暗号化・HTTPS通信の拡大で増えるトラフィックに求められるセキュリティパフォーマンス
米 WatchGuard Technologies 社のコーポレートストラテジー&マーケティング担当副社長 Dave R.Taylor 氏が、SecurityDays 2015 にて最近の攻撃トレンドと多層防御の考え方に関する講演を行った。
●昨年は大手小売りチェーンのインシデントが多発
Taylor氏は、まず昨年のグローバルでの大きなトピックとして、「2014年は、Target、eBay、HomeDepotといった小売店舗の大手において重大なセキュリティインシデントが多発した」ことを挙げた。このような大規模な小売店チェーンが狙われる背景にはいろいろな理由が考えられるが、氏は、攻撃者側の都合による「ROI」を考えると大量の顧客(情報)を抱えた大規模店舗への攻撃が効率がよいからではないかと分析する。
これらの攻撃で問題視されているのは標的型攻撃だ。標的型攻撃はやり取り型、水飲み場型攻撃といった新しく手の込んだ手法にシフトし、利用されるマルウェアも高度に開発されたものが増えている。水飲み場型攻撃では、多くのユーザーがアクセスするポータルサイトにマルウェアを仕込むが、そのマルウェアは標的とする企業のドメインやアカウントからのアクセス以外では攻撃を行わないようなものも確認されている。あるいはソーシャルエンジニアリングを利用するなど人的コストがかかる攻撃も確認されている(取引相手や元従業員を買収することもある)。
攻撃にコストがかかるようになると、必然的にかけたコストに見合う標的が狙われるようになり、それが2014年のサイバー攻撃のひとつトレンドとなった。
●暗号化は攻撃ハードルを上げるが防御コストも増える
もうひとつのトレンドは、暗号化にまつわるものだった。エドワード・スノーデン氏によるアメリカ政府の諜報活動暴露事件から、企業・個人はデータや通信の暗号化に目を向け始めた。FacebookやTwitterのようなサービスもHTTPS通信をデフォルトとするようになった。
暗号化は、盗み出したデータの解読を強いるので攻撃者のハードルが高くなる。情報を盗み出したとしても暗号化されていれば、そこで攻撃を断念させる可能性もある。しかし、暗号化トラフィック(HTTPS通信や暗号化メール)が増えることで、防御コストを押し上げる副作用もある。
近年のセキュリティソリューションのいくつかは、暗号化通信の中身を解読してその中にマルウェアや攻撃トラフィック、あるいはユーザーや企業の重要なデータが含まれていないかをチェックしている。Taylor氏によれば、スノーデン事件以来、暗号化の利用は2倍ほど増えたが、そのトラフィックは以前の4倍になっているという。なお、セキュリティソフトのSSL通信の解読は、本当に解読するのではなくユーザーの通信を、セキュリティソフトがプロキシとして通信を代行し、その過程で中身をチェックしている。
暗号化通信の増加は、ファイアウォールやIPS/IDSのようなシステムの負荷を押し上げているが、セキュリティチェックのオーバーヘッドを増やさないためには、アプライアンスやサーバーに高いスループット性能が要求される。
●多層防衛はサイバーキルチェーンに沿って考える
標的型攻撃が高度化・複雑化し、その防御策も複雑化してくると、当然なにかひとつのテクノロジーで100%万全ということはない。「残念ながら『銀の弾丸』は存在しない。」とTaylor氏は断言する。高度な攻撃に対処するためには、ファイアウォール、IPS/IDS、アンチウイルス、スパムフィルタ、URLフィルタ、など出入り口からエンドポイントまでの間で多層的な防御が必要となる。
多層防御は、攻撃の準備段階から侵入、目的達成までのフェーズごとに分けて行うのが効果的だ。攻撃手順とフェーズの考え方として、米国空軍が作成したAPT攻撃のプロセスをベースにした「サイバーキルチェーン」がある。ロッキード・マーチンが作ったもので攻撃達成まで7つのフェーズで構成されている。ウォッチガードでは、これをさらに最適化して一般的な情報セキュリティにおける標的型攻撃向けに改良したキルチェーン(サイバーキルチェーン3.0)を提唱している。
●ウォッチガードが考えるサイバーキルチェーンとその対策
ウォッチガードが説明するキルチェーンの最初の段階は「偵察」だ。偵察フェーズではポートスキャンなどが行われるが、これはファイアウォールによってその兆候を検知して、不審なpingをブロックしたり、応答にマスクをかけることで対応する。偵察の次は「デリバリ」「エクスプロイト」「インストール」とマルウェアを侵入させ裏口を作ったり、内部に橋頭保を作るフェーズだ。偵察は数日から数か月、1年と時間をかけることがあるが、このフェーズは数秒かそれ以下で行われる。これをリアルタイムで検知するのは難しいが、ウイルススキャン、ログ解析、モニタリング等で監視、ブロックを行う。
次は「C&C(commando and Control)」というフェーズだ。ここでは、インストールされたエージェントプログラムがバックドアなどを利用して外部の指令サーバーと通信し、他のマルウェアを呼び込んだりボットを起動させる。ここでは、URLフィルタリングが有効だ。既知の攻撃サーバーや不審なサーバーのレピュテーション評価を行うことで、エージェントの外部通信をブロックできる。
C&Cが機能しだすと、感染PCやサーバーを増やしたり、内部システムの詳細を調べたりする「感染活動」に移る。これを防ぐにはセグメンテーションが重要だとTaylor氏はいう。エージェントが内部の他のシステムやネットワークにアクセスするとき、部署やシステムごとにセグメント化され、それぞれに防御ポリシーが設定できていれば、攻撃者は内部で感染を広げる際に、これまで述べてきた防御をすり抜ける必要があり、攻撃成功のハードルが一気に高くなる。
●組織をセグメント化しそれぞれに多層防御を実装したい
金融システムや財務データなど重要データに対してはセキュリティポリシーを変えて保護する企業は少なくないが、現在はセグメントをさらに細かく分割する必要がある。部署ごとに異なるセキュリティポリシーを適用でき、ネットワークセグメント(仮想・物理)を分離できれば理想的である。
以上のような多層防御を実現するには、さまざまなソリューションをシステム内部の各所に適用する必要がある。暗号化の処理を含めて、通常の内部アクセスでも多重の防壁を通過する必要があるため、セキュリティトラフィックのスループットも重要である。また、多数のソリューションを展開するため、その管理コストや効率のよい可視化も考えなければならないだろう。
Taylor氏は、「セキュリティシステムのアーキテクチャが、多層防御の実際のパフォーマンスや使い勝手に大きく影響する。」といい、ファイアウォールやIPS/IDSなどをばらばらに導入するのではなく、統合的に管理できるようなしくみとそれが可能なアーキテクチャを推奨する。
●どんなアーキテクチャが有効か
ウォッチガードのセキュリティアプライアンスが、マルチコアの汎用プロセッサをベースに仮想化ハイパーバイザ上に、ウイルス対策、URLフィルタ、アプリケーション制御、IPS/IDSなど各機能をコンポーネントとして実装しているのは、多層防御による複数ソリューションの統合管理をしやすくするためだ。プロセッサやVMは標準的なプラットフォームとして構成し、そのうえにセキュリティコンポーネント専用の独自OS(Fireware)を実装し、各コンポーネントを実装する。
このアーキテクチャは、多層防御に適したケーラブルなセキュリティアプライアンスを実現でき、プロセッサの並列化や専用OSにより全体的なスループットの確保もできる。ASICなど専用デバイスを利用した製品は、個別機能のパフォーマンスは最大化できるが、IPS/IDS、VPNなどを含んだ統合セキュリティ対策として全体をみたとき、遅い処理コンポーネントがネックとなり、全体のスループットがあまり上がらないことがある。
また、機能ごとにサーバーやアプライアンスを導入する形は、管理が煩雑になり統一的なセキュリティ基準を維持しにくい。複数のアプライアンスやセグメントごとの設定・トラフィックの可視化および統合管理(オーケストレーション)も一元化したい。Taylor氏は、多層防御では複数のポイントで複数の対策を広範に実現するので、オーケストレーション、可視化、自動化の機能にこだわるべきとして講演を終えた。
《中尾 真二》