次のファイアウォールの購入をお考えですか ? サイバーセキュリティが組織にもたらす
リスクと機会にどう対応しますか ? 新しい次世代ファイアウォールの機能が組織の成長
と前進に必要なものかどうかを、どうすれば判断できるでしょうか ?
答えは単純です : ご自身でテストすることです。
セキュリティ専門家が口を揃えて言うのは、組織のセキュリティには画一的な考えでアプ
ローチすべきではないということです。どの組織にも固有のニーズがあり、セキュリティ
アーキテクチャに反映されている必要があります。セキュリティ関連のツール、サービ
ス、機能は、こうした個々のニーズに対応できる柔軟性を持ちながら、宣伝されている
機能を忠実に果たす必要もあります。
このホワイトペーパーでは、お客様の現在のセキュリティ インフラストラクチャと将来の
NGFW について、考慮および積極的にテストすべき 10 個のポイントについて説明しま
す。部門横断的な話し合いの場でこれらのポイントをガイドラインとして使用すると、
NGFW に対する視点が広がります。これによって、これから行う可能性があるセキュリ
ティへの投資が、現在だけでなく将来にわたって、実装が容易で、運用上の負荷を軽
減し、組織に最適な保護と価値を提供するかどうかを判断するのに役立ちます。
将来のNGFWで
テストすべき10の事柄
認証情報の盗難防止
ユーザとその認証情報は、組織のセキュリティ インフラストラク チャの弱点です。そのため、大半の侵害には、攻撃ライフサイク ルのいずれかの時点で認証情報の盗難が行われます。攻撃者の ツールセットの一部として認証情報を悪用することで、侵害成功率 は上がり、逮捕リスクは下がります。 この機能を提唱し、テストする理由 認証情報の盗難はフィッシング攻撃などによって発生することがほ とんどです。したがって、認証情報の盗難を防止すれば、組織に 対する最も一般的な形態の標的型攻撃の 1 つに晒されることが減 ります。標的型のフィッシング攻撃では、これまで知られていない サイトを使って非技術職の従業員を狙うことが多いため、このよう な手法は極めて重要です。 現状の打破 ほとんどの組織は、こうした攻撃を従業員の教育によって阻止しよ うと努めていますが、これはそもそも人的ミスが起こりがちな方法 です。 テクノロジ製品は一般的に、既知のフィッシング サイトの特定と電 子メールのフィルタリングに依存していますが、こうした手法は簡 単に迂回されてしまいます。既知の不正サイトをチェックするだけ では新たに作成されたサイトは見逃され、攻撃者はソーシャル メ ディアでリンクを送信すれば電子メール フィルタリング テクノロジ を回避できるためです。機械学習ベースの分析機能を備えた次世 代ファイアウォールであれば、保護を加速できます。分析によって 悪意のあるサイトとして特定された場合、ファイアウォールを更新 してそのサイトをブロックする必要があります。 それでも、これまで確認されておらず、「未知」として扱われるフィッ シング サイトは常に存在します。ネットワークとユーザを保護する には、認証情報が未知のサイトに送信されるのを防ぐことが重要 です。認証情報のフィルタリングを使用すると、許可されているア プリケーションの認証をホワイトリスト化し、未知のサイトに認証 情報が送信されるのをブロックできます。 推奨される RFP 質問 £ NGFW は、未知の Web サイトで企業の認証情報が使用さ れるのを防止できますか ? £ NGFW は、ハッシュのコピーをファイアウォール内に保存す ることなく、ユーザが企業の認証情報を送信するのをブロッ クできますか ? £ NGFW は、これまで確認されていないフィッシング サイトど の程度迅速にを分析し、防御機能を更新しますか ? £ NGFW は、ユーザが HTTP POST で認証情報を送信しようと した場合にその試行をログに記録しますか ?認証情報の悪用防止
攻撃者は盗み出された認証情報を、フィッシング、マルウェア、ソー シャル エンジニアリング、総当たり攻撃、ブラック マーケットでの 購入などのさまざまな方法で手に入れることができます。認証情報 を盗んだら、その情報を悪用して組織に侵入し、攻撃を水平展開 して、許可されていないアプリケーションやデータに対する特権を エスカレートさせることができます。 この機能を提唱し、テストする理由 ファイアウォールに多要素認証 (MFA) を実装することで、攻撃者が 盗み出された認証情報を使用して攻撃を水平展開するのを防止 できます。MFA により、レガシー アプリケーションやクライアント / サーバをはじめ、あらゆるタイプのアプリケーションを保護でき ます。さらに、ファイアウォールで実行される認証は、ユーザがア プリケーションに接続する前に行われるため、漏えいの境界線をさ らに遠ざけることができます。 現状の打破 多くの組織が MFA ソリューションを導入していますが、ほとんどの 場合、すべてのアプリケーションとの統合は困難で時間がかかりま す。そのため、VPN ゲートウェイや少数のクラウド アプリケーショ ンといった一部のアプリケーションでのみ MFA を使用し、他の多 くのシステムは認証情報の悪用に対して脆弱なまま放置されてい ます。 ネットワーク層での保護 MFA は優れたツールですが、重要なアプリケーションをすべて保 護するように実装する必要があります。アプリケーションそのもの を修正するのではなく、ファイアウォールを MFA ポリシーと共に使 用して特定のアプリケーションへ向かうトラフィックを制御します。 ファイアウォールはアクセス制御が可能で、トラフィックの通過を許 可する前に認証を要求できる必要があります。組織の内部で活動 している攻撃者は、侵害されたエンドポイントからであっても、 MFA を完了できません。 カスタマイズされたユーザー エクスペリエンス ファイアウォール内部に作成する MFA 用ポリシーは、ユーザーお よびアプリケーションの機密性の両方の観点から、きめ細かく設定 する必要があります。たとえば、ユーザーに再認証を要求する頻 度はアプリケーションの機密性に合わせて設定する必要があり ます。 アプリケーションの保護開始時間の加速 ファイアウォール ポリシーの一部として多要素認証を使用すると、 実装速度が向上します。アプリケーションそのものは変更せずに、 ネットワーク ポリシー内に MFA を統合するだけでよいためです。 これにより、コンプライアンスを達成するための保護機能の導入時 間を短縮できます。ファイアウォールでの MFA は、攻撃者が盗み 出された認証情報を使用したり、組織内で横方向に移動したりす るのを阻止するほか、レガシー アプリケーションやクライアント / サーバをはじめとするあらゆるタイプのアプリケーションを保護し ます。 推奨される RFP 質問 £ NGFW は、アクセスされるリソースの機密性に基づいて、ア クセス制御ポリシーの一部として MFA を使用できますか ? £ NGFW では、MFA パートナーのさまざまなテクノロジを選 択できますか ?£ NGFW は、RADIUS や MFA パートナーのテクノロジとの API 統合をサポートできますか ? £ NGFW は、Web、クライアント / サーバ、ターミナル アプリ ケーションといったあらゆるタイプのアプリケーションに対 応した MFA ポリシーをサポートしていますか ? £ NGFW の MFA 機能は特定のプロトコルに制限されていま すか ?
1
2
4
動的な仮想ワークロードへの動的なセキュリティ
ポリシーの提供
データセンター環境のセキュリティ ポリシーを初めて作成してファ イアウォールに導入する際、割り当てられた IP アドレスはポリシー の有効期間を通じて変更されないものと想定されます。これらのポ リシーは静的で、一般的な方法で一括適用されます。データセン ターの仮想化環境への移行が進む中、ワークロードはもはや特定 の場所やネットワーク スキーマに固定されなくなっています。 この機能を提唱し、テストする理由 仮想化されたデータセンターのセキュリティに対応するには、ファ イアウォールのセキュリティ ポリシーは、静的 IP アドレスに固定す るのではなく、ワークロードの属性に基づかせる必要があります。 これはデータセンター環境が極めて動的であるためです。このた めには、次世代ファイアウォールでダイナミック アドレス グループ を使用します。 現状の打破 コンピューティング リソースを最適化するため、一時的なワーク ロードが頻繁に増減し、繰り返し新しい IP アドレスを取得します。 このため、扱うアドレス グループが数百~数千個に上り、それぞ れが独自のアドレス オブジェクトを持っていて、頻繁に追加、削 除、変更される場合、ファイアウォールのアクセス制御ポリシーを 管理するのは煩雑で困難です。 使用するファイアウォールは、今日のデータセンターの動的な性質 に自動的に適応するポリシーをサポートする必要があります。この ためには、ワークロードを絶えず追加、移動、削除して、コンピュー ティング リソースを最適に利用できるようにする必要があります。 動的な仮想マシンとアプリケーション全体に一貫したセキュリティ を適用するには、適応型ポリシーが役立ちます。 ダイナミック アドレス グループはセキュリティ ポリシーを IPアドレ スから分離し、IP アドレスではなく仮想ワークロードの属性に基づ くきめ細かいセキュリティ ポリシーを構築します。ファイアウォール のポリシーでは、ワークロード属性にマップされたタグを使用しま す。たとえば、ファイアウォール上で「App-Server」というタグを 付け、指定したアプリケーション サーバを識別する属性にマップで きます。ここでは、IP アドレスは関係ありません。属性のおかげ で、ワークロードを移動しても、ワークロードは引き続き目的のセ キュリティ ポリシーに配置されます。 これによって、ワークロードに紐付けられたセキュリティ ポリシー を構築して、セキュリティ体制を強化できるようになります。ダイナ ミック アドレス グループは、アプリケーションがセキュリティ チー ムに依存する度合いを減らすことで、運用面の負荷を軽減します。 推奨される RFP 質問 £ NGFW は、ワークロードの VM 属性に基づくセキュリティ ポ リシーをどのような方法で作成しますか ? £ NGFW は、プライベート クラウドとパブリック クラウドの両 方の動的ワークロードに対応したセキュリティ ポリシーを 作成できますか ? £ NGFW は、データセンター内でワークロードの IP アドレス や場所が変更されても、一貫したセキュリティ ポリシーを ワークロードに確実に適用できますか ?シンプルで効果的なツールを使用したNGFWの管理
ビジネス ニーズに迅速に対応するため、セキュリティ チームには、 一元化されたツールからでもオンサイトからでもリアルタイムで 柔軟にファイアウォールを変更できる必要があります。ファイア ウォール マネージャによってローカル管理者に許可されている変 更が、限られた一連の機能の変更のみである場合、ローカル チー ムはグローバル チーム ( 別の地域にいる可能性もあります ) に大 きく頼らなければ変更を行うことはできません。この結果、変更の 遅れやギャップが発生する、可視性が限定される、管理者アクセ スが細分化されるといった状況が発生します。 この機能を提唱し、テストする理由 ローカルで変更を行う際の遅れを最小限に留め、セキュリティと自 社のガイドラインとの整合性を確保するには、ファイアウォールの 全機能をファイアウォールで完全に管理でき、複数の管理者による ロールベースのアクセス制御が提供されている必要があります。 ローカルのファイアウォール マネージャのツールは、ローカル管 理のために一元化されたツールで完全な機能セットをサポートし ていて、ローカル チームがそれぞれのタスクを時間どおりに達成 できる必要があります。集中管理ツールは、ローカル管理者の操 作を包括的に可視化してローカル データを強化したり、必要に応 じてアラートを生成したりする必要があります。また、ファイア ウォールと組織のガイドラインとの整合性を保つために、リモート での上書き変更を許可する必要もあります。 現状の打破 設定変更を導入しつつ、きめ細かい制御を確保 複数ファイアウォール環境では、同時に複数の管理者が設定変更 を行うことは珍しくありません。ある管理者が変更を完了する前に、 別の管理者が最近加えた変更をコミットしたいといった状況が起 こりがちです。ファイアウォール マネージャで選択的な変更のコ ミットが許可されていない場合、このような不完全な変更も導入さ れてしまいます。このような事態が発生すると、ブロックされたサ イトにユーザーがアクセスできてしまったり、ビジネス クリティカ ル アプリケーションからブロックされたりするなど、セキュリティ上 深刻な影響が発生するおそれがあります。設定の選択的な導入と ロールバックができない場合、管理者は、不完全な変更を手作業 で元に戻した上で、変更をやり直して再導入せざるを得ず、運用 面の負荷の増大や、セキュリティ体制改善の遅れにもつながり ます。 大規模かつ効果的なログの管理 中央のマネージャは組織のセキュリティとネットワークを一元的に 管理し、セキュリティ イベントを分析するための包括的な視点とコ ンテキストを提供します。多くの場合、中央のファイアウォール マ ネージャは、複数ファイアウォール導入環境のファイアウォールの ログを収集して統合します。マネージャの能力を超える速度 ( 一般 的に、1 秒あたりのログ数 (LPS) で表します ) でログを受信すると、 パフォーマンスに影響が生じます。 通常、中央のマネージャへのパフォーマンスの影響は、ユーザー インターフェイスの応答がない、データベース クエリがタイムアウ トするなどの症状によって確認できます。現在の高スループットの デジタル世界では、ハイエンドのファイアウォール 1 つで、ログ マ ネージャとして機能している中央のマネージャの LPS 容量を超える ことは珍しくありません。複数ファイアウォール導入環境では、容 量の問題が発生する可能性が極めて高いといえます。 高スループットのログ処理ニーズに対処するには、独立したログ 管理アプライアンスを使用するのが一般的です。大半のエンタープ ライズでは、ファイアウォール マネージャとログ マネージャを組み3
5
合わせるのが最適なソリューションです。このセットアップにより、 中央のマネージャのログ管理処理を軽減し、ファイアウォール管理 にのみ集中できます。プロビジョニングされている場合、中央のマ ネージャは、ログ マネージャにデータを照会して一元的な可視性 を提供し、要求があった場合にのみ未処理のログを中央のマネー ジャに送信すればよいため、パフォーマンスへの影響が抑えられ ます。 最新のセキュリティ体制の保持 次世代ファイアウォールの各種機能は、それぞれが特定のネット ワーク セキュリティ ニーズを解決して組織の成長を実現するよう に特別に設計されています。複数ファイアウォール環境では、ファ イアウォール設定を手動で変更するのは非効率であるばかりか、 セキュリティ ギャップが発生したり、防御の一貫性が損なわれたり することがよくあります。自動化によって、絶えず変化するサイバー セキュリティの脅威に対して、より高速かつ正確に応答できます。 このための推奨方法は、NGFW の API を使用して変更を自動化し、 ネットワーク セキュリティ チームの運用面の負荷を緩和しつつ、人 的ミスを削減することです。これを実現するには、NGFW の API が、柔軟な一連の API によるファイアウォールの全機能の変更の 自動化に対応している必要があります。 推奨される RFP 質問 £ ローカル管理者は、中央のマネージャにログインすることな く、アプライアンスを直接操作し、必要に応じて設定を変更 できますか ? £ 中央の管理者は、ローカル管理者が行った変更を監視、表 示できますか ? £ ファイアウォール管理者が行った設定変更のうち、どれを ファイアウォールに導入するかを選択できますか ? £ 導入で問題が発生した場合、特定のユーザーの変更をロー ルバックして、有効な設定を復元できますか ? £ 中央のファイアウォール マネージャは、中心となる設定管理 機能からログ管理を分離しながらも、管理を一元化して統 合された可視性を提供できますか ? £ ログ マネージャは高スループット ( 例 : 50,000 LPS) のログ を取り込むことができますか ? £ ご使用のファイアウォールはすべての機能に対してAPIを備 えていて、設定変更を自動化できますか ?特定が困難で急速に変化する脅威を防止するための
自動化の理解
攻撃者による自動化の使用が増えるにつれて、セキュリティ チーム が経験するセキュリティ イベントも組織全体で刻一刻と増加して います。誰かがこれらのイベントを取捨選択して、リスクが高いも のを特定し、侵害されている可能性が高いエントリー ポイントを 判断する必要があります。ただし、特定しただけでは単なる情報 に過ぎません。その特定情報を実用的な応答に変え、攻撃が成功 する前に、つまり機密データが組織から流出する前に、攻撃を軽 減する必要があります。 この機能を提唱し、テストする理由 大量のセキュリティ イベントを分析して関連付けるプロセスを手 動で実行している場合、拡張は困難です。セキュリティ チームは、 すぐに膨大な量のアラートで溢れかえってしまい、重要な実用的な アラートを見落とす可能性があります。実用的な情報であっても手 作業による操作に依存しているため、なかなか攻撃を軽減できな かったり、人的ミスの可能性が高まったりしたりします。攻撃が成 功する前に行動を開始して攻撃を軽減するには、セキュリティ ツールとサービスは、攻撃を特定して、防御策を自動的に生成、 配布できる必要があると同時に、他のツールと統合してワークフ ローの次のアクションを開始できる必要もあります。 現状の打破 攻撃の自動化が進んだため、攻撃の検出に使用するセキュリティ ツールは、既知の脅威も、これまで確認されていない脅威も特定 できるほど俊敏であると同時に、攻撃のライフサイクルが次の段階 に移る前にいち早く攻撃を防止できる必要があります。そのために は、検出から完全な防御までのすべてのステップを自動化する必 要があります。 ファイアウォールのパフォーマンスを低下させたり、ビジネスの生 産性に影響を及ぼしたりすることなく、既知の脅威を、機先を制し てブロックする必要があります。さらに、セキュリティ ツールは、 悪意のある動作を分析、特定して、これまで確認されていない脅 威を防止する必要もあります。この分析と特定は、弾力的なコン ピューティングとスケーラビリティを活用するためにクラウド環境 内で実行するのが理想的です。 また、クラウド環境では、分析結果を生成するための新たな技術 も使用できるようになります。そして、サービスが中断したり、新 たなハードウェアまたは手動による更新を必要としたりすることな く、組織全体に保護機能を適用することができます。意志決定が 一元化され、すべてのファイアウォール、クラウド、およびエンド ポイントが単一の信頼のおけるソースから最新のデータを取得で きるようになります。 新たな脅威を特定したら、防御策を自動的に生成してすべてのテ クノロジに実装し、組織全体に一貫して適用する必要があります。 また、脅威インテリジェンス共有コミュニティの全顧客に配布して、 攻撃の拡散を抑止する必要もあります。 新たに検出された脅威の悪意のある動作に関する知識が得られ たら、機密データが盗み出される前に、自動化を使用して、利用 環境内で感染している可能性があるエンドポイントを特定する必 要もあります。データの自動関連付けを使用して、検出された脅威 と同じ悪意のある動作を示しているホストをネットワーク上で特定 し、明確化する必要があります。 真の自動化では、情報提供に留まらず、自動化されたアクションを 設定できます。組織によっては、感染した可能性があるエンドポイ ントの即時隔離を自動化できます。このためにには、そのエンドポ イントがネットワークのあらゆる要素にアクセスすることを拒否す る一方で、修復活動用の接続は維持するポリシーへホストを移動 します。また、若干異なるアプローチも可能です。その場合は、感 染した可能性があるホストに自動的に多要素認証を適用し、攻撃 者がそのホストに対するアクセスを得ても企業のデータやアプリ ケーションにアクセスできないようにします。 自動化により、組織は、手作業による操作を待たずに脅威に対抗 することが可能になります。応答時間が向上するほか、適切に実 装して適切なツールと連携すれば、攻撃の成功を防止できます。自 動化機能を提供するセキュリティ ベンダーを利用すると、セキュリ ティ チームは基本的な運用タスクから解放され、組織に直接利点 をもたらす戦略的な取り組みに集中できます。手作業による操作 を減らすことで、回避可能なミスが減り、結果的により安全なセ キュリティ体制を実現できます。 推奨される RFP 質問 £ ご利用のセキュリティ ベンダーは、攻撃に関連するすべて7
のデータに対し、攻撃のライフサイクルにわたって防御シグ ネチャを自動生成する機能をサポートしていますか ? £ ご使用のファイアウォールは、ネットワーク内の感染ホスト を相関付けて識別、隔離して、ネットワーク内でのアクセス を制限できますか ? £ ご使用のファイアウォールは、多要素認証を開始して、認証 情報の悪用を防止し、重要なアプリケーションを保護できま すか ? £ ご使用のファイアウォールは、ネットワーク内で確認された 脅威を、グローバルな脅威インテリジェンスから入手した情 報と相関付けることができますか ?セキュリティ エコシステムへの次世代ファイアウォール
の統合
セキュリティ チームは、アプリケーション プログラミング インター フェイス (API) を使用して、セキュリティ デバイスを全体的なセキュ リティ エコシステムに統合し、運用を合理化することが増えていま す。これには、回避可能な人的ミスが減るというさらなる利点もあ ります。 この機能を提唱し、テストする理由 API を活用することで、異なるベンダーの複数のセキュリティ デバ イスを連携させる必要があるセキュリティ ワークフローを自動化 できます。これにより、セキュリティ チームは、こうした煩雑でミ スが起きがちなワークフローの手動運用プロセスから解放され、 迅速かつ効果的にワークフローを適用できるようになります。 現状の打破 さまざまなデータセンター テクノロジとの容易な協力 データセンター環境では、多くの場合、異なるベンダーの複数の インフラストラクチャ要素を使用しています。API は、これらの各 要素でデータを共有し、ワークフローで必要な適切なアクションを 開始するメカニズムを提供します。したがって、ご使用のセキュリ ティ ベンダーが採用している API は、広範なパートナーと統合で き、相互運用性が文書化、保証されている必要があります。 マルチベンダー統合は、データセンターだけに留まらず、エンドポ イント セキュリティ、電子メール ゲートウェイ、ワイヤレス セキュ リティなどのベンダーにも拡張する必要があります。 包括的な機能のサポート API の利用方法はセキュリティ ベンダーによって異なるため、API が本来提供するはずの簡潔性が失われるという問題が発生しがち です。たとえば、わかりやすいドキュメントがない、API 経由で包 括的にサポートされないセキュリティ機能があるといった問題で す。定評あるセキュリティ製品の多くは、API をネイティブに組み 込むことができません。ネイティブに統合された API を備えたファ イアウォールであれば、ファイアウォール管理者は、一連の機能全 体の表示、アクセス、および変更が可能です。 統合された包括的な単一の標準ベースの API 多くの場合、セキュリティ製品は、さまざまなメカニズムを制御す るため、異なる標準に基づくAPI を複数使用します。たとえば、 ファイアウォール ハードウェア用に 1 つの API、そのハードウェア で動作するソフトウェア用にさらに 1 つ、GUI マネージャ用にさら にもう 1 つの API を備えている場合があります。複数の API を個 別に学習、実装、管理しなければならないため、API が目指す運 用の簡潔性に反し、直感的ではない断片化されたアプローチに なってしまいます。適切に構築すれば、API はゼロタッチ運用とい う利点をもたらします。 推奨される RFP 質問 £ ご使用のファイアウォール / マネージャは、ファイアウォー ルで確認された悪意のあるイベントに基づいて、変更管理 システムでチケットを作成できますか ? £ ご使用のファイアウォール / マネージャは、ワイヤレス ネッ トワーク上の感染ホストに対して隔離アクションを実行でき ますか ? £ ご使用のファイアウォールはAPI経由で完全にプログラムで きますか ? £ ご使用のファイアウォールは、ワイヤレス ネットワークに接 続しているホストに関するユーザー /ID 情報をワイヤレス コントローラから API 経由を収集できますか ?これまでに確認されたことがない、回避的な攻撃の
防御
今日の脅威の状況において、回避的な脅威は当たり前となってい ます。マルウェア開発者は、正規ファイルへの悪意あるペイロード の混入、ファイル圧縮による検出逃れ、サンドボックス環境を警戒 したスリープ呼び出しの延長など、さまざまな回避テクニックを使 用します。組織が動的分析に仮想サンドボックスの導入を増やす につれ、攻撃者はそれらを回避するため、正規ユーザー活動、シ ステム設定、または特定の仮想化テクノロジーを示す指標などを スキャンするテクニックを駆使して進化してきました。これらの脅 威の多くは、ほとんどのマルウェア分析ツールやハイパーバイザで 使用されているオープン ソース テクノロジから得た知識を基に設 計されています。サイバー犯罪のアンダーグラウンド化の一般化と 成長により、攻撃者は素人、玄人に関わらず、マルウェア分析環 境を特定して回避するように設計されたプラグアンドプレイの脅 威を購入することができます。捕捉が困難なマルウェアを特定し、 それらの攻撃を防御することは、今まで以上に重要です。 この機能を提唱し、テストする理由 SANS Institute の報告によると、検出を回避する機能を備えたマル ウェア プログラムの使用は、2014年から2015年の間に2,000パー セントも上昇しています。現在の最新のマルウェアは、従来の一般 的なネットワーク セキュリティ ソリューションをバイパスできる高 度なテクニックを活用することで、ネットワーク セキュリティ デバ イス、ファイアウォール、サンドボックス検出ツールなどを越えて 攻撃やエクスプロイトを送信します。回避的なマルウェアをすべて 検出する個別のツールを構築することはできませんが、回避テク ニックを特定できるシステムを使用して自動的に対抗することは重 要です。 現状の打破 自動化で自動化に対抗 攻撃者は悪意のあるコードにわずかな変更を加えることが多く、そ の結果、マルウェアの亜種やポリモーフィック型マルウェアが生成 されます。ハッシュ、ファイル名、URL などの特定の変数に依存し た脅威シグネチャでは、既知の脅威に対してのみ 1 対 1 の合致が 可能です。元のマルウェアに対する防御しか作られていないため、 改変された亜種であるこの「新しい」マルウェアは未知の脅威とし て扱われます。 NGFWは特定の属性に基づくシグネチャを使用するのではなく、コ6
8
ンテンツベースのシグネチャを使用して亜種、ポリモーフィック型 マルウェア、またはコマンドアンドコントロール活動を検出する必 要があります。コンテンツベースのシグネチャでは、パターン検出 によって改変された既知のマルウェアを識別することができます。 その結果、個別の亜種に対応したシグネチャではなく、同じマル ウェア ファミリから作成された何万もの亜種を自動的に阻止でき るシグネチャを作ることができます。 マルウェア作者が DNS や URL を自動的に変更する C2 通信を作成 するようになったため、コマンドアンドコントロールによる課題が 生じています。これらのアーチファクトに基づく自動化されたシグ ネチャはすぐに時代遅れになり、効果を失います。それに反して、 C2 アウトバウンド通信パターンの分析に基づくC2 シグネチャは、 自動的に作成された場合に、マシン速度にスケールした、より効 果的な防御になります。 1 つ以上の分析メソッドによる検証 より熱心で高い技術力を持つ攻撃者は、まったく新しいコード記述 による新たな脅威を作成します。これは、攻撃者にとって最もコス トが高い手段です。そのような脅威は未知として扱われ、検出され ません。 完全に未知の脅威が組織に侵入した場合、時間的な猶予はあまり ありません。脅威が拡散するよりも迅速に防御策を作成し、すべて のセキュリティ製品に配信する必要があります。これは、機械学習 による静的分析、動的分析、ベア メタル分析などを含む分析のさ まざまな側面を自動化することで実現できます。自動化の導入によ り、脅威の正確な識別、迅速な防止、効率の改善、担当者の専門 性のより的確な活用、組織のセキュリティ体制の改善などを実現で きます。 知識ギャップの構築による攻撃者の検出 発見を回避したい攻撃者にとって、専用の仮想分析環境は課題と コストの増加を意味します。そのような環境が標的となった場合、 一般に知られる他の分析環境とは異なるテクニックが必要である ため、脅威の存在を特定しやすくなります。 仮想環境を越えた先 分析環境を回避するように作成された脅威に対抗する手段はいく つもあり、最新の効果的なセキュリティ プラットフォームでは複数 のテクニックを組み合わせて利用する必要があります。例えば、サ ンドボックス環境の動的分析をベア メタル分析と組み合わせるこ とで、自身が分析対象となっていないか環境の評価を行うマルウェ アに対して、効果的な対策となることが証明されています。ベア メ タル分析を採用した場合、仮想分析を回避した脅威ファイルを実 際のハードウェア環境に誘導し、その環境で脅威の発動と観察を 行うことができます。仮想環境では休眠状態を維持したであろう脅 威ファイルは、ベア メタル環境で悪意のある活動を本格的に実行 します。 攻撃の拡散の防止と脅威インテリジェンスの共有 脅威インテリジェンスの共有は、自社のインテリジェンスだけでな く、世界中の他の組織からのインテリジェンスも共有できるという 利点があります。まったく新たな脅威を特定し、その情報を共有す れば、共有ネットワークに参加している他の組織でもその脅威を 「既知」のものとして特定し、扱うことができます。インテリジェン スは複数のソースから収集され、必要なコンテキストへの関連付 けと検証を行う必要があります。実用的な対応の生成と配信に加え てそれらを行うことで、迅速で自動化された防止に貢献できます。 推奨される RFP 質問 £ ご使用のクラウドベースのマルウェア分析システムでは、サ ンドボックスを認識する回避的なマルウェアを検出するた めのベア メタル分析を含む、複数の分析テクニックがサ ポートされていますか ? £ ご使用のクラウドベースのマルウェア分析システムでは、サ ンドボックスを認識するマルウェアに効果的な、カスタム コーディングされたハイパーバイザが使用されています か ? £ ご使用のマルウェア分析システムでは、マルウェア分析後に 以下の脅威防御シグネチャが作成されますか ?◦
マルウェアの既知および未知の亜種を防止する、コンテ ンツベースの AV シグネチャ。◦
既知および未知のC2インフラストラクチャへの通信を検 出する、パターンベースのアンチスパイウェア シグネ チャ。 £ ご使用のクラウドベースのマルウェア分析システムでは、 Windows®、Android® 、macOS® などのオペレーティング システムのファイル タイプに対するマルウェア分析がサ ポートされていますか ?NGFWに外部脅威インテリジェンスを組み込む
ファイアウォールには、所定のルールやポリシーのリストをイン ポートする機能があります。これらを一旦読み込むと、リストに記 述されているオブジェクトに対して、ファイアウォール側での対策 が可能になります。その後、ファイアウォールを更新して、新たに 発見された脅威、防御、ポリシー ロールなどを反映する責任がファ イアウォール管理者にあります。攻撃者が自動化や回避などのより 高度な手段を用いる中、可能な限り最新のセキュリティ体制を維 持するにはマシン速度での対応が必要となります。 この機能を提唱し、テストする理由 組織のセキュリティ体制の改善には、次世代ファイアウォールに自 動化と動的リストを組み込むことが最も効果的で効率的な方法で す。動的リストは通常 NGFW ベンダーから提供され、手動での操 作またはサードパーティの脅威インテリジェンスとの統合によって 更新することができます。このため、ルールやポリシーを変更する 場合はリストのみを変更すればよく、動的リストに関連付けられて いるファイアウォールはすべて定期的かつ自動的に最新の防衛策 をインポートします。 現状の打破 動的リスト 新たな脅威が特定されると、ファイアウォール管理者は新たな ルールやポリシーを作成して、ファイアウォールが適切に対応でき るようにする必要があります。これは、リスク オブジェクトごと、ネッ トワーク内のファイアウォールごとに行う必要がある、労働集約的 で間違いが起きやすい手動プロセスです。 動的リストを活用することで手動による作業を大幅に削減し、応答 時間を短縮します。最新の動的リストには、NGFW ベンダーが検 証した、既知で高リスクな悪意のある IP アドレスに対する防御策 が含まれます。また、ベンダーが検証していないサードパーティの 関連データに基づいて、高リスクと結論付けられた IP アドレスに 対しても防御策を提供します。この対策は、組織に適切なポリシー を適用する段階で選択することができます。 サードパーティの脅威インテリジェンス フィード 組織は、サードパーティの脅威インテリジェンス フィードを利用す9
ることで潜在的な脅威や攻撃ソースに関する継続的に更新される データにアクセスし、それによって最終的には自社のナレッジベー スを拡大しています。これらのフィードは、侵害の兆候 (IoC) を示 す大量の生のデータを提供します。それらを使用することで、組織 が攻撃者に侵害される前に、未知の脅威を既知の脅威へと変える ことができます。 脅威インテリジェンスを実行可能な防御に変換するのは、ファイア ウォール上の活動に基づいて新たなルールやポリシーを作成する のと似ています。とても時間のかかる手動プロセスであるため、多 くのセキュリティ チームがその管理に苦労しています。 脅威インテリジェンス フィードからのデータは、形式化された最新 の情報である必要があるため、場合によっては利用しやすいデー タ形式に変換する必要があります。複数の IoC の関連付けを行い、 より広い範囲で悪意のある行動パターンを検出したり、新たに特定 した脅威の優先度や関連性などの必要なコンテキストを追加した りするなどして、特定の IoC が有害かどうかを検証するためには データの関連付けを行う必要があります。一旦データの検証とコン テキスト補完が完了すれば、セキュリティ チームは特定の脅威に 対する防御策を、さまざまなセキュリティ適用ポイントを横断して より効率的に作成および配信することができます。ベンダーが適用 ポイントに防御策をプッシュすることも可能ですが、ローカル トラ フィックとの統合はあまり効果的ではありません。これらの手順を 完了しなければ、脅威フィードは単なる膨大なデータの塊でしかあ りません。 最新の脅威インテリジェンスを活用したセキュリティ体制の迅速な 改善、手動による介入の縮小、人的ミスの排除などに自動化は必 要です。組織の外から収集されたコンテキストに基づく自動化によ り、攻撃者が攻撃ライフサイクルを成功裏に完了するよりも速く、 未知の脅威を既知の防御に変換できます。 推奨される RFP 質問 £ ご使用の NGFW は、ファイアウォール内のサードパーティま たはカスタムの脅威インテリジェンス フィードを、ポリシー コミットなしに動的に組み込むことができますか ? £ ご使用のセキュリティ アーキテクチャは、脅威フィードの集 約や、ファイアウォールに兆候をプッシュする前の脅威 フィードの統合および重複排除などに対応していますか ? £ ご使用のセキュリティ アーキテクチャは、NGFWと統合して、 有効期限切れの脅威の兆候を自動的にタイムアウトとして 処理することで、古い脅威インテリジェンスの使用を回避し ていますか ? £ ご使用のセキュリティ アーキテクチャでは、最近の APT 攻 撃で見られた脅威の兆候を対象としたり、NGFW に脅威 フィードを積極的に組み入れたりできますか ? £ ご使用のセキュリティ アーキテクチャでは、確信度に基づい て脅威インテリジェンスを強化し、誤検知の対応から発生す る運用負担を軽減することができますか ?ランサムウェア攻撃の阻止
最近の組織はランサムウェアに高い関心を持っています。多くの組 織の業務が停止に追い込まれたことを考えると、当然と言えます。 組織は、暗号化されてしまったデータを取り戻すのに支払いを強 要されるだけでなく、失われた機会や顧客、機材の置き換え、新 たなセキュリティ テクノロジーの導入、評判の失墜などによるコス トまで負担せねばなりません。これは別段新たな展開ではなく、ラ ンサムウェア問題に対応するために、セキュリティ ベンダーは製品 を更新してランサムウェア防止機能を追加しました。 この機能を提唱し、テストする理由 単一のセキュリティ製品のみでランサムウェアを防止することはで きません。攻撃のライフサイクルには複数のステージがあるため、 ランサムウェアの攻撃を防止するには複数の防御層を構築する必 要があります。ランサムウェアに対して効果的に防御するための組 織の能力は、積極的なランサムウェアの検出と防止を目的とした、 セキュリティ製品にネイティブで設計されている自動化および統合 機能に影響されます。起こり得るランサムウェアの攻撃を防止する には多層防御が最も効果的な手段であるため、セキュリティ アー キテクチャへの機能追加は、ネットワーク全体の保護を補完するこ とが期待されます。 現状の打破 特効薬はない ランサムウェアに対して防御するには、ネットワーク トラフィック、 アプリケーションの適用、ユーザーベースおよびコンテンツベース のポリシーなどを可視化する必要があります。また、既知および未 知のエクスプロイト、マルウェア、コマンドアンドコントロール トラ フィックを防御し、既知の悪意のあるフィッシング URL へのアクセ スを防止することなどがセキュリティ製品に求められます。 ランサムウェアは時間との勝負 ランサムウェア攻撃が組織内におけるすべての攻撃ライフサイク ルを終える前に素早く対処するには、自動化が唯一の防止策です。 未知の脅威を特定してブロックするには、悪意のあるファイルや URL の発動、分析、そして悪意のある活動の監視が必要です。一 旦悪意のあるファイルや URL を特定したら、防御策を作成して、自 動的にネットワーク、クラウド、エンドポイントを横断して、セキュ リティ インフラストラクチャ全体に配信する必要があります。こうす ることですべてのポイントに情報が共有され、最新のバージョンの ランサムウェアも防御できるようにします。 防御策を組み合わせる 効果的な防止を展開するには、自動化を導入して、環境内の既知 および未知のマルウェアやエクスプロイトを協力して特定するさま ざまなセキュリティ ツール間で情報を共有する必要があります。こ のほか、感染したホストを特定して隔離し、攻撃が拡散するのを 防ぐ必要もあります。 脅威インテリジェンスは組織の脅威防御策のコンポーネントとして 常に据える必要があり、脅威インテリジェンス クラウドや IoC から 収集された情報に基づいて、悪意のある IP、ドメイン、URL など に対する防御をファイアウォールにおいて動的に更新できる必要 があります。 推奨される RFP 質問 £ ご使用の NGFW では、未知のアプリケーションや URL の実 行可能ファイルやその他のリスクが高いファイルタイプをブ ロックし、ランサムウェア攻撃を阻止できますか ? £ ご使用の NGFW では、既知の IoC( 例えば、IP、ドメイン、 URL) をすべて自動的かつ動的にブラックリストにインポー トし、すべての既知のランサムウェア ファミリに対して積極 的に取り組んでいますか ? £ NGFW と統合されている脅威インテリジェンス クラウドで は、URL フィルタリング データベースのマルウェア カテゴリ に登録されているランサムウェアと関連性のある、悪意のあ る URL の動的な更新をサポートしていますか ?〒 102-0094
千代田区紀尾井町 4 番 3 号 泉館紀尾井町 3F
電話番号 : 03-3511-4050
© 2018 Palo Alto Networks, Inc. パロアルトネットワークスは、パロアルトネットワー クスの登録商標です。当社の商標のリストは、https://www.paloaltonetworks. com/company/trademarks.html に記載されています。本書に記述されているそ の他の商標はすべて、各社の商標である場合があります。 £ NGFW と統合されている脅威インテリジェンス クラウドで は、ランサムウェアと関連性のある、悪意のあるドメインを、 ブラックリストやシンクホールに自動的に登録するべき DNS シグネチャとして、動的に更新していますか ? £ ご使用の NGFW は、エンドポイント保護ソフトウェアから脅 威またはランサムウェアの動作について学習することがで きますか ? または、その逆のことが可能ですか ?
