はじめに
予定通りに作業が進んでいれば、この記事が公開されるのは師走の半ば。お仕事でもプライベートでも、読者の皆様は遠出する機会が増える頃かと思います。ひょっとすると、この記事を空港のベンチに座りながら、あるいは機内で読んでくださっている方もいらっしゃるかもしれません。
飛行機に搭乗するまでには、通常多くの段階を踏む必要があります。時刻通りのチェックイン、荷物の預け入れ、手荷物検査、…これが国境を越えるフライトであれば、なお多くの手続きが必要になりますね。このプロセスを経験した人であれば、誰しも一度はこんなことを考えるでしょう。
「なぜこんな面倒な手続きを何度もやらなければならないのか?」
「こんなに厳重な検査をしなくたって、警備員の目や監視カメラがあるから大丈夫だろう」
しかし、残念ながらそういうわけにはいきません。なぜならば、「保安検査だけでは脅威を防ぎきれない」からです。同じように、人間の目やカメラだけでは、数百人・数千人規模の荷物を効率よく、機械的に調べることはできません。
どちらか一方だけではなく、これらを組み合わせることによって、はじめて強固なセキュリティ体制を構築することが可能になるのです。
ここまで読まれた方の中で、勘のいい方はすでに気づいていることと思いますが、なぜいきなり飛行機と空港の話から始めたかと言えば、上記の構図が「マルウェア防御」という全く異なる世界にも当てはまるからです。
令和の時代において、ネットワークの出入り口を防御するだけでは、高度化したサイバー攻撃を防ぎきることはできません。現代において求められているのは、単一のメソッドに立脚したものではなく、
「複数レベルでセキュリティ対策を組み合わせること(多層防御)」
です。
当記事では、多層防御が求められている背景と、実装にあたり必要なものについてまとめました。
多層防御
「多層防御」とは?
タイトルの「二層建て」については当記事の後半でご説明するとして、ここでは「多層防御」がどのような考え方に基づくものなのかご紹介します。
以下はデジタル庁ホームページに掲載されている『デジタル社会推進実践ガイドブック DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン 2024(令和 6)年 1 月 31 日』からの引用です。
多層防御の実施
➢ サイバー攻撃は成功する前提にたち、特定のセキュリティ対策が破られた
としても、別のセキュリティ対策により被害を極小化する多層防御の考え
方に基づいて、セキュリティ要件を定義することが重要である。
➢ OS やミドルウェア、ネットワーク、アプリケーション等の各コンポーネン
トにおいて、多層のセキュリティ対策を実施することで、攻撃者にとって
攻撃コストの高いシステムを実現する。
➢ サイバー攻撃や事故の発生自体の防止を目的とする対策(防止策)に偏ら
ず、速やかなインシデント(兆候)の検知、有事のインシデント対応、サ
ービス復旧のための対策をバランスよく、多層的に実装することが求めら
れる。
(出典:https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7e3e30b9/20240131_resources_standard_guidelines_guidelines_01.pdf)
書き出しに「サイバー攻撃は成功する前提にたち」とあるように、「これがあるから大丈夫」ではなく、「これが破られた時のために、こっちも用意しておく」という構えで、複数の箇所に対策(ハードニング)をするのが多層防御の基本的な考え方です。
背景
上記のような対策が求められていること、ないしその必要性については、サイバーセキュリティを専門とされていない方であっても何となく共感いただけるかと思います。とはいえ、なぜこのような対策を、わざわざお金と手間をかけてまで実施する必要があるのでしょうか。「バランスよく、多層的に実装する」こと自体が、そもそもシステム利用者に新たなソリューションの導入や教育のコストを強要してしまうのではないかと思われる方もいらっしゃるでしょう。しかし、このような方式での対策が必要とされているのは、れっきとした事由があります。
こちらは独立行政法人・情報処理推進機構(IPA)ホームページからの引用です。
サイバーセキュリティ対策において多層防御の必要性が認識される背景として、サイバー攻撃がより高度化したことが挙げられる。標的型攻撃と総称されるこのような攻撃は、旧来の対策では侵入を検知することが困難な場合もあり、保存された機密情報の窃取や改ざん、システム停止等を引き起こす可能性がある。また執拗に再侵入を繰り返すことも特徴である。
サイバー攻撃を情報システムと外部環境との接続点で防御しきることは不可能であることを前提に、セキュリティ対策を組み合わせ、一つの対策が破られても次の対策で防御する、あるいは防御しきれなくてもインシデントを速やかに検知するといった、多層防御のアプローチが望まれる。
・・・
(出典:https://www.ipa.go.jp/security/economics/practice/practices/Practice213/)
ここでは、「サイバー攻撃を情報システムと外部環境との接続点で防御しきることは不可能であることを前提に、…多層防御のアプローチが望まれる」と、デジタル庁ガイドラインより踏み込んだ表現がなされています。従来型のいわゆる「境界防御」は、社内システムにかかわるネットワークを定義し、「外部環境との接続点で防御しきる」という考え方に基づくものでしたが、そのような仕組みでは現代のサイバー攻撃を耐えきれないということです。
多層防御を実現するには…
では、実際に多層防御の仕組みを作るとして、具体的にどのようなコンポーネントが必要になるのでしょうか。
以下はIPAが発行している『中小企業の情報セキュリティ対策 ガイドライン 第3.1版』からの引用となります。
(https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf)
この図では、それぞれのコンポーネントが属するカテゴリごとに緑色と青色で色分けがなされています。
<青色:ネットワーク内外の通信を制御するもの...通信制御>
VPN、WAF、IDS/IPS、ファイアウォール
<緑色:端末防御>
ウィルス対策(ソフトウェア)、メールフィルタリング
という分け方です。
それぞれのコンポーネントが果たす役割については、以下の説明をご覧ください。
<青色:ネットワーク内外の通信を制御するもの...通信制御>
●ファイアウォール
通信をさせるかどうかを判断し許可する、または拒否する技術。例えば、インターネットと社内LANとの間に設置して、外部からの不正なアクセスを社内のネットワークに侵入させないようにできます。
●IDS(Intrusion Detection System:侵入検知システム)
システムやネットワークに対する不正なアクセスなどを検知して管理者に通知する技術。例えば、インターネットとファイアウォールの間に設置することで、不正アクセスと思われる通信を検知して管理者に通知できます。
●IPS(Intrusion Prevention System:侵入防御システム)
システムやネットワークに対する不正なアクセスなどを検知して自動的に遮断する技術。例えば、インターネットとファイアウォールの間に設置することで、不正アクセスと思われる通信を検知して管理者に通知するとともに通信を遮断できます。
大雑把に言えば、青色は「悪意のある通信を遮断するもの」、緑色は「通信制御の壁を突破された時の備え」となります。
●UTM(Unified Threat Management:統合脅威管理)
ファイアウォールやIDS・IPS、メールフィルタリング、URLフィルタリングなど複数の異なるセキュリティ機能を一つのハードウェアに統合して、社内ネットワークとインターネットの脅威であるウイルスの侵入や不正アクセス、サイバー攻撃などを検知し、防御するツールです。
●EDR(Endpoint Detection and Response)
ネットワークに接続されたパソコンやサーバー、スマートフォンなどの端末機器に侵入したウイルスやランサムウェアなどのサイバー攻撃を検出し、管理者に通知する技術です。
●WAF(Web Application Firewall)
ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護する技術。例えばファイアウォールやIDS/IPSとウェブサーバーの間に設置することで、ウェブアプリケーションがやり取りするデータを監視して攻撃を検出できます。
●VPN(Virtual Private Network)
インターネットのような公衆ネットワーク上で、保護された仮想的な専用線環境を構築する技術。例えば、テレワーク勤務者が職場との間で機密性の高い電子データをやり取りする際に、VPNを利用することで暗号化による安全な通信ができます。
(出典:同上)
<緑色:端末防御>
●ウイルス対策
ウイルスを検知・駆除することで、ウイルスに感染するのを防ぐための対策。例えば、利用するパソコンにウイルス対策ソフトをインストールしてウイルス定義ファイルを最新の状態にすることで、既知のウイルスを検知できます。
●メールフィルタリング
メールの送受信を監視して、指定した条件によって特定の処理を実行する技術。例えば、メールサーバーでフィルタリング機能を設定することで、迷惑メールやウイルスが添付されたメールをブロックできます。
●URLフィルタリング
ウェブサイトへのアクセスや閲覧について、そのアドレスや内容が所定の条件に合致もしくは違反する場合に停止や警告などを行う技術。例えば、URLフィルタリング機能を持つ機器を導入することにより、業務に関係がないウェブサイトの閲覧を禁止し、不正サイトへアクセスしてしまうリスクを減らすことができます。
(出典:同上)
上記のような組み立て方を参考に、通信経路(リンク)と通信を行う端末(ノード)をそれぞれ防御するのが多層防御のベーシックなモデルです。
実際には、端末の側から悪意のあるユーザーによって何らかのマルウェアを感染させられ、被害が拡大するケースもあります。
上記の説明では「外部ネットワーク(インターネット)を介して侵入され、内部ネットワークを攻撃される」ことを前提としていますが、この"逆"も想定することが必要です。
上記のモデルはあくまでも一例であり、ベンダーによっては上記の機能を複数搭載した次世代型ファイアウォール(NGFW)のようなマシンを提供しています。導入・構築に際しては、各製品ごとにどのような機能を有しているのか事前に確認することが必要です。
なぜ「二層建て」?
前置きが非常に長くなってしまいましたが、ここでタイトルの「二層建て」についてご説明します。
上記の図を見た方の中には、
「こんなに多くのソリューションが必要なのか」
と思われた方もいらっしゃるでしょう。
サイバーセキュリティに限らず、ITの世界では利便性とコスト・管理性は遍くトレードオフの関係にあります。
そこでおすすめしたいのが、上記の「青色」と「緑色」にカテゴライズされた機能を、それぞれ1つのソリューションにまとめる"二層建て"です。
Check Pointでは、「VPN」「ファイアウォール」「IDS/IPS」といった通信制御の機能を1台で提供するQuantum Spark、ユーザーがアクセスするPCやタブレット等の端末、ワークスペースを防御するHarmonyを提供しています。
これら2つの製品は、Check Pointが提供するプラットフォームInifity Portalを通じて管理ポータルにアクセスすることが可能です。これらを組み合わせてご使用いただくことにより、ネットワーク内の「通信制御」「端末防御」をより簡単に行うことができるようになります。
さらに、Quantum SparkとHarmonyはいずれも、Check Point独自のデータベース・ThreatCloudにより強化されております。たとえネットワーク内に未知の脅威が侵入したとしても、高い精度で防御することが可能です。
まとめ
・現代のサイバー攻撃は、「境界防御」だけでは防ぎきれない
・マルウェアの防御は、複数レベルで構築することが重要
・Check Pointは、「通信制御」「端末防御」両方のソリューションと、それらを管理するプラットフォームを提供
ぜひ、この3点をご承知おきいただき、サイバー攻撃対策の構成にお役立てください!