去る2013年2月26日、品川インターシティ(東京都品川区)において、株式会社ネットワークバリューコンポーネンツ(以下、NVC)の主催によるセミナー「Trellix(旧FireEye) & Imperva セキュリティセミナー:外部攻撃と内部漏えいの脅威から情報資産を徹底的に防御」が開催されました。このセミナーでは、セキュリティのスペシャリストたちが、両製品を統合運用することで、どのような対策が実現できるのかを、デモを交えながら解説しました。今回は、その内容を詳しくご紹介します。
INDEX
なぜ今、Trellix(旧FireEye)とiMPERVAの組み合わせが求められるのか?
最初に行われたセッションは、NVCのシステムエンジニア、佐伯久徳氏による講演「何故今Trellix(旧FireEye) とImpervaの組み合わせが求められるか?」でした。
まず佐伯氏は、標的型攻撃の現状として、2012年における攻撃の傾向とデータ漏えい・侵害件数の推移、サイバー攻撃の実例などを紹介しました。
また、攻撃からデータを盗まれるまで数分しかからないケースがほとんどなのに対し、被害者が攻撃に気づくまで数ヶ月かかることも多いと述べ、攻撃の早期発見の重要性を強調しました。
さらに、未知の脆弱性を突くゼロデイ攻撃の脅威とデータ漏えいへの対応が喫緊の課題であるとし、そのために必要なものとして以下を挙げました。
- シグネチャに頼らないゼロデイ攻撃の検知
- 誤検知の少ない正確性
- 必要な情報を瞬時に取得
- 自動的にネットワークおよびホスト上でアクセスを制限
そして佐伯氏は、解決のためのコンビネーションとして、Trellix(旧FireEye)とImpervaによる具体的な多重検知・防御の仕組みを紹介しました。
株式会社ネットワークバ
リューコンポネンツ
システムエンジニア
佐伯久徳 氏
外部から押し寄せる巧妙化する未知の攻撃への防御対策
続いてのセッションは、ファイア・アイ株式会社のシステムエンジニア、小澤嘉尚氏による講演「外部から押し寄せる巧妙化する未知の攻撃への防御対策」 でした。
小澤氏はまず、日に日に多様化する攻撃に対し、ファイアウォールなど従来の対策では企業内への侵入を防ぐことができず、末端のクライアントPCまで届いてしまうと指摘。すべての攻撃を止めるためには新たな対策が必要であると述べました。
また、近年の「アドバンスド・マルウェア」の感染ライフサイクルを紹介。大きな流れとして、まず「システムが感染」し、「ドロッパーマルウェアのインストール」が行われ、最終的にインストールされた複数のマルウェアによって「悪質なデータ搾取と長期的なリモートコントロールの継続確立」に至ると説明しました。
こういった「アドバンスド・マルウェア」への対策として、小澤氏はTrellix(旧FireEye)のVXエンジンを紹介。「シグネチャ、独自ヒューリスティックによるアグレッシブキャプチャ」「バーチャルマシーン(VM)でのSandboxでの解析」「コールバックのブロック」という3つのフェーズについて詳しく説明しました。
さらに、Trellix(旧FireEye)のイベント解析について解説。実際に行われた大規模な攻撃「オペレーション・オーロラ」を取り上げ、その概要と攻撃手法を紹介。「Trellix(旧FireEye)」ではどのようにこの攻撃を検知し、システムを守るのかを具体的に説明しました。
ファイア・アイ株式会社
システムエンジニア
小澤嘉尚 氏
日常業務に潜む不正アクセス!
~内部情報漏えいのリスクと最新対策術~
3つめのセッションとして、Imperva Japanのセキュリティ・セールスエンジニア、佐藤靖忠氏による講演「日常業務に潜む不正アクセス!~内部情報漏えいのリスクと最新対策術~」が行われました。
初に佐藤氏は、2009年から2013年までの間に発生した主な内部情報漏えい事件の実例を紹介しました。そして、内部情報漏えいが発生した場合、企業は以下のような損失を受けると述べました。
- ブランド・イメージ低下
- 社会的信用の失墜
- 顧客離れ
- 情報漏えい対策費用の発生
- 損害賠償費用の発生
- 株価の下落
さらに佐藤氏は、内部情報漏えいの傾向を紹介。「元社員などが引き起こす内部情報漏えいは、情報セキュリティの面以外にも、企業の内情や全社員のモラル等を疑われてしまうため、外部からの不正アクセスよりも、社会や顧客へ与えるインパクトが大きい」と警告しました。
そして佐藤氏は、「データ・セキュリティの必要性とiMPERVAのアプローチ」として、iMPERVAがさまざまな脅威からデータをどのようにして守るのかを、具体的に説明。そのポイントとして、データベース、ファイル、Webアプリケーションという3つの柱でセキュリティ・ソリューションを提供していることを挙げました。
Imperva Japan
セキュリティ・
セールスエンジニア
佐藤靖忠 氏
デモンストレーション
最後に、NVCのエンジニアである駒橋冴季氏により、「Trellix(旧FireEye)」と「iMPERVA」の連携によって標的型攻撃の感染から情報漏えいまでを防止するデモンストレーションが行われました。
駒橋氏は、2012年における攻撃の典型パターンとして、「フィッシング攻撃」「RATインストール」「Pass-The-Hash」「上位権限へ移行」「機密データアクセス」「機密データ送出」を挙げ、実際の攻撃に使用された例を紹介しました。
そして、オンラインショップへの攻撃を想定したデモンストレーションを実施。RATによる攻撃を行うことで、「Trellix(旧FireEye)」がどのように攻撃を検知するのか、「iMPERVA」がどのようにデータを守るのかなどを画面を交えて詳しく説明しました。
Trellix(旧FireEye)とiMPERVAの連携で実現する効果的なセキュリティ対策
「Trellix(旧FireEye)」と「iMPERVA」を組み合わせることで、標的型攻撃を早期に検出、攻撃者の自由な時間を数秒に縮めるとともに、感染端末からの通信をブロック。情報漏えいを防止します。
株式会社ネットワークバ
リューコンポネンツ エンジニア
駒橋冴季 氏