SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day レポート(AD)

Windows API監視技術を用いた抜本的な標的型攻撃・情報漏えい対策―ハミングヘッズ石津氏が講演

Windows API監視技術を用いた、抜本的な標的型攻撃対策・内部漏えい対策

 ではどうしたらいいか。セキュリティの世界に「絶対」や「万全」はありえないものの、有効な対策を石津氏は紹介した。一般的な対策とは仕組みや発想が抜本的に異なるため、効果が高い。標的型攻撃対策には「Defense Platform(DeP)」、内部漏えい対策には「Security Platform(SeP)」で実装している防衛策だ。

標的型攻撃対策「Defense Platform(DeP)」

 基本的に「人は信頼する。プログラムの自動動作を疑う」という理念で動作する。言い換えると、ユーザー自らの操作は許容し、プログラムが自動で行う動作は疑うようにできている。  

 どのように実現しているかというと、鍵はWindows API。これを監視することで挙動を判別し、ユーザーの行為ではない破壊、改ざん、漏えいにつながる処理や動作を停止する。これであれば、未知のマルウェアを使った標的型攻撃でも有効だ。  

 アンチウィルスソフトとの大きな違いはパターンファイルを必要としない点だ。パターンファイルがなければアンチウィルスソフトがやるようにスキャンの必要がなく、実行するコンピューターに高い負荷をかけなくてすむ。ホワイトリスト型なので誤検知も少なく、トラブルが起きにくいことも挙げられる。

 ポイントをまとめると、自社で認めていないプログラムは動かさず、不審な処理が走る前に動作を止める、ユーザーが意図しない処理(データ送信など)は止めることになる。加えてログは改ざんできないようになっている。

内部漏えい対策「Security Platform(SeP)」

 基本的に「人はミスをする。人は間違いを犯す」という理念でできている。そのため、ミスは起こしにくいように、起きても安全網でカバーするような仕組みになっている。  

 例えばユーザーが社内ネットワークから出たらデータは自動的に暗号化し、うっかり漏えいしても暗号化が施されているため第三者にデータが渡りにくくなっている。社内ネットワークに戻れば自動的に複合する。社内では常に平文で運用ができるため、社内文書が暗号キーの不具合で読めないということがなくなる。なお社内、社外の判定は自動的に行われる。  

 データの外部持ちだしは強力にガードされている。USB、CD、メール、Webなどは全てブロックし、許可されたリリースフォルダ経由でのみ持ち出し可能とデータの出入口を制限して厳しく守る。ブラウザのコピー&ペーストも制御可能だ。うっかり漏えいするトラブルはほぼ防ぐことができる。

 ログも強力だ。キー入力内容は全てログに保存可能。そして操作ログは裁判の証拠にも使えるように詳細かつ改ざん不能になっている。ログを取得していることを告知しておけば、悪意ある人間へのけん制効果も高い。

                 * * * * *  

 DePとSeP、前者は外部攻撃対策、後者は内部攻撃対策とも言い換えられる。両者に共通しているのはWindows API監視以外にも、純国産のセキュリティソフトという安心材料もある。またSePはISO15408のEAL3認証を取得しており、DePも現在申請中である。クライアント端末はXPからWindows 8.1まで対応し、Windows Server 2003から2012 R2まで対応しているのも大きな特徴だ。同時利用すれば効果はより高くなる。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6420 2015/05/07 16:59

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング