侵入の特徴に沿った各層での対策とは
昨今の攻撃では、特に標的型攻撃などでブラウザやメールが攻撃の接点となることが多く、従来のようにネットワークに関する脆弱性を悪用した広範囲への攻撃は少なくなってきています。攻撃は、計画的にかつ段階的に行われ、初期侵入を行った後、徐々に組織内へと侵入を拡大し、認証サーバーなどの重要なサーバーへたどり着きます。
侵入の特徴に沿って各層での対策を行うことで、効果的な防御を実現することができます。
まずは、ホスト層から考えていきます。
「ホスト層」での対策
ホスト層に対する対策としては、ウイルス(マルウェア)対策ソフト(AV)の導入が行われている場合が大半だと思います。しかし、AVを過信する事は危険です。最近のウイルスは、特定の組織に的を絞って使用する傾向があり、AVで検知されないことを確認してから使用されるからです。
ではAVは不要なのかというと、引き続き必要な対策であることには変わりはありません。検知できないウイルスも存在しますが、それ以上に多くの既知のウイルスからの保護を提供してくれます。そして何よりも、ウイルスに感染したホストをクリーンな状態に戻し状態を回復させるための重要なインフラでもあります。
AVと合わせて重要な対策としてパッチ管理があります。AVは語弊を恐れずに書くとウイルスが侵入した後に検知するための仕組みですが、パッチ管理は脆弱性を塞ぎ、ウイルスの侵入そのものを防ぐ効果があります。
「Microsoft Security Intelligence Report volume 11」のデータでは、2011年上半期に確認された脆弱性の悪用のうち、ゼロデイに相当するものは0.12%とされています。これは、パッチを適用してさえいれば99.88%の脆弱性の悪用を防ぐことができたということです。各ベンダーから提供されるパッチを可能な限り速やかに、遅くともひと月程度で適用できる運用体制の構築が推奨されます。
ひとつの端末の侵害がされても、その他の端末へのウイルスの増殖、伝播を防ぐ必要があります。このためには、端末ごとの管理ごとのパスワードの使い回しをしない、ネットワーク経由の接続を制限することが重要です。
また、端末毎の管理者アカウント (Administrator等)のパスワードを同一にしないことで、別の端末からウイルスが伝搬し難くなります。企業に多いマスターイメージから複製展開する手法や、ヘルプデスク業務の効率化のために端末毎の管理者アカウントが同一になることが多いようですが、それは一台がマルウェア感染すると他のすべての端末が侵害されることを意味します。そこに脆弱性は不要であり、正規の認証を行い、正規の方法で不正なファイルが仕掛けられます。
パスワードの変更が難しい場合は、端末毎の管理者アカウントによるネットワーク経由の接続を制限する事でも有効です。
ウイルスは、次々と端末を感染し、徐々に認証サーバーへ侵入するのに必要な高い権限が取得保持している可能性の高いアプリケーション・サービスを狙います。 次は、アプリケーション・サービスについて対策を考えます。
