EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Windows API監視技術を用いた抜本的な標的型攻撃・情報漏えい対策―ハミングヘッズ石津氏が講演

  2014/12/19 11:00

Windows API監視技術を用いた、抜本的な標的型攻撃対策・内部漏えい対策

 ではどうしたらいいか。セキュリティの世界に「絶対」や「万全」はありえないものの、有効な対策を石津氏は紹介した。一般的な対策とは仕組みや発想が抜本的に異なるため、効果が高い。標的型攻撃対策には「Defense Platform(DeP)」、内部漏えい対策には「Security Platform(SeP)」で実装している防衛策だ。

標的型攻撃対策「Defense Platform(DeP)」

 基本的に「人は信頼する。プログラムの自動動作を疑う」という理念で動作する。言い換えると、ユーザー自らの操作は許容し、プログラムが自動で行う動作は疑うようにできている。  

 どのように実現しているかというと、鍵はWindows API。これを監視することで挙動を判別し、ユーザーの行為ではない破壊、改ざん、漏えいにつながる処理や動作を停止する。これであれば、未知のマルウェアを使った標的型攻撃でも有効だ。  

 アンチウィルスソフトとの大きな違いはパターンファイルを必要としない点だ。パターンファイルがなければアンチウィルスソフトがやるようにスキャンの必要がなく、実行するコンピューターに高い負荷をかけなくてすむ。ホワイトリスト型なので誤検知も少なく、トラブルが起きにくいことも挙げられる。

 ポイントをまとめると、自社で認めていないプログラムは動かさず、不審な処理が走る前に動作を止める、ユーザーが意図しない処理(データ送信など)は止めることになる。加えてログは改ざんできないようになっている。

内部漏えい対策「Security Platform(SeP)」

 基本的に「人はミスをする。人は間違いを犯す」という理念でできている。そのため、ミスは起こしにくいように、起きても安全網でカバーするような仕組みになっている。  

 例えばユーザーが社内ネットワークから出たらデータは自動的に暗号化し、うっかり漏えいしても暗号化が施されているため第三者にデータが渡りにくくなっている。社内ネットワークに戻れば自動的に複合する。社内では常に平文で運用ができるため、社内文書が暗号キーの不具合で読めないということがなくなる。なお社内、社外の判定は自動的に行われる。  

 データの外部持ちだしは強力にガードされている。USB、CD、メール、Webなどは全てブロックし、許可されたリリースフォルダ経由でのみ持ち出し可能とデータの出入口を制限して厳しく守る。ブラウザのコピー&ペーストも制御可能だ。うっかり漏えいするトラブルはほぼ防ぐことができる。

 ログも強力だ。キー入力内容は全てログに保存可能。そして操作ログは裁判の証拠にも使えるように詳細かつ改ざん不能になっている。ログを取得していることを告知しておけば、悪意ある人間へのけん制効果も高い。

                 * * * * *  

 DePとSeP、前者は外部攻撃対策、後者は内部攻撃対策とも言い換えられる。両者に共通しているのはWindows API監視以外にも、純国産のセキュリティソフトという安心材料もある。またSePはISO15408のEAL3認証を取得しており、DePも現在申請中である。クライアント端末はXPからWindows 8.1まで対応し、Windows Server 2003から2012 R2まで対応しているのも大きな特徴だ。同時利用すれば効果はより高くなる。



著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

バックナンバー

連載:Security Online Day レポート
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5