Ciscoセキュリティを理解する!第3回 ほとんどのマルウェアはWebとメールからやってくる!Ciscoなら専用機で徹底的に保護!

ビジネス推進本部 応用技術部

セキュリティチーム

大畑 光介

 

本コラムでは全4回に渡り、Ciscoが提唱するセキュリティモデルと、未知の攻撃に効果的に対処するための製品・ソリューションをご紹介いたします。

 

連載インデックス

Ciscoセキュリティを理解する!第1回:Cisco新セキュリティモデルと製品ポートフォリオ

Ciscoセキュリティを理解する!第2回:脅威の可視化、エンドポイントとネットワークで脅威を徹底的に追う!

 

Webアクセス時のマルウェア感染や標的型攻撃をはじめとするメール経由でのマルウェア感染が増加しています。Ciscoなら深刻なWeb/Emailの脅威に対して、専用機で徹底的に保護することができます。

第3回となる今回は、CiscoのWEB/Emailセキュリティ製品による脅威対策についてご紹介いたします。

 

Webセキュリティアプライアンス

Ciscoは、Web経由でのマルウェア侵入を防止するための製品としてWebセキュリティアプライアンス(WSA)を提供しています。Cisco WSAでは、高度な攻撃を防御するために、攻撃前(BEFORE)、攻撃中(DURING)、攻撃後(AFTER)にわたり、多段的な防御システムを提供します。

3段階

 

 

攻撃前対策にはWebレピュテーションフィルタが用いられます。Webレピュテーションフィルタは、世界中に導入されているCisco製品に搭載された160万ものセンサー(Cisco SensorBase)から提供されるスコアをもとにして、Webアクセスの制御を実施します。Webレピュテーションでは日々、160億以上のWebリクエストを解析しており、8億以上のWebリクエストが日々、ブロックされています。

WebレピュテーションフィルタはリクエストのチェックだけではなくIframeなどで埋め込まれた各オブジェクトのスコアも解析します。

Webレピュエーション
 
Webレピュテーションフィルタにより、シグネチャ解析を行う前のコネクションレベルで悪意のあるサイトへの接続を防ぐことができます。

攻撃中対策には、複数のマルウェア対策エンジンを組み合わした、マルチレイヤ防御が行われます。WSAでは異なる特性の複数エンジンを組み合わせることにより、マルウェアの検知率を高めています。WSA1台で最大3種類のマルウェア対策エンジンを搭載し多重スキャンすることができます。マルチベンダのアンチマルウェアエンジンを組み合わせることでウイルス、ワーム、トロイの木馬、スパイウェア、アドウェア等多様なマルウェアの脅威が排除されます。

WSA
 
攻撃後対策には、ファイルレトロスペクション(遡及機能)が行われます。ファイルレトロスペククションはWSAに実装されている高度なマルウェア対策(AMP)の一部の機能となります。AMPはファイルレピュテーション、ファイルサンドボックス、レトロスペクティブファイル分析を組み合わせて脅威を防止します。
 

    • ファイルレピュテーション: ファイルのフィンガープリントをWSAを通過する際に取得し、AMP のクラウドベースのインテリジェンスネットワークに送信してレピュテーションを判定します。これらの結果から、悪意のあるファイルを自動的にブロックします。

 

  • ファイルサンドボックス: WSAを通過する未知のファイルを分析します。サンドボックス環境で、AMPはファイルの動作について詳細情報を収集し、このデータを人間とマシンによる詳細分析と組み合わせて、ファイルの脅威レベルを判定します。

 
AMP はファイルレピュテーションとファイルサンドボックスを使用して、未知のマルウェアを特定し、ブロックします。ファイルレトロスペクションは特定の時点で動作するのではなく、WSAを通過したファイルを連続的に分析します。AMPのクラウドインテリジェンスネットワークからのリアルタイムの更新情報を使用し、悪意のあるファイルが脅威として識別されると、AMP は管理者に警告し、ネットワーク上のどのユーザがいつ感染したのか確認できるようにします。その結果、攻撃が広まる前に、すばやく特定して攻撃の範囲を把握することができます。

レトロスペクティブ
 
WSAでは一連の攻撃に対する防御として、攻撃前、攻撃中、攻撃後にわたって防御を確保します。Web レピュテーションにより、脅威がネットワークに侵入する前に阻止し、複数のマルウェア対策エンジンおよび、AMPのファイルレピュテーションとファイルサンボックスは攻撃中の脅威に対応します。レトロスペクションはセキュリティ対策をすり抜けてくる攻撃後の防御を実現しています。

 

Emailセキュリティアプライアンス

Ciscoは、Emailベースの攻撃を防止するための製品としてEmailセキュリティアプライアンス(ESA)を提供しています。ESAは、メールに関するあらゆるセキュリティソリューションを1台で実現します。

ESA
 
スパム対策

    ●IPレピュテーションフィルタ

インターネット上にあるメールサーバの挙動を常時監視する世界最大規模の監視ネットワークであるSenderBaseが分析したメール送信元IPアドレスの評価は200段階にスコア付けされ(-10.0から+10.0)ユーザ設置のESAに提供されます。レピュテーションフィルタは、SenderBaseが提供するスコア情報をスパムメールの検知に利用し、排除もしくは受信制御を行う機能です。レピュテーションフィルタはスパムメールをコネクションレベルで排除するため、ネットワークの帯域、システムリソースの浪費を避けるとともに、メッセージングシステム全体のセキュリティ レベルを向上させることが可能となります。ESAの多くは、80%を超えるスパムメールをレピュテーションフィルタによって検知しており、その効果を証明しています。
 

    ●アンチスパム

アンチスパムにはCiscoが独自に開発したCASE(Context Adaptive Scanning Engine)を利用したフィルタリングが実施されます。ヒューリスティック分析、シグニチャ、 画像解析、本文中のURL評価など、様々なテクノロジーを駆使して、スパムメールを業界最高水準の精度で検知します。

Comp

 

出典: :OpusOne COMPARING INDUSTRY-LEADING ANTI-SPAM SERVICES 2015

 

アンチスパムが利用するルールセットは、すべてCisco Talosチームから提供されます。これにより、 チューニングや学習作業といった管理者負担をかけずに、最新のスパムメールへの迅速な対応を実現しています。またスパムとは判定できないが大量に送付されてくる、広告メールを検知し、必要に応じた処理(隔離、削除、タグ付)も可能です。

 

CSI
 
マルウェア対策

    ●アンチマルウェア

ESAは、ソフォス社とマカフィー社のアンチウイルスエンジンを搭載しています。それぞれどちらか1つだけを選択して利用する、あるいはセキュリティ強化のために2つ同時に利用することができます。

アンチ
 

    ●アウトブレイクフィルタ (添付ファイル対策)

アウトブレイクフィルタは新種マルウェアの発生後、アンチウイルスベンダーから定義ファイルが提供されるまでの期間に、マルウェアが拡散することを防止するソリューションです。インターネット上を流通するメールを常時監視するCisco CSI (Cisco Corrective Security Intelligence)が、類似したファイルが添付された電子メールの急増など、新種マルウェアの発生を早期に認識し、該当するメールを識別するルールをESAに提供します。該当するメールはESA内部に隔離され、アンチウイルスベンダー各社から定義ファイルがリリースされたことを確認した後に開放されます。

ESAアウトブレイク
 

    ●アウトブレイクフィルタ (URLリンク対策)

スパムメールに記述されたURL経由のドライブバイ攻撃に対応するため、アウトブレイクフィルタではURLのカテゴリ情報に基づきURLを書き換える事で、強力なWebセキュリティ機能を持つCisco CWS(クラウドWebセキュリティ)経由で安全なリンク接続を行うことができます。CWSにより、不正なサイトへ接続しようとするコネクションがブロックされるため、マルウェアの感染を防止することができます。

CWS経由
 

    ●アドバンスドマルウェアプロテクション (AMP)

ESAにもWSAと同様にAMPが実装されています。ファイルレピュテーションによるマルウェア検知、サンドボックスによる挙動解析、レトロスペクションによる追跡調査により攻撃前、攻撃中、および攻撃後の各フェーズにまたがって継続的な防御が実現されます。

 あどばんすど

 
高度な標的型攻撃では、個人情報やソーシャルエンジニアリングの手法を利用してユーザを欺き、マルウェアが仕込まれた悪意のあるサイトに誘導します。ESAではこのような高度な脅威に対して、最新のテクノロジーを駆使し、包括的なソリューションで企業の電子メールシステムを保護します。

 

クラウド対応コンテンツセキュリティ

クラウドWebセキュリティ (CWS)

Ciscoは、クラウド型のWebプロキシ製品として、クラウドWebセキュリティ(CWS)を提供しています。クラウドサービスであるため、すばやくシンプルに導入でき、メンテナンスやアップグレードも不要です。CWSは、Webの使用状況を制御し、シグニチャ、レピュテーション、およびコンテンツ分析に基づいて不審なサイトをブロックすることが可能で、WSAとほぼ同様な機能が実装されています。CWSはクラウドサービスであるため、非常に柔軟性に優れています。既存のインフラストラクチャを使用しながら複数の接続オプションを用いてサービスを導入し、その規模を拡大することも容易にできます。

 

CWSのトラフィックリダイレクションの接続方法 
CWS は、シスコ適応型セキュリティアプライアンス(ASA および ASAv)、第2世代シスコ サービス統合型ルータ(ISR)、および Cisco Webセキュリティアプライアンス(WSA および WSAv)といったCiscoアプライアンス上のサービスとして実行されます。これらはトラフィックCisco CWS にリダイレクトすることでWeb セキュリティ機能を実現します。
 
次世代ファイアウォール(Cisco ASA/ASAv):コンテンツスキャニングを Cisco CWS を通じてシスコのクラウドへオフロードすることで、Cisco ASA への投資を有効活用します。会社、グループまたは個々のユーザにポリシーを適用します。

 

シスコ Web セキュリティアプライアンス(WSA/WSAv):Cisco CWSとCisco WSAを統合してID情報をクラウドに送信できるようにすることが可能です。

 

Cisco ISR G2インターネットトラフィックをブランチオフィスからそのままクラウドへとインテリジェントにリダイレクトしてセキュリティポリシーと制御ポリシーを適用することで、帯域幅、コスト、およびリソースを節約します。

 

Cisco AnyConnect セキュアモビリティクライアント:企業ネットワークの外部にいるエンドユーザからのWeb トラフィックを認証し、リダイレクトします。CWS は、ユーザがオフィスや VPN の外部にいる場合にもキャッシュされたユーザクレデンシャルとディレクトリ情報を使用するので、まったく同じWeb 使用ポリシーが適用されます。

 

スタンドアロン導入:追加ハードウェアを必要としないシンプルな Web セキュリティ ソリューションを提供します。ブラウザの既存の設定とプロキシ自動設定(PAC)ファイルまたは Webプロキシ自動検出(WPAD)ファイルを使用して Cisco CWSサービスに接続します。

CWS
 
CWSのどの導入オプションを採用する場合でも、エンドユーザの識別性を高めるディレクトリ認証方式を利用でき、管理者はユーザレベルまたはグループレベルで正確なフィルタコントロールを適用し、詳細なログレポートを実行できます。
 

クラウドEmailセキュリティ (CES)

    • Ciscoは、クラウド型のメールセキュリティ製品として、クラウドEmailセキュリティ(CES)を提供しています。Ciscoは世界中に複数のデータセンターを所有しており、クラウド機能には以下の特徴があります。

 

    • クラウドの可用性の保証:99.999 % のアップタイムが保証され、複数のデータセンターを通じてセキュリティが常に確保されます

 

    • クラウドの容量の保証:スパムの量が増加してもしなくても、ユーザは保護され、パフォーマンスが維持されます。

 

    • 専用クラウドインフラストラクチャ:各クラウドユーザは、専用のEmailセキュリティインスタンスを使用でき、これは複数のCiscoデータセンターでホストされます。

 

  • CESは、すべてのインバウンド/アウトバウンドEmailトラフィックを監視してフィルタリングができ、ESAと同様の機能が実装されています。

 

Office365との連携 
Office365を導入したり、検討したりしている企業が増加しています。Office365とCESを連携させることで、外部脅威に対する多層防御を強化できます。CESのアウトブレイクフィルタ、AMPを利用することで、Office 365に搭載されているフィルタリングサービスであるExchange Online Protection (EOP)では対応できないゼロデイ攻撃への対策が可能となります。

O365
 
Office365をはじめとするクラウドメールサービスが採用されるようになるにつれ、高度な保護の必要性が高まっていますが、これは一般消費者向けの画一的なセキュリティでは実現できません。CESによる既知および新規のさまざまな脅威を排除する脅威保護機能を組み合わせることで、クラウドメールサービスの安全性を保つことができます。

 

まとめ

今回はCiscoのコンテンツセキュリティの特徴的な機能とその利点について紹介しました。
次回はNetFlowを用いた脅威検出・隔離ソリュ―ションであるNetwork as a Sensor/Network as a Enforcerを取り上げその仕組みやメリットについてご紹介いたします。

 

執筆者プロフィール

大畑 光介

ネットワンシステムズ株式会社 ビジネス推進本部 応用技術部 セキュリティチーム所属
2014 年 ネットワンシステムズに入社。 主にCisco Content Security製品の評価・検証・技術サポートを担当。

・第3回 シスコテクノロジー論文コンテスト 最優秀賞。

 

関連記事

脅威中心型セキュリティモデルで実現する次世代サイバーセキュリティ(第3回 シスコテクノロジー論文コンテスト 最優秀賞受賞論文)http://www.cisco.com/web/JP/partners/ronbun/3rd/index.html#~2

イベント/レポート

pagetop