標的型攻撃対策ソリューションの提案では絶対に知っておきたい、Cisco ESA!
最近増えてますね、ちょい飲み。
居酒屋より安く、気軽に、一人でもお酒が飲める・・・素晴らしい。
最近では女性をターゲットにしたお洒落なお店も増えているそうで、利用される方はますます増えていきそうですね。
あと、最近増えていると言えば、、、標的型攻撃
既に色々なところで被害が出てきており、このキーワードを耳にする機会もかなり増えてきました。
本日は、そんな増加傾向にある標的
型攻撃への対策に最適な製品のご紹介をNOPセールスエンジニアリング部の加藤(ビール党)よりご案内させて頂きます。
目次[非表示]
■標的型攻撃対策の2つのポイント
まず、標的型攻撃対策の2つのポイントについて簡単にご説明していきたいと思います。
① 攻撃の特徴を踏まえた防御策 1つ目。被害を未然に防ぐための防御策について、標的型攻撃の特徴から考えてみます。
標的型攻撃の被害にあった企業に対してIPAが行った調査結果では、その大多数がメールを使った手口によるものであると報告されています。
図:IPA「2014 年度 情報セキュリティ事象被害状況調査」より
更にその手口は、単純にウイルスや不審なURLを送りつける、というものではなく「数回のやり取りを行った後、自然な流れで送りつけた添付ファイルにより攻撃を行う」といった巧妙なものへと進化しており、情報セキュリティに関して危機意識を持ったユーザーでも被害を受ける可能性は十分にあるものと考えられます。
つまり、標的型攻撃の被害を未然に防ぐ為の防御策を考える上では、”高度化する攻撃手法“について理解した上で、メールに特化した防御策が必要であることがわかります。
② 事後の対応
標的型攻撃対策では『被害の未然防止』に加えて、被害拡大防止の為の『事後の対応』が求められます。
そもそも、標的型攻撃と呼ばれる攻撃手法について認知度を調査したところ「概要を知っている」または「詳しい内容を知っている」と回答した人は、全体の約25%だったという調査結果※1があります。
つまり、4人に3人は「標的型攻撃とは何か?」ということを知らないのが現状です。
※1 IPA 「2015年度 情報セキュリティの脅威に対する意識調」より
このような状況では、いざ標的にされた時に被害が出てしまうのも仕方ありません。
万が一攻撃を受けた時、「その攻撃の検知」や「被害範囲の特定」(誰が被害を受けたのか?)といった事後の対応を素早く行うことが更なる被害拡大を防ぎます。これが2つ目のポイントです。
■Cisco ESA
そんな2つのポイントを抑えた「標的型攻撃対策」を実現するだけではなく、メールに関する課題をまとめて解決できるのが、本日ご紹介する Cisco ESA (Email Security Appliance)です!
Cisco ESAが提供する機能には以下のようなものがあります。
- ウイルスが添付されたメールのブロック、無害化
- スパムメールの排除
- 未知のマルウェアに対する検知と防御
- フィッシング対策
- メール本文内のURLフィルタリング
- メール暗号化
- なりすましメールの排除
- 被害の迅速な検知、被害者の特定
等々… 上記のような『機能の豊富さ』だけではなく、その『性能の高さ』もCisco ESAの特長なんです。
■ 検知率No.1のアンチスパム機能
ESAのアンチスパム性能(スパムキャッチ率、誤検知率)は競合他社製品に比べても高く、第3者機関の行った評価試験においてもNo1の結果を残しています。
図:OpusOne Comparative Anti-Spam Effeicary 2015 より
その精度の高さを実現する要素の1つが"Cisco CSI"というセキュリティクラウドの存在です。 このCisco CSIは世界中のCiscoセキュリティ製品から情報を収集し、その分析結果をフィードバックするもので、なんと世界中に流れるメールトラフィックの35%を監視していると言われています。
そこで得た情報を分析し、不審な送信元(Source IP)から送られるメールを遮断する、という仕組みです。世界中で絶大な導入実績を持つCiscoならではの方法と言えますね。
高性能なアンチスパム機能により、まずは不審なメールをシャットアウトします。
■ 検知率No.1の高度なアンチマルウェア機能"AMP"
Cisco AMPは未知のマルウェアに対する検知と防御を実現するクラウドベースの仮想サンドボックス機能です。AMPを導入することによって、標的型攻撃で用いられるような高度なマルウェアに対しても早い段階で検知と防御を行うことができます。
Cisco AMPでは、ファイルが添付されたメール受信時に未知の(疑わしい)ファイルを発見すると、それらの挙動を解析するクラウド型仮想サンドボックスへ自動的にファイルを送信します。ここで得られた解析結果をもとに、ファイルの通過を許すかどうか判断を判断していきます。
解析結果は日々蓄積されており、新種のマルウェアに対しても早い段階で検知し、攻撃の被害にあった受信者を特定することが可能になります。
実はこのCisco AMP、NSS Labsが行った侵害検知システム評価テストでは「最高レベルのセキュリティ効果と費用対効果を持つソリューション」とされており、競合他社製品と比較した場合の優位性は高く評価されています。
ESAは、このCisco AMPとの連携機能を搭載しており、更に「McAfee」や「Sophos」といったアンチウイルスベンダーが提供するパターンファイルを利用する強固なマルウェア対策機能が備わっています。
■ 1Boxソリューションだから実現できる管理性の高さ
アンチスパムやアンチウイルス、仮想サンドボックスなどの機能がいくつかの機器に分かれているような場合、それぞれの機器の管理画面を確認する必要があったり、統合管理の為の製品を導入する必要がありますが、ESAでは基本的に1台の管理画面から、送受信したメールの総数、スパムメール、ウイルス添付メールなど、メールに関する総合的な統計情報を確認することができます。
更にこの統計情報を定期的にレポート化(PDF、CSV形式)することもでき、操作画面もすべて日本語化されている為、管理者の方は少ない負担で状況の確認と対応が行えます。
また、万が一被害にあった場合、攻撃に用いられたファイルの情報を元にして過去に送受信されたメールの情報を検索することや、Cisco CWS(Cloud Web Security)と連携して、不審なメールに記述されたURLをクリックしたユーザーを特定することも可能で、『事後の対応』を行う上で求められる機能性、迅速性も十分です。
■終わりに
いかがでしたでしょうか、Cisco ESA。 今回は標的型攻撃にフォーカスした視点でご紹介させて頂きましたが、まだまだご紹介しきれていないぐらいESAには豊富な機能があり、それぞれが高い性能を持っています。
もっと詳しい話を聞きたい、資料がほしいといった方はお気軽にネットワンパートナーズまでお問い合わせ下さい!