気づいていますか? その大きな負担 日々のウイルス対策とぜい弱性、パッチ管理

DIRECTION Vol.18

企業のクライアントPCを脅かす“3つの問題”

昨今、PCの使い方や環境の多様化に伴い、セキュリティ上の脅威は、さまざまに変化しています。

  • 不正プログラム
  • ぜい弱性への攻撃
  • 情報漏えい

さらにその脅威の手法も複雑化しており、不正プログラムによる攻撃ひとつをとっても、そのテクニックは日々進化し続けています。
すべてのPCがネットワーク、さらにはインターネットを通じてつながっている今日では、その影響も想像以上に広範囲に及ぶ可能性を秘めており、数千~1万台規模のクライアントPCを抱える組織では、これら脅威への対応がIT管理部門にとって非常に大きな負担となっています。


さて近年、組織のIT管理部門で問題となっているポイントは、大きく分けて3つあります。

    1. ぜい弱性を狙った攻撃への対応
  • 次々に発見されるぜい弱性と、ゼロデイ攻撃
  • ぜい弱性対策のためのパッチと業務用アプリケーションの相性

    • 2. 煩雑な管理
  • 複数のセキュリティ対策の混在による、一元管理の困難性
  • 狙われるぜい弱性はオペレーティングシステム(OS)のみならず、さまざまなビジネスアプリケーションも同様
  • パッチの「重要度」の判断の困難性

    • 3. 多様化するクライアントPCの管理
  • P2Pソフトウェア、IM(インスタントメッセンジャー)と情報漏えい
  • さまざまな場所でインターネットに接続できるモバイルPCの増加

 

ぜい弱性を狙った攻撃への対応

あるソフトウェアにぜい弱性が見つかった場合、ベンダは対応したパッチを用意しますが、それが提供されるまでPCは無防備な状態に置かれます。最近では、発覚したばかりのぜい弱性を狙う「ゼロデイ攻撃」も多いため、パッチの適用が間に合わないケースが増えています。
また、ベンダからパッチが提供されたとしても、それを各クライアントPCに適用するとなると、現在使用している業務用アプリケーションやネットワークに悪影響を与えないか検証が必要となり、システム管理者に重い負担を強いるとともに、パッチ適用までの期間をさらに長くしてしまっています。

煩雑な管理

最近では脅威の高性能化、多機能化が進んでいます。それゆえ、IDS / IPSといった外部からの攻撃に対応する対策だけでなく、持ち込みPC等からの感染など、内部からの脅威にも抜本的な対策が必要となっており、結果としてその管理は煩雑にならざるを得ません。

また、近年の「ぜい弱性」への攻撃は、OSだけでなくあらゆるソフトウェアを狙うようになってきていることから、PCのセキュリティを常に最新の状態に保とうと考えると、数千台~1万台規模のクライアントPCを抱える組織の場合、それぞれにパッチを当てるだけで途方もない手間がかかります。
さらに数多く配布されるパッチの中から、いま自社のネットワークにとって最も重要度の高いパッチを選定した上で検証、適用するとなると、これはもう至難の業です

 

多様化するクライアントPCの管理

「Winny」をはじめとするファイル共有(P2P)ソフトウェアを介した情報漏えい事故の発生は、いまだにとどまることを知らず、P2Pソフトを利用していた社員のPCがウイルスに感染し、内部に保存されていた機密情報がインターネットへ流出、といったケースが後を絶ちません。また、インスタントメッセンジャー(IM)のチャット機能、ファイル送信機能などによって情報が漏えいする可能性も懸念されています。

加えて、さまざまな場所からインターネットに接続できるモバイルPCの存在は、情報漏えいのリスクをさらに増しています。モバイルPCを使って無線LANや外部のネットワークへ接続した際、ウイルスに感染。会社に戻って社内ネットワークへ接続した結果、ウイルスが社内中に蔓延してしまう危険性も高まってきています。

 

“3つの問題”に求められる対応とは

ぜい弱性への対応のためには、個々のクライアントPCにどんなOSやソフトウェアがインストールされているのか、どんなぜい弱性を抱えているのか、どのパッチが当たっているのか等を把握する必要があります。また、特に未知のぜい弱性への対応としては、日々発見されるさまざまなぜい弱性の情報を集めることが必要です。仮にパッチがリリースされていないぜい弱性が存在した場合には、ゼロデイ攻撃の脅威に対抗するための手立てを講じなくてはなりません。

煩雑な管理を効率化するためには、まず、重要度の高いパッチを選定して適用することです。OSやソフトウェアのぜい弱性は、それこそ毎日のように発表されています。しかし、その中には悪用される危険性が低いものもあります。そこで、このようなぜい弱性はひとまず保留し、例えば攻撃されるとクライアントPCを乗っ取られてしまうような危険性の高いぜい弱性に対象を絞り、優先的にパッチを適用していきます。適用を自動化する手段もあるでしょう。
ただしその際は、パッチの適用が他のソフトウェアやネットワークに与える影響を検証しなくてはなりません。となれば、既存環境への影響を最小化するための、まったく新しい「パッチの適用方法」が必要といえるでしょう。

クライアントPCを効率的に管理する手立てとしては、使用できるソフトウェアを制限する方法があります。先に挙げたようなP2PソフトウェアやIMなど、危険性の高い、あるいは業務上不要と思われるソフトウェアのインストールや一部機能の使用を禁じることで、情報漏えいのリスクを低減します。これらのソフトウェアが使用するポートを閉じておくことも、重要なポイントです。

 

ウイルスバスター Corp.のプラグイン「IDF」で“3つの問題”を解決

IT管理者の負荷を増大させる“3つの問題”。その対応例を挙げましたが、いざ実施するとなると簡単なことではありません。特に、ネットワーク内に数千台~1万台規模のクライアントPCが存在する組織ではなおのことです。

そこでこのたびトレンドマイクロが新たに発表したのが、「侵入防御ファイアウォール(Intrusion Defense Firewall、以下IDF)」です。IDFはウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp.)のプラグイン製品であり、IDFを導入することでウイルスバスター Corp.のセキュリティ機能は一段と強化されます。またウイルスバスター Corp.の管理画面から設定や管理を行うことができるため、複数のセキュリティ対策を効率的に実施することができます。

 

さまざまな機能を提供する「フィルタ」と、「仮想パッチ」

IDFでは、パケットを監視するステートフルインスペクションファイアウォールが強化されたことに加え、「ぜい弱性フィルタ」「エクスプロイトフィルタ」「スマートフィルタ」の3つのフィルタが搭載されており、既知のぜい弱性だけでなく未知のぜい弱性にも対応することができます。

既知のぜい弱性に対しては、エクスプロイトフィルタが、既知のぜい弱性を狙う攻撃を検出して遮断します。未知のぜい弱性に対しては、ぜい弱性フィルタが対応します。

ここで注目したいのが、「仮想パッチ」という考え方です。
エクスプロイトフィルタとぜい弱性フィルタは、特定のぜい弱性をついた攻撃をブロックすることで、PCに仮想的なパッチを適用する機能を持っています。これによって、ぜい弱性が発見されてからベンダが公式のパッチを配布するまでの間の無防備な状態を保護し、ゼロデイ攻撃からクライアントPCを守ります。通常、公式のパッチの配布までにはぜい弱性の発見後、2週間から半年近くかかるため、ぜい弱性フィルタによる仮想パッチは非常に効果的なセキュリティ対策といえるでしょう。

ここで、先ごろ猛威をふるった「DOWNAD」ワームへの対応を例に、実際のぜい弱性フィルタの動作をご紹介します。

  1. DOWNADの特性が明らかになった時点で、ぜい弱性フィルタがDOWNADが狙うマイクロソフト製品のぜい弱性に対し仮想パッチを施すとともに、DOWNADが感染の拡大に利用するポートを閉じてしまいます。これにより、感染を予防するだけでなく、万が一すでに内部のPCがDOWNADに感染していても、被害の拡大を食い止めることができます。

  2. その後、ウイルスバスター Corp.で最新のウイルス検索エンジンを使用してDOWNADを探すとともに、もし感染していれば、復旧テンプレートやその他のツールを使用してDOWNADを完全に駆除します。

  3. すべての復旧が確認できた時点で、あらためてマイクロソフト社からのパッチを適用します。

以上のように、IDFを導入していれば、公式なパッチが提供されていない場合でも、仮想パッチによって攻撃を未然に防ぐことが可能になるのです。

ソフトウェアの制限によるクライアントPCの管理は、スマートフィルタが実現します。スマートフィルタは、通信パケットの中のトラフィックパターンを識別するため、ネットワークベースでのアプリケーション制御が可能です。例えばIMでチャットは許可するが、ファイルやURLの転送は禁止する、インターネットへアップロードするファイルのサイズやファイルタイプに制限をかける、といったことが可能になります。制限できるソフトウェアについては、Internet Explorerなどのブラウザ、Outlookなどのメールクライアント、IM、P2Pソフトウェアなどが対象になっています。

さらに、個々のPCに適用すべきパッチを判断、また必要に応じて自動的に適用することも可能です。
パッチの選定とその適用の自動化については、IDFの「推奨設定」機能を活用しましょう。クライアントPCに推奨設定を実行することで、そのPCにインストールされているソフトウェアとパッチの適用状況を把握、ぜい弱性を可視化することができます。また、必要と思われる推奨フィルタを自動的に提供し、公式パッチを適用するまでの応急処置を行うことも可能です。これらの操作は、ウイルスバスター Corp.の管理画面から一元的に行うことができ、運用、管理の手間を大幅に削減することができるのです。

日本では今回新登場となるIDFですが、海外ではすでに提供が始まっており、国際的な技術認定である「NSS Labs PCI」を取得しています。1万台規模のクライアントPCを持つ企業も導入しており、他社製品と比較してメモリ使用量が非常に低く抑えられているため、PCの処理能力に影響を与えないなどの点がユーザから高く評価されています。あなたの会社でもIDFを導入し、セキュリティを強化してみてはいかがでしょうか。