ブログ

標的型攻撃対策のあれこれ

2016年4月4日

情報セキュリティ対策の話題として、良く耳にする言葉。
「標的型攻撃の対策」ですね。

 

ただ、弊社や弊社スタッフがお客様やお取引先担当者様と会話している中で感じているのは、相手の方によって観点が違う。です。

 

同じ”標的型攻撃の対策しないと！”と言う言葉があっても

 

“どんな事が必要だと思ってるのですか？”と質問したら、返答してもらえる内容は、色んな内容があります。

• 外からの不正侵入があるでしょ。それを止めないとね。
• 添付ファイルの開封でマルウエア感染するでしょ。教育で改善しないと。
• WEBサイトを閲覧したら、それだけで感染するんでしょ？
• どんなマルウエアが侵入したのか、その検体を保存しないとダメらしいね。
• 上流の取引先から、「標的型攻撃の対策実施したか？」とヒヤリングがある。

などなど、色んな内容が出てくる。

 

でも整理すると、

• 変なメールを開かない。変なWEBサイトはアクセスしない。それを意識してもらうために、演習教育を実施する
• ネットワークの入口対策を行う
• ネットワークの出口対策を行う
• エンドポイントでゼロディ攻撃を検知し遮断する
• ネットワークを流れた情報を証跡記録する
• OSやアプリのアップデートを管理し忘れないようにする
• データのバックアップについて強化対策する
• 受信メールの無害化を行う
• データファイルの無害化処理を行う

などでしょうか？

 

たくさん出来ることがありますね。

 

弊社では、これらの対応の中のいくつかについて、ご提案を行っております。

 

ご検討の中の気になる点が合致するようでしたら、是非お問合せください。

 

1. OnePointWall

   JSOCで運用されている「C&Cサーバ情報」と連携し、内部端末がC&Cサーバへの通信を行った場合、それを検知して通信を遮断します。

2. FFR yarai（専用管理サーバ付）

   標的型攻撃を受けた後、脆弱性を狙った動きや、ゼロディ狙いの動きを検知し、その動作を阻止します。WindowsXP や、Windows Server2003 もサポートしています。

3. Active! zone

   受信した電子メールを無害化する処理を行います。添付ファイル処理、HTMLメール形式の処理など、受信メールの無害化対策に対応します。

4. PacketBlackHole／Counter SSL Proxy

   ネットワークを流れた通信の全てを記録します。HTTP/HTTPS通信であっても、その内容を再現できるデータとして記録し後から、検索・証拠データ出力を可能とします。

5. Secure Back

   Windows端末、Windows Serverで運用するデータファイルを、リアルタイムにバックアップすることが出来ます。差分では無く、実態を効率的にバックアップするので復旧時が簡単です。端末のメーラによっては、メールデータのバックアップも可能です。

6. VOTIRO SDS

   ファイルの中に埋め込まれている不正コードを除去(サニタイズ)してクリーンなファイルとして運用することが出来ます。ファイルサーバと連携する動作のため、運用は簡単に実現できます。

 

色んな方法がありますが、お客様の導入方針に沿った形でのご提案についてご相談いただけましたら幸いです。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.101)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ　掲載記事の無断転載を禁じます。

スワットカメラの傾向について

2014年10月29日

2012年4月27日に、この”スワットカメラ”というブログを開始して、
今回の掲載で、通算100回掲載となりました。

 

この”スワットカメラ”は、弊社の営業や技術スタッフが、実際のお客様やお取引先様とお仕事をさせていただいた際に話題となった内容を中心に、情報セキュリティに関する話題や、弊社のある京都の街の話題などを掲載し、ご紹介してきました。

 

特に、お客様やお取引先様との商談であったり懇談の話題である部分については、非常のご好評をいただいております。

 

スワットカメラに掲載した内容と、同じような内容を課題にされていたお客様には、解決策としてご理解をいただいたり、成功事例としてご紹介した内容については、それについてお問合せをいただいたりもしております。

 

誠にありがとうございます。
スワットカメラは、これまでの99回の掲載の中で、以下のような掲載傾向があります。

 

・PacketBlackHole関連：19回
・safeAttach Evolution関連：16回
・LANSheet関連：14回
・デジ急便関連：12回
・SPAMBlock関連：7回
・防人(標的型メール攻撃対策)：7回
・Secure Back 4関連：5回
・OnePointWall関連:3回
・Counter SSL Proxy関連：3回
・その他の話題・・・。

 

製品関連で見ると、こんな感じです。
やっぱり、内部ネットワークの通信内容記録に関連した話題が多いです。

 

さらに、今やITの利用の中でも、通常の基幹業務ツールと言える、電子メールの環境改善や、電子メールの効率化とセキュリティの両立を実現するための話題になります。

 

その次は、急速に導入が拡大している、無線LAN環境に関連したもの。無線距離と無線転送速度が、どんどん拡大され強力な無線LANの仕組みを提案されるようになるとそれが弊害をもたらしてきます。

無線LANを積極的に展開される方には、これが非常に大きな課題になってしまい、せっかくの無線LAN環境が安定的に運用出来ない状態にも。
そんな話題が増えています。

 

 

また、弊社のサイトに来ていただいた方が、多彩な検索サイトからスワットカメラの中の記事に、直接アクセスされているケースも多くあるようです。

 

それだけ、多くの企業や団体様、或は、学校関係者様の課題や懸念事項が共通化されているようにも思います。

 

情報セキュリティの対応・対策手段として、何らかの製品や仕組みを導入することは、直接的で判りやすいものです。
しかし、具体的にどんな製品があるのか？という点では、Webサイト上での検索や、製品比較を紹介してくれるサイトなどで、あれこれと調べているのが一般的です。

 

ただ、それで、製品名は判った。どんな感じかも判った。それだけでは無いでしょうか？

次のステップは、製品取扱い店に問合せでしょうか。

 

スワットカメラでは、その中間をお手伝い出来ていると思っています。

 

実際に、何らかの課題や懸念事項があったり、次の計画として検討されている事案があったり。
それに対して、弊社がどんな話題で意見交換をして、ご提案をしているか知っていただけます。

 

また、そんな商談や議論の結果として、事例として参考にしていただけるモデルも入っていたりします。

 

もちろん、具体的なお客様名などはご紹介はできません。
また、詳しい仕様についてご紹介は難しいです。

 

それでも、課題や懸念事項は、なんとなく掴んでいただけるかと思います。

 

これからも、弊社なりの情報提供として掲載をして参ります。
みなさまの課題解決・懸念事項の払拭のお手伝いが出来るようなご提案を行ってまいります。
引き続き宜しくお願い申し上げます。

 

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

 

 

(Vol.100)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ　掲載記事の無断転載を禁じます。

PacketBlackHole　って、見えすぎて怖い。

2014年6月16日

昨年から、PacketBlackHole関連のお問合せが増えています。
これまで、PacketBlackHole製品をご活用いただいているお客様の５年経過によるリプレースはもちろんですが、全く活用されたことの無い企業や団体様からのお問合せも増えています。

 

その際に良く伺う内容としては、

 

• httpsの通信の中身が記録できるのですか？
  
• PacketBlackHoleは、どんな風に検索したり閲覧できるのですか？

 

と言うもの。

 

これまでPacketBlackHoleをご活用いただいているお客様から製品のことを紹介されて聞いていただいたり、或は、弊社のパートナー様からの提案の資料を見た、各地の展示会で見たなど、ご連絡をいただく背景は色々ですが、みなさん非常に関心が高いです。

 

そのため、最近は、PacketBlackHole製品の貸出しテスト設置の回数が増えています。

 

PacketBlackHole製品は、弊社から機材を無償でお貸出ししています。
１回のお貸出しでは、お客様先でのテスト設置期間を１０日程度でお願いしていますが、その間に、あれこれと操作をしていただけます。

 

本当であれば、もっと長い期間をお試しいただきたいのですが、無償でお貸出し出来る機材も多く無い中で、テスト利用を希望される数が多いために１０日程度でお願いしています。

 

設置作業については、日時や場所によって作業の実費費用をいただくこともありますが、事前にテストを実施するための環境や目的、内容などを電話やメールでご相談させていただけますと、現場での作業時間は、操作説明の時間まで入れて半日程度です。

 

さて、先日お貸出しの設置設定作業でお伺いしたお客様先で、設置後の２時間程度が経過して、実際に取得した通信データを元に、お客様担当者様向けにPacketBlackHoleの操作説明を行った際の話です。

 

担当者様から「すげーな。PacketBlackHole。事前に想像はしてたけど、いやこれはすごい。」と。

 

このセリフは、弊社の方からすると、PacketBlackHoleの導入目的や製品が実現する機能のことを、ある程度前提として想像してくださっている場合に良く聞くセリフです。

 

• 流れるメールの送受信内容が、画面に再現される。添付ファイルもそのまま実体が記録される。
  
• どんなWebサイトを見ていたか記録され、その見ていたサイトの形そのままで再現が出来る。

 

操作の説明をして一連のご案内が終わったところで、「見えすぎて怖いな。これ。ヤバいヤバい。」と言われます。

 

確かに、PacketBlackHoleは設置する場所と取得通信データの内容や解析の対象によっては、”見えすぎ”と言えるかもしれません。

 

PacketBlackHoleはWebブラウザを使って解析結果の閲覧操作をするのですが、このような感想を持たれたお客様には、「ログイン時のアカウントを複数作って、閲覧情報へのアクセス制限を行いませんか？」とご案内しています。

 

• PacketBlackHoleをネットワークに接続するために、ネットワーク環境の設定情報などシステム運用上の設定操作画面にアクセスできる権限。
  
• PacketBlackHoleで取得したデータの中身を閲覧するために、閲覧・検索画面にアクセスできる権限。
• PacketBlackHoleの保守操作を行うための操作権限。

 

など、分けることが出来ます。

 

仮に、システム管理者・運用担当者が、PacketBlackHoleが取得したメールを全て見てしまうことは問題。など、実際の運用で心配されることがありますが、そういう時に、アクセス権限を付与したログインアカウントを作ることで適切な運用が出来るようになります。

 

“見えすぎて怖いな。こりゃ想像以上だな”は、我々にとっては褒め言葉。

 

特に、httpsのWeb暗号化通信で、これまで単なる　アクセスログ　しか残らなかった通信記録が、その中身まで記録できるようになった点は、非常に高い評価を得ています。

 

今のWebサイトのサービスは、多様化が進み、多くの通信がSSL暗号化されてきています。そして、これはこの先、さらに増えていく事は間違いありません。
企業や団体のWeb通信については、いままで以上に https の通信に対して、どう対応するか検討する必要があります。

 

PacketBlackHoleは、Counter SSL Proxy2.0との組合せで、この課題を解決できます。
既に、導入されているお客様では、この点も、PacketBlackHole製品に対してご評価をいただいているところ。

 

これから先のWebアクセスに対する、証跡管理と監査対応は、PacketBlackHoleが最適です。

 

**** ご紹介製品：

PacketBlackHole
Counter SSL Proxy2.0

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.99)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ　掲載記事の無断転載を禁じます。