ソリューション

標的型攻撃対策としての特権ID管理と証跡管理

昨今、多くの企業が被害を被っている標的型攻撃をはじめ、外部からのサイバー攻撃はますます巧妙になってきており、従来は効果を発揮していたアンチウィルス、ファイヤウォール、IDSなどの対策では、もはや防ぐことができなくなっております。
そのため、サイバー攻撃への備えは、これまでのように、不正侵入防止を中心に実施するだけでは不十分であり、不正侵入されることを前提に、たとえ侵入されても情報の搾取やシステム改ざんなどの被害が及ばないようにする対処が必要です。
このページでは最近の標的型攻撃の手口から必要な社内システムの対策について考えてみます。

なぜ標的型攻撃は防ぐことができないのか

標的型攻撃の典型的な例は、偽装メールの送信でマルウェアに感染する例です。偽装メールは、関係者を装ってあり、添付ファイルもPDFやWORD文書のように見える仕掛けがしてあります。
攻撃に使われるウイルスなどのマルウェアは、その攻撃のためだけに開発されるためにサンプル数が少なく、ウイルス対策ソフトのパターンファイルでは検知できないため、簡単に感染してしまいます。
感染したマルウェアは、社内の他のPCなどにも感染し、潜伏しながらキーロガーなどのツールを送り込み社内の情報を収集します。
やがてマルウェアは、重要なサーバーの管理者権限のアカウント情報を入手し、重要システムへの改ざんや機密情報の搾取が行われます。

マルウェアに感染する典型的な例

特権ID管理と証跡管理が重要な理由

管理者権限を守る

標的型攻撃などのサイバー攻撃では、社内に潜伏したマルウェアが重要システムの管理者アカウント(特権ID)やパスワードを搾取することで、重要システムへの不正アクセスを行います。そのためサイバー攻撃によって不正侵入を許してしまっても、実際に被害を発生させないためには、特権IDを守ることが重要です。
複雑なパスワードの設定、利用者の絞り込みなどを実施し管理者アカウント情報が盗まれる機会を減らすとともに、パスワードの定期的更新により、盗まれたパスワードが使えなくなるよう対処することが重要です。

不正なアクセスを発見するための証跡管理

多くの標的型攻撃のケースでは、特権ID情報を取得したハッカーが、RATと呼ばれるリモート操作ツールを利用して重要サーバーに侵入し、システムの改ざんや情報の搾取を行います。標的型攻撃によるダメージを最小化するための証跡(ログ)を記録して定期的な点検を実施することは重要です。
しかし、調査会社の調査によれば、実際に発生したセキュリティインシデントの中で、ログや証跡を点検して不正アクセスを発見したケースは非常に少なく、多くのケースで外部からの通報による発見というのが実態です。(※1)そのため発見に要する期間も長く、それだけ企業が被るダメージも大きくなってしまいます。
標的型攻撃の対処としても、ログは単に蓄積するだけでなく、定期的な点検・チェックを行う必要性が高まっています。

エンカレッジ・テクノロジの貢献

エンカレッジ・テクノロジのSmartIT Operationを構成する製品は、システム運用における内部不正や誤操作だけでなく、外部からの攻撃への対策としても有効な手立てとなります。

ESS AdminControlによるサイバー攻撃からの特権IDの保護

ESS AdminControlはサーバーの特権IDをサイバー攻撃から有効に保護します。

  • 特権IDはデフォルトで使用不可にしておき、ワークフローによって承認された場合のみ使用可能とします。
  • 使用者にパスワードを伝えることなく特権IDの使用を可能にします。パスワードを打鍵することがないため、キーロガーによるパスワードの搾取も防止できます。
  • 特権IDのパスワードの複雑性の指定、定期的なパスワード変更を、管理者に任せず自動化します。
  • アカウントの棚卸機能により、長期間使用されていないIDを見つけ、削除する作業を効率化します。
  • サーバーのログイン履歴を収集し、未承認でアクセスされた履歴の有無を確認可能です。

ESS AdminControlによる不正アクセスの発見

ESS RECによる不正なサーバーアクセス内容の点検

ESS RECは、クライアント、Windowsサーバー、UNIX/Linuxサーバーの操作をリアルタイムに監視、不正操作は即時アラートを上げることで、サイバー攻撃に伴うサーバーアクセスの即時的発見を可能にします。また、操作内容は動画像として記録・保管されますので、ログ解析の知識やノウハウを有しなくても容易に点検を行うことができます。

ESS RECによるサーバーアクセスの克明な記録が点検を容易に実現

※1: ベライゾン「2012年データ漏洩/侵害調査報告書」によりますと、2011年度に発生した情報漏洩事件のうち92%が第三者によって発見され、ログ解析によって発見されたのは、わずか1%でした。

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時