スワットカメラ -blog-

スワットカメラにようこそ!!
スワットカメラは、弊社の営業や技術スタッフが、販売店の皆さまやお客様とお仕事させていただいたときの"こぼれ話"を中心に、弊社がある京都での話題などをブログ形式で掲載していきます。
どうぞ、末長くご愛読いただけますようお願いします。

OnePointWall で、マルウエア被害の”実被害”の無害化に新提案!

2016年5月2日

2004年から提供されている「特定通信制御型ファイヤーウォール(Fire Wall)」の機能を提供する、OnePointWall(ワンポイントウォール) は、弊社から専用アプライアンスサーバに搭載したモデルをご提供しています。

 

OnePointWall(OPW)製品は、かつて『NetWorld+Interop 2004 TokyoのBest of Show Award・ネットワークセキュリティ製品部門グランプリ受賞』と『2006年東京都ベンチャー技術大賞・特別賞を受賞』など、高い評価を受けた製品です。

 

ネットワーク内部から外部への情報漏えい対策として、通常のFireWallでは制御出来ない通信について、指定(設定)した通信が発生した場合に、「検知・遮断」の機能を提供します。

 

OnePointWall製品は、弊社が提供する製品の中でも、非常に多くのお客様に導入していただいており、10年以上のご活用をいただいているお客様もあります。

 

元々、P2Pファイル共有ソフトの通信を遮断する点に高い注目をいただきました。

Winny、WinMX、Share、bit torrnet などです。

それ以外にも、VPN接続、インスタントメッセンジャー、BBS書き込み、チャット、ファイル共有サービス・オンラインストレージへのファイルUPLOAD、さらには、オンラインゲーム、音楽や画像・映像のストリーミング、オンライントレード・オンライン取引などの通信も見分けて「検知・遮断」します。

 

※詳しいルールについては、お問合せください。

 

その結果、故意に行われる内側から外部へのネットワークを使った情報漏えい操作を阻止することが出来ます。また、意図しない同様の操作についても阻止できます。

 

そんなOnePointWallに、昨年2015年12月、全く新しい機能が追加されました。

 

その機能は「C2ルール」と言います。

提供される機能は、標的型攻撃の際に利用される”C&Cサーバ”へ、マルウエアに感染した内部端末から実施される「不正通信」を検知し通信を阻止します。

 

マルウエアと呼ばれるプログラムの中には、最初に感染した時の不正プログラムでは特に悪い行動をせず、感染したパソコンの情報を調べたり、接続されるLANの様子を調べるだけの動きをするものがあります。そして、その情報を、マルウエアのオーナ側に伝えるため、インターネット上に用意された「通信サーバ」へ、こっそり通信を行うと言われています。

 

この「通信サーバ」の事を「C&Cサーバ(Command and Control server)」と呼びますが、OnePointWallでは、LAN内の端末が、このC&Cサーバへ行う通信を検知して、遮断を行うことができます。

 

OnePointWallが、C&Cサーバへの通信を遮断することで、マルウエアは、次のステップ(進化?)に進むことができません。その結果、何らかの悪意のある操作が未遂に終わり、”実被害”に遭わずに済みます。

 

OnePointWallが、C&Cサーバへの通信を見分けるために使用する情報は、株式会社LAC社が運営する、セキュリティ監視センター「JSOC®」(Japan Security Operation Center)の持つ情報が適用されています。

 

JSOCは、国内トップの技術力と実績を誇ります。中央省庁をはじめ、国内有数の企業や団体のネットワークを監視し豊富なデータを持ち、国内での不正攻撃に関する知見は高いと言えます。そのデータベースの内容を、OnePointWallに搭載することで、OnePointWallの通信検知と遮断の能力は、非常に高いものとなります。

 

OnePointWallでは、このLACからの情報を、毎日更新し導入先のネットワーク通信を監視します。

 

この新機能は、従来からの機能と一緒に搭載し、動作します。

そのため、OnePointWallは、導入された企業や学校、団体において、効果的な「ネットワークからの情報漏えいを防止」する仕組みになります。

 

内部端末に感染したことが、発見しづらい不正プログラムが、裏側でこっそり実施する「C&Cサーバ」への通信を検知・遮断する仕組みで、不正攻撃からの”実被害”のリスクを大幅に低減しましょう!

 

※Webサイトに掲載していない製品については営業までお問合せください。

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ 掲載記事の無断転載を禁じます。

FFR yarai は、遅いし、重いのか?

2016年4月18日

標的型攻撃に関する話題で、弊社は、FFR yaraiをご紹介しています。

 

10名規模の導入検討案件から、3,000名、4,000名と、いう規模の検討案件もいただいております。

 

また、パートナー各社様からも、FFR yaraiを提案していただくためにあれこれとご質問を良くいただいております。

 

そしてもちろん、弊社自身も導入を検討されているお客様先へ良く伺います。

 

そんな中で、良く質問されるのが

  • FFR yarai を導入したら パソコンの動きが悪くなるの?
  • FFR yarai を導入したら ExcelとかPPTの動きが悪くなるの?
  • FFR yarai を導入したら 業務が出来なくなるの?

などです。

 

これ、全部 デマ です。
そう 嘘 です。

 

現実に、検証導入や、動作テストの名目で、お客様の実際の端末にインストールしていただき、その後、結果を伺ってみますと…

  • 導入してることを忘れる位に、通常業務に影響は無かった。
  • 試しに、試験的なマルウエアを入れた時だけ、アラート表示などが画面に出たが、それ以外は、導入していることを忘れるくらいだった。

と、感想をいただいております。

 

もちろん、弊社の業務で使用しているWindows端末(7,8.1,10)にも導入し稼働していますが、FFR yarai導入前後に差があるようには感じません。

 

非常に残念なことではありますが、弊社のお客様先で実際に聞いた話として他社の提案者さんが、ネガティブな話を説明されていると聞きました。

 

自分の提案製品を採用してもらうために、FFR yaraiに対しNGという印象を与えたい気持ちは判りますが、堂々と検知実績や、製品の仕組みの提案でお客様にご判断をいただくようにしましょうよ。

 

アンチウイルスソフト等、FFR yaraiのように、保護したい端末に適用して稼働させるソフトウエアの導入に対しては、導入されるお客様も導入後に業務に影響が出ることへの心配を持たれます。

 

当然です。

 

良く言われる、”導入したら、端末のCPUの負荷は○%程度(以下)ですので影響は無いと思います”ですが、もしこれをFFR yaraiで言うとしたら1%以下とご紹介しています。

 

端末(エンドポイント)の中で、CPU負荷が高くなる理由は、HDD(ハードディスク)へのアクセス処理時間(I/O時間) です。
FFR yaraiの場合、シグネチャを持たないため、シグネチャ比較などを行う意味での HDD(ハードディスク)への繰り返しのアクセスがありません。

 

もちろん、”疑わしいファイル”と思った場合は、FFR yaraiが持つエンジンで徹底的に調べる動作が実行されますので、CPU負荷は上がると思います。
しかし、”疑わしい”を調べる間の、僅かな負荷の上昇が…

  • FFR yarai は、動作が重くて処理が遅くなる。

という製品自体にマイナスな印象を与える理由になるとは思えません。

 

むしろ、軽さだけを差別点にして、”疑わしいファイル”を、疑わしいと判断せず「問題無し」と判断する方が、首を傾げます。

その点では、

  • FFR yarai は、誤検知が多い! (たぶん、過検知の意味だと…)

というネガティブ説明も、それに近いと思います。

 

“疑わしいファイル・疑わしい動作プロセス”を、「疑いあり!」とアラートで知らせることは、万が一「問題無し」とすり抜けた後のインシデント対応が発生したこと、と比較して考えるとリスク管理の観点では、どちらが望ましい動きになるでしょうか。

 

過検知(か・けんち)は、あって当然だと思います。
そして、過検知位の方が、重大なセキュリティ事故の事後対応を考えると問題は小さいと思います。

 

誤検知は、意味合いが異なります。
“問題の無いプロセス”として、FFR yaraiに定義したにも関わらず、同じことを検知し続けるような動作は、誤検知かもしれませんが。

  • 実際には、たいした検知も出来ないし、役には立たないですよ。

…と言ってるアナタ。

 

アナタのご提案されている製品は、ちゃんと役に立つのですか?
話題の、マルウエアやランサムウエアは、その発見された時期においてちゃんと検知して動作を抑止できたのでしょうか?
開発元さんは、それを公開公式情報として、開示されていますか?

 

いずれにしても、弊社ではお客様に説明して、またお願いをしています。

 

もし他社の方が…
FFR yaraiを入れたら、端末が遅くなり業務に支障が出る」と
説明された場合は、その方に…
FFR yaraiを自分で使ったことがあるの?」と、
聞いてみてください。と。

 

それで、NO! と返事をされたら「デマやウソを言ってはダメですよ」と諭してあげてください。と。

 

それでも納得されない場合は、弊社にご連絡をいただき、検証ライセンス版をお貸しするようにします…と。

 

FFR yaraiは、スタンドアロンの状態でも検証できます。
管理サーバや、アクティブディレクトリ(AD)等の認証サーバも不要です。
1台でも、動作します。

 

ちゃんと使ってみて、検知される実力も試し(その方法すら判らないなら無理ですが…)、それから、正しい話をお客様にご説明ください。

 

良く受ける質問であり、また、他社の方が繰り返し説明されている話題でしたが、それを概要としてまとめると、

 

FFR yaraiは、過検知があります。しかし、検知する側に振った許容範囲内と考えています。また、導入した端末の動作が遅くなり、従来の業務を遅延するような負荷は、全くありません。

 

FFR yarai は、遅いし、重いのか?は、ウソとデタラメです。
遅くないし、重くないです。

 

※お客様の端末環境によっては、FFR yaraiの導入が適さない場合もあります。
導入前の時点で、必ず試験導入にて動作確認をお願いしています。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.102)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ 掲載記事の無断転載を禁じます。

標的型攻撃対策のあれこれ

2016年4月4日

情報セキュリティ対策の話題として、良く耳にする言葉。
「標的型攻撃の対策」ですね。

 

ただ、弊社や弊社スタッフがお客様やお取引先担当者様と会話している中で感じているのは、相手の方によって観点が違う。です。

 

同じ”標的型攻撃の対策しないと!”と言う言葉があっても

 

“どんな事が必要だと思ってるのですか?”と質問したら、返答してもらえる内容は、色んな内容があります。

  • 外からの不正侵入があるでしょ。それを止めないとね。
  • 添付ファイルの開封でマルウエア感染するでしょ。教育で改善しないと。
  • WEBサイトを閲覧したら、それだけで感染するんでしょ?
  • どんなマルウエアが侵入したのか、その検体を保存しないとダメらしいね。
  • 上流の取引先から、「標的型攻撃の対策実施したか?」とヒヤリングがある。

などなど、色んな内容が出てくる。

 

でも整理すると、

  • 変なメールを開かない。変なWEBサイトはアクセスしない。それを意識してもらうために、演習教育を実施する
  • ネットワークの入口対策を行う
  • ネットワークの出口対策を行う
  • エンドポイントでゼロディ攻撃を検知し遮断する
  • ネットワークを流れた情報を証跡記録する
  • OSやアプリのアップデートを管理し忘れないようにする
  • データのバックアップについて強化対策する
  • 受信メールの無害化を行う
  • データファイルの無害化処理を行う

などでしょうか?

 

たくさん出来ることがありますね。

 

弊社では、これらの対応の中のいくつかについて、ご提案を行っております。

 

ご検討の中の気になる点が合致するようでしたら、是非お問合せください。

 

  1. OnePointWall

    JSOCで運用されている「C&Cサーバ情報」と連携し、内部端末がC&Cサーバへの通信を行った場合、それを検知して通信を遮断します。

  2. FFR yarai(専用管理サーバ付)

    標的型攻撃を受けた後、脆弱性を狙った動きや、ゼロディ狙いの動きを検知し、その動作を阻止します。WindowsXP や、Windows Server2003 もサポートしています。

  3. Active! zone

    受信した電子メールを無害化する処理を行います。添付ファイル処理、HTMLメール形式の処理など、受信メールの無害化対策に対応します。

  4. PacketBlackHole/Counter SSL Proxy

    ネットワークを流れた通信の全てを記録します。HTTP/HTTPS通信であっても、その内容を再現できるデータとして記録し後から、検索・証拠データ出力を可能とします。

  5. Secure Back

    Windows端末、Windows Serverで運用するデータファイルを、リアルタイムにバックアップすることが出来ます。差分では無く、実態を効率的にバックアップするので復旧時が簡単です。端末のメーラによっては、メールデータのバックアップも可能です。

  6. VOTIRO SDS

    ファイルの中に埋め込まれている不正コードを除去(サニタイズ)してクリーンなファイルとして運用することが出来ます。ファイルサーバと連携する動作のため、運用は簡単に実現できます。

 

色んな方法がありますが、お客様の導入方針に沿った形でのご提案についてご相談いただけましたら幸いです。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.101)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ 掲載記事の無断転載を禁じます。