今回アシストは、内部への侵入を前提とし「監視強化」および「侵害拡大防止」など内部対策を重視した多角的な施策を、「標的型攻撃対策ソリューション」として体系化し提供を開始する。
具体的には、マルウェアの侵入の予兆や状況の把握のため定期的なモニタリングを実施する「BlackDomainSensor」、内部対策として、特権IDを奪取されたとしてもデータを持ち出させない、また持ち出されても意味が無いようにするための多重対策として「マルウェア遮断ソリューション」「ダブルブラウザソリューション」「特権ID管理ソリューション」「ファイルサーバ情報漏洩防止ソリューション」の全5ソリューションを展開するという。
「マルウェア遮断ソリューション」については10月に新設を予定、また「ダブルブラウザソリューション」については10月に機能強化版の提供開始を予定している。
「標的型攻撃対策ソリューション」を構成する機能は次のとおり。
(1)「BlackDomainSensor」
セキュリティログ分析エンジンを使って、インターネットアクセスログとC&Cサーバのリストを突合せた結果と、Active Directoryに特権IDを模したトラップアカウントを仕掛け、おとりに引っ掛かったマルウェアの認証失敗ログを抽出したレポートを出力。
【対策の有効性】マルウェアによるC&Cサーバへ通信している端末の発見/マルウェアによる特権ID奪取の挙動を発見
(2)「マルウェア遮断ソリューション」(10月に新設予定)
マルウェアが侵入している可能性のある端末をネットワークから遮断。遮断は管理者がリモートから実施可能。
【対策の有効性】該当端末のC&Cサーバへの不正な通信をブロック/データの不正な持ち出しや侵害拡大を防止
(3)「ダブルブラウザソリューション」(10月に機能強化版を予定)
インターネットアクセス用のブラウザを仮想環境で提供し、業務用端末から外部へのインターネットアクセス(HTTP通信)を禁止させ、業務用端末のインターネットアクセスを分離。
【対策の有効性】マルウェアが侵入したとしても、標的型攻撃の出口となるC&Cサーバとのインターネットアクセスを禁止することで、攻撃を無効化
(4)「特権ID管理ソリューション」
特権IDはワークフローにて申請を行い、承認された場合のみ利用できるように制御。また、重要サーバへはワークフロー経由の自動ログインのみを許可し、自動ログイン以外のローカルログイン等はすべて禁止。
【対策の有効性】ワークフローを経由しない重要サーバへのログインを一切禁止することで、万が一標的型攻撃によって特権IDを奪取された場合でも不正なアクセスを防止
(5)「ファイルサーバ情報漏洩防止ソリューション」
ファイルサーバのデータを暗号化し、Windowsのアクセス権限とは別に独自のアクセス権を設定。また、ファイルサーバに対してアクセスできるのは、専用クライアントが導入されている端末のみに限定。
【対策の有効性】独自のアクセス権限設定により、専用端末以外からのデータ持ち出しを防止。Windowsの特権IDを奪取された際も、データの持ち出しリスクを軽減/標的型攻撃により、データが直接持ち出された際もデータは暗号化された状態を維持。
