SPN通信 2013年5月6日

効果的なサイバーセキュリティ対策とは


みなさん、こんにちは。 SPNの塩月です。

標的型攻撃によるマルウェア感染などのサイバー攻撃が企業活動において非常に大きな脅威となっている昨今ですが、サイバー攻撃のセキュリティリスクを効果的に低減させるためにどのような方策を導入すればよいか、お悩みのセキュリティ担当者の方も多いかと思います。

今回のSPN通信は、そのような方々にぜひお読みいただきたい、米国の戦略国際問題研究所(CSIS: Center for Strategic and International Studies)が今年二月に公開した報告書についてご紹介しましょう。

  • Raising the Bar for Cybersecurity
    http://csis.org/publication/raising-bar-cybersecurity

この報告書では過去のさまざまなセキュリティ侵害に関する調査結果を踏まえた上で、いかにすればサイバー攻撃に対するハードルを上げることができるかについてまとめられています。いわばサイバー攻撃に関する「傾向と対策」ですね。

この中に書かれているいくつかの数字を以下に引用します。

  ・ 成功したセキュリティ侵害の90%以上は最も基本的なテクニックのみ使用
  ・ 難しい/高価な対策でなければ防げないセキュリティ侵害はたったの3%
  ・ 96%のセキュリティ侵害は単純または中程度の管理策の実施により防げた
  ・ 75%の攻撃は公開された脆弱性を利用しており日々のパッチ作業で防げた
  ・ マルウェア出現からの数日間は95%がウイルス対策ソフトで検出できない
  ・ 現在の技術ではマルウェア全体の25%が検出されない
これらの数字は、サイバー攻撃の多くが既知の技術や脆弱性を利用する等、極めて単純な手法で行われていること、また企業の多くは現状、それにすら対応できていないこと、さらに通常のウイルス対策ソフトに依存した対策にはおのずと限界があることを表していると言えるでしょう。

このような過去の調査結果に基づき、この報告書ではサイバー攻撃に対抗するプロアクティブなアプローチとしてオーストラリア国防信号局(DSD: Defence Signals Directorate)が提唱する4つのセキュリティ管理策を推奨しています。

  1) アプリケーション・ホワイトリスティングの導入
  2) アプリケーションソフトウェアへのパッチ適用
  3) オペレーティングシステムへのパッチ適用
  4) 管理者権限を持つユーザ数の最少化
一つ目のアプリケーション・ホワイトリスティングとは、信頼できる許可されたプログラムのみを実行可能とする技術です。アプリケーション・ホワイトリスティングの導入により、有害なプログラムや許可されていないアプリケーションはユーザが意図しているかどうかに関わらず実行できなくなるため、実行ファイル形態(EXEやDLL等)のマルウェアの感染や不正プログラムの起動を防止する上で非常に効果があります。

さまざまなベンダーがアプリケーション・ホワイトリスティング関連製品を提供していますが、Windows OS自体にも「ソフトウェア制限ポリシー(SRP: Software Restriction Policies)」や「AppLocker」という機能として実装されています。特にSRPはホームエディション相当を除くXP以降のすべてのWindowsで利用できるため、企業内で比較的手軽に導入することが可能です。

  • ソフトウェア制限ポリシーによるマルウェア対策
    http://www.st.rim.or.jp/~shio/winsec/srp/

  • NSA Application Whitelisting using Software Restriction Policies
    http://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SRP.pdf

四つ目はいわゆる「最小権限の原則」であり、一般ユーザに対しては一般ユーザ権限しか与えない、また管理者ユーザであっても管理者権限を必要としない作業を行う際には常に一般ユーザ権限のアカウントでのログオンを要求するというものです。多くのサイバー攻撃は管理者権限を得ることによりシステム全体を制御します。例えば管理者ユーザでログオンしている際にマルウェアに感染すると、マルウェアは苦もなく管理者権限を手にすることができます。しかし一般ユーザでログオンしている場合は、マルウェアは感染後、何らかの手法を用いて管理者権限を奪わなければなりません。つまり一般ユーザで使用することは攻撃者へのハードルを一段高める効果があるわけですね。

Windows XPまでは一般ユーザとしてシステムを使用することが困難なケースが多々ありましたが、Vista以降に導入されたユーザアカウント制御(UAC: User Account Control)の機能によって、今では一般ユーザでのシステム使用が格段に行いやすくなっています。ですのでたとえシステム管理者であったとしても通常は一般ユーザアカウントでログオンし、必要に応じて管理者ユーザに権限昇格するといった使用方法も、さほど無理なく実現することが可能です。

これらの二つとアプリケーションおよびOSのパッチ適用を合わせた4つの管理策は、DSDの35のセキュリティ管理策の中でもトップ4として位置づけられており、DSDの調査結果によればこの4つの管理策の導入で過去DSDが対応したセキュリティ侵害の85%以上は防げたであろうとされています。

  • Strategies to Mitigate Targeted Cyber Intrusions
    http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

パッチ適用はともかく、アプリケーション・ホワイトリスティングの導入や一般ユーザでのシステム使用は利用者のユーザビリティに少なからぬ影響を与える可能性があるため、企業内における展開には抵抗があるかも知れません。しかしサイバー攻撃に対するこれらの効果は極めて大きいと言われていますので、この機会にぜひ一度、検討してみてはいかがでしょうか?

それではみなさん、またお会いしましょう。

合同会社セキュリティ・プロフェッショナルズ・ネットワーク
代表社員 塩月誠人


※ 本サイトに掲載されている社名、団体名、製品名等は、それぞれ各社・各団体の商標または登録商標です。

Copyright (C) 2013 Security Professionals Network Inc. All Rights Reserved.