SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

過去に遡って脅威を検知する「レトロスペクティブセキュリティ」が重要に -- シスコが買収したソースファイアのSVPに聞く

 

 今年7月にシスコシステムズが約27億ドルで買収することを発表し、10月に同社に統合されたソースファイア。オープンソースのIDS(侵入検知システム)であるSnortの開発者Martin Roesch(現CTO)が2001年に設立した企業だが、近年では、Snortを基盤技術として、次世代ファイアウォールやアンチマルウェア製品などを手がけるネットワークセキュリティベンダーに成長している。来日したCloud Technology and Strategy担当SVP(シニア・バイス・プレジデント)のオリバー・フリードリッヒ氏に同社が近年提唱している新しいセキュテリィモデルについて話を聞いた。

ユーザーの3分の2は、同じマルウェアに繰り返し感染する

 ソースファイア Cloud Technology and Strategy担当SVP、オリバー・フリードリッヒ氏
ソースファイア Cloud Technology and Strategy担当SVP
オリバー・フリードリッヒ氏

 ソースファイアが提唱する新しいセキュリティモデルは、標的型攻撃やAPT攻撃などに代表される巧妙で高度な攻撃に対抗するものだ。APT攻撃で見られるパターンの1つに、侵入した未知のマルウェアの「潜伏」がある。ファイルを開いたタイミングで感染の症状が出るのではなく、数日から数ヵ月の間なりを潜め、忘れたころに活動を開始して、感染を拡大する。

 APT攻撃に有効とされるサンドボックス型の検知技術も、こうした未知のマルウェアの潜伏には弱いとされている。サンドボックス型の検知技術は、マルウェアを仮想マシン内で実際に実行し、外部からのファイルのダウンロードや、外部に対するPC情報の送信などをチェックし、マルウェアかどうかを判定する。だが、仮想マシン内で実行されるのは最初だけで、そのチェックをすり抜けてさえしまえば、以降はマルウェアとは見なされなくなるからだ。

 フリードリッヒ氏は「攻撃者は既存の防御製品をテストしたうえで攻撃してくる。新しい防御の技術をつくりだしても、それをバイパスする技術はすぐ生まれる。シングルポイント、シングルタイムでの検知では最近の脅威には対抗できなくなっている」と主張する。

 実際、ソースファイアが企業ネットワークでどんなマルウェアに感染する傾向があるかを調査したところ、過去1ヵ月間に脅威を検知したユーザーは9%で、そのうちの3分の2は、同じマルウェアへの感染を複数回繰り返していることが分かったのだという。このうち月10回を超えて感染を繰り返していたユーザーは20%に達し、月100回以上の感染を繰り返していたユーザーも1.6%存在した。

 「感染を複数回繰り返すということは、検知をすり抜ける脅威がそれだけあったと考えることができる。ここで注目すべきは、感染がリピートされる期間だ。1ヵ月の間に100回以上もの感染が繰り返されることもあれば、1年後に突然感染が始まるケースもある。検知をすり抜けることを前提として、対抗策を講じることが重要だ」(同氏)

 そこで、同社が展開しているのが、「レトロスペクティブセキュリティ(Retrospective Security)」と呼ばれるアプローチだ。これは、防御をすり抜けたマルウェアを過去に遡って検知しようというもの。具体的には、ネットワーク上のマルウェアのすべてのログを取得し、どのように攻撃が始まったのか、どのような経路で感染したのか、どの端末が感染しているのかといった状況を把握し、感染源を除去する。「いわば過去にどんなアクティビティが行われたかを見ることができるフライトレコーダー」だという。

次のページ
マルウェアの潜伏期間が1年に及ぶことも

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5325 2013/11/12 11:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング