Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

  過去に遡って脅威を検知する「レトロスペクティブセキュリティ」が重要に -- シスコが買収したソースファイアのSVPに聞く

  2013/11/12 11:00

 今年7月にシスコシステムズが約27億ドルで買収することを発表し、10月に同社に統合されたソースファイア。オープンソースのIDS(侵入検知システム)であるSnortの開発者Martin Roesch(現CTO)が2001年に設立した企業だが、近年では、Snortを基盤技術として、次世代ファイアウォールやアンチマルウェア製品などを手がけるネットワークセキュリティベンダーに成長している。来日したCloud Technology and Strategy担当SVP(シニア・バイス・プレジデント)のオリバー・フリードリッヒ氏に同社が近年提唱している新しいセキュテリィモデルについて話を聞いた。

ユーザーの3分の2は、同じマルウェアに繰り返し感染する

 ソースファイア Cloud Technology and Strategy担当SVP、オリバー・フリードリッヒ氏
ソースファイア Cloud Technology and Strategy担当SVP
オリバー・フリードリッヒ氏

 ソースファイアが提唱する新しいセキュリティモデルは、標的型攻撃やAPT攻撃などに代表される巧妙で高度な攻撃に対抗するものだ。APT攻撃で見られるパターンの1つに、侵入した未知のマルウェアの「潜伏」がある。ファイルを開いたタイミングで感染の症状が出るのではなく、数日から数ヵ月の間なりを潜め、忘れたころに活動を開始して、感染を拡大する。

 APT攻撃に有効とされるサンドボックス型の検知技術も、こうした未知のマルウェアの潜伏には弱いとされている。サンドボックス型の検知技術は、マルウェアを仮想マシン内で実際に実行し、外部からのファイルのダウンロードや、外部に対するPC情報の送信などをチェックし、マルウェアかどうかを判定する。だが、仮想マシン内で実行されるのは最初だけで、そのチェックをすり抜けてさえしまえば、以降はマルウェアとは見なされなくなるからだ。

 フリードリッヒ氏は「攻撃者は既存の防御製品をテストしたうえで攻撃してくる。新しい防御の技術をつくりだしても、それをバイパスする技術はすぐ生まれる。シングルポイント、シングルタイムでの検知では最近の脅威には対抗できなくなっている」と主張する。

 実際、ソースファイアが企業ネットワークでどんなマルウェアに感染する傾向があるかを調査したところ、過去1ヵ月間に脅威を検知したユーザーは9%で、そのうちの3分の2は、同じマルウェアへの感染を複数回繰り返していることが分かったのだという。このうち月10回を超えて感染を繰り返していたユーザーは20%に達し、月100回以上の感染を繰り返していたユーザーも1.6%存在した。

 「感染を複数回繰り返すということは、検知をすり抜ける脅威がそれだけあったと考えることができる。ここで注目すべきは、感染がリピートされる期間だ。1ヵ月の間に100回以上もの感染が繰り返されることもあれば、1年後に突然感染が始まるケースもある。検知をすり抜けることを前提として、対抗策を講じることが重要だ」(同氏)

 そこで、同社が展開しているのが、「レトロスペクティブセキュリティ(Retrospective Security)」と呼ばれるアプローチだ。これは、防御をすり抜けたマルウェアを過去に遡って検知しようというもの。具体的には、ネットワーク上のマルウェアのすべてのログを取得し、どのように攻撃が始まったのか、どのような経路で感染したのか、どの端末が感染しているのかといった状況を把握し、感染源を除去する。「いわば過去にどんなアクティビティが行われたかを見ることができるフライトレコーダー」だという。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5