、企業内ネットワークの疑わしい挙動を捉えることで、潜在的な脅威を可視化するというもの。国内外の拠点にも導入することで脅威の状況を一元的に把握し、素早く対処することが可能になる。今回はTMSおよび新機能について、トレンドマイクロ株式会社ソリューションビジネス推進部部長代行、市場開発担当である大田原忠雄氏に話を聞いた。

Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html

●脅威の変化による、パターンファイルでの対策の限界

 トレンドマイクロの企業向けセキュリティソリューション「Trend Micro Threat Management Solution(TMS)」の新バージョン「2.5」が登場する。昨年8月に発表された「2.0」以来のメジャーバージョンアップとなるものだ。TMSは基本的にウイルス対策のためのソリューション。しかし、ほぼすべての企業が何らかのウイルス対策を導入している現在、なぜTMSが必要になるだろうか。その背景には、ウイルスをはじめとする脅威の大きな変化がある。

 脅威の変化にはまず、ウイルス増加が挙げられる。ウイルスの発生頻度は昨年の時点で2.5秒に1回となっており、さらに増え続けている。ウイルス対策はパターンファイルの更新によって対応しているのが一般的だが、このペースではパターンファイルの更新が頻繁になってしまい、ユーザ側もダウンロードやインストール作業に時間や手間、リソースが大きく割かれることになる。もはやパターンファイルでの保護は限界に近づいているのだ。

 また、ウイルスの多様化も大きな変化だ。トップ10のウイルスが全体に占める割合は、2001年は68.3%だったのに対し、2007年は4.5%、2008年は11.3%と、1割程度に減っている。これはウイルスの種類が非常に増えていることを意味している。以前のような大量発生がなくなり、攻撃も細分化されてきた。さらに、攻撃手法の巧妙化が挙げられる。以前はウイルス感染を鼓舞するような攻撃者が多かったが、最近では感染を気づかれないようにしている。

 攻撃手法の巧妙化の裏には、目的の明確化がある。その目的とは金銭であり、ウイルスが金儲けのための犯罪ツールとなっているのが現状だ。以前のウイルスは感染を目的としていたが、最近ではWebサイトの閲覧やUSBメモリの接続など、ひとつの感染をきっかけに不正なプログラムを次々にダウンロードしていく。連鎖的に感染を拡大していくことと、それが内部から行われていくことが、現在の脅威の大きな特徴となっている。

 このような現状から、企業のセキュリティ管理者は「ウイルス対策をしているはずなのに感染してしまう」「新種のウイルスが心配」といった悩みを常に抱えている。さらには、国内外の拠点など遠隔地のウイルス対策が行き届かないという悩みも多く聞かれる。特に海外の拠点の場合は、言語の違いからコミュニケーションを円滑に行えなかったり、現地にセキュリティの管理者がいないといった問題があり、ウイルスに対し十分な対策ができていないのが現状だ。

 このため、海外拠点で問題が発生した場合も現地では対応できず、本社の管理者がリモートアクセスによって原因を探るケースが多いという。時間や人的リソースを割くことになり、コストもかかってしまう。また、そのような海外拠点に出張した社員がウイルスに感染して帰国し、社内から感染が拡大するケースもある。ただでさえ、社内ネットワークに入り込んでしまった脅威に対しては、従来の対策では守りきれなくなっているのだ。

 遠隔地と同様に十分なセキュリティ対策を行えないものに、レガシー環境がある。特に、すでにサポートが切れてしまったOSが搭載されている環境では、脆弱性が放置された状態であることが多い。たとえば、銀行のATMの一部にはWindows NTが組み込みで搭載されており、ここに存在する脆弱性に対策できないままになっている。このようなレガシー環境が脅威の入り口になってしまい、社内ネットワークに入り込み蔓延する危険性もある。

●従来の対策では対処できなかった「内部からの脅威」をカバー

 TMSは、このような従来型のセキュリティ対策製品では対処できなかった部分をカバーするソリューションとなっている。その特徴として、「内部ネットワークの実態を可視化できること」「ウイルス感染からの自動復旧が可能なこと」「エージェントを使用せずにレガシー環境を保護できること」が挙げられる。特に、パターンファイルに依存せずに新種のウイルスにも対応できることが大きな特徴となっている。

 TMSは、アプライアンスである「Trend Micro Threat Discovery Suite」と、処理用サーバ「Trend Micro Threat Mitigation Suite」の2つのスイートにより構成されている。前者が不正プログラムが引き起こす疑わしい挙動を検知、分析してレポートを提供し、後者が感染活動の追跡調査による原因分析と復旧処理を行う。スタンスとしては、社内ネットワークから疑わしい挙動を検知しレポートするサービスに、緊急時の対応、復旧を行う機能を追加したソリューションといえるだろう。これにより検知・分析・連絡・駆除までの一連の流れに対応する。

 では、パターンファイルを使用せずに新種ウイルスにも対応する仕組みをみていこう。TMSでは、社内ネットワークを常時監視してログを記録する。これは「Threat Discovery Suite」に含まれる「Threat Discovery Appliance」によって行われる。このため「Threat Discovery Appliance」は、企業のネットワークトラフィックがもっとも通る場所の、ネットワークスイッチのミラーポートに設置する。

 TMSはこのログをクラウド上にあるトレンドマイクロの分析システムに送り、詳細な分析が行われる。現在のウイルスは、ウイルス自身をアップデートしたり別の不正プログラムをダウンロードしたり、インターネット越しに攻撃者からの指令を待ち受けるといった動作を行う。つまり、必ずネットワークを使った通信を行うわけだ。

 たとえばボットの場合、未登録を含むDNSサーバへ問い合わせを行う、外部のコマンドアンドコントロールサーバへアクセスする、不審な通信ポートを利用したIRC通信を行う、RCボットによるコマンド通信を発信するといった動作を行う。分析システムでは、こういった不正プログラムが使いそうな動きをひとつひとつ分析し、慎重な判断によって不正プログラムによる動作かどうかを洗い出していく。

 分析の際には、トレンドマイクロの「Smart Protection Network(SPN)」と連携する。SPNは、トレンドマイクロのクラウド上にある脅威に関するデータベースで、「ファイルレピュテーション」「Webレピュテーション」「E-mailレピュテーション」の3種類の評価情報を相関分析している。たとえば、スパムメールの情報は「E-mail」に、メールに記載されていたURLの情報は「Web」に、そのリンク先でダウンロードされるファイルの情報は「ファイル」にと、それぞれのレピュテーションに関連づけて登録されている。

 SPNは、このような情報の蓄積によって、メールやURL、ファイルといったひとつの情報から芋づる式に脅威の情報を得ることができ、脅威に先回りして保護を行うことができる。もちろん、分析によって新たに得られた情報はSPNに加えられていく。分析結果はレポートにまとめ、ユーザに送られる。このようにして、企業ネットワーク内部に入り込んだ脅威を見つけ出すことができる。

 トレンドマイクロでは、TMSを1ヶ月間設置して効果を試せるアセスメントサービスも実施しているが、ウイルスがまったく検出されない企業はほとんどなく、たいていの場合は従来の対策に比べて4倍近いウイルスが検出されるという。これは、外部からの脅威だけに特化していた従来の対策ではできなかったことである。たとえIDSやIPSを導入していても、内部からの脅威に対しては脆弱だ。TMSは、こういった従来の対策では守れなかった部分を保護するものであり、従来の対策に追加する形で導入するソリューションとなっている。

【執筆:吉澤亨史】

【関連リンク】
Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  8. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×