Windows API監視技術を用いた、抜本的な標的型攻撃対策・内部漏えい対策
ではどうしたらいいか。セキュリティの世界に「絶対」や「万全」はありえないものの、有効な対策を石津氏は紹介した。一般的な対策とは仕組みや発想が抜本的に異なるため、効果が高い。標的型攻撃対策には「Defense Platform(DeP)」、内部漏えい対策には「Security Platform(SeP)」で実装している防衛策だ。
標的型攻撃対策「Defense Platform(DeP)」
基本的に「人は信頼する。プログラムの自動動作を疑う」という理念で動作する。言い換えると、ユーザー自らの操作は許容し、プログラムが自動で行う動作は疑うようにできている。
どのように実現しているかというと、鍵はWindows API。これを監視することで挙動を判別し、ユーザーの行為ではない破壊、改ざん、漏えいにつながる処理や動作を停止する。これであれば、未知のマルウェアを使った標的型攻撃でも有効だ。
アンチウィルスソフトとの大きな違いはパターンファイルを必要としない点だ。パターンファイルがなければアンチウィルスソフトがやるようにスキャンの必要がなく、実行するコンピューターに高い負荷をかけなくてすむ。ホワイトリスト型なので誤検知も少なく、トラブルが起きにくいことも挙げられる。
ポイントをまとめると、自社で認めていないプログラムは動かさず、不審な処理が走る前に動作を止める、ユーザーが意図しない処理(データ送信など)は止めることになる。加えてログは改ざんできないようになっている。
内部漏えい対策「Security Platform(SeP)」
基本的に「人はミスをする。人は間違いを犯す」という理念でできている。そのため、ミスは起こしにくいように、起きても安全網でカバーするような仕組みになっている。
例えばユーザーが社内ネットワークから出たらデータは自動的に暗号化し、うっかり漏えいしても暗号化が施されているため第三者にデータが渡りにくくなっている。社内ネットワークに戻れば自動的に複合する。社内では常に平文で運用ができるため、社内文書が暗号キーの不具合で読めないということがなくなる。なお社内、社外の判定は自動的に行われる。
データの外部持ちだしは強力にガードされている。USB、CD、メール、Webなどは全てブロックし、許可されたリリースフォルダ経由でのみ持ち出し可能とデータの出入口を制限して厳しく守る。ブラウザのコピー&ペーストも制御可能だ。うっかり漏えいするトラブルはほぼ防ぐことができる。
ログも強力だ。キー入力内容は全てログに保存可能。そして操作ログは裁判の証拠にも使えるように詳細かつ改ざん不能になっている。ログを取得していることを告知しておけば、悪意ある人間へのけん制効果も高い。
* * * * *
DePとSeP、前者は外部攻撃対策、後者は内部攻撃対策とも言い換えられる。両者に共通しているのはWindows API監視以外にも、純国産のセキュリティソフトという安心材料もある。またSePはISO15408のEAL3認証を取得しており、DePも現在申請中である。クライアント端末はXPからWindows 8.1まで対応し、Windows Server 2003から2012 R2まで対応しているのも大きな特徴だ。同時利用すれば効果はより高くなる。
