統合セキュリティ対策 UTM入門
インターネットには危険がいっぱいです。無防備な状態で利用すると、 インターネットから様々な脅威が襲ってきて、コンピュータなどの 情報システムに予想もしなかった被害をもたらせます。 このため、インターネットに潜在する脅威を防御することが重要となります。 しかし、様々な脅威を防御するには、一つ一つの脅威に応じた対策を講じていかなければならないため、 システムが複雑化してきていることが現状です。 このため、1つの装置でファイアーウォール(FW)、アンチウイルス、WEBコンテンツ・フィルタリング(URLフィルタ)、IDS/IPS、等の様々な対策が可能な UTM(Unified Threat Management:統合脅威管理)アプライアンスが注目されています。 本資料では、UTMアプライアンスが出現した背景であるインターネット上の脅威から、 UTMの提供する具体的な機能までを解説します。
これまでの掲載
-
第1回目 1. インターネットには危険がいっぱい
2. 現出する脅威第2回目 3.危険への対策 第3回目 4. UTMとは
目次
- <第1回目>
- はじめに
- 1. インターネットには危険がいっぱい
- 2. 現出する脅威
-
- 2.1. 情報漏洩の脅威
- 2.2. ウイルスの脅威
- 2.3. 脆弱性を狙った脅威
- 2.4. 業務妨害を狙った脅威
- 2.5. 業務効率低下の脅威
<第2回目>- 3.危険への対策
-
- 3.1. 情報漏洩
- 3.2. ウイルス
- 3.3. 脆弱性を狙った攻撃
- 3.4. 業務妨害を狙った攻撃
- 3.5. WEBアクセス
<第3回目>- 4. UTM(Unified Threat Management:統合脅威管理)
-
- 4.1. なぜ、UTMは必要なのでしょうか?
- 4.2. ファイアーウォール(FW)からUTMへ
- 4.3. UTMが提供する機能
- 4.4. 富士通が提供するUTM
- 付録:UTM入門 用語解説
3.危険への対策
インターネットに潜む様々な脅威に対しては、一つ一つ対策を行う必要があります。
対策を怠れば、前章で説明した危険による被害を受けることになります。
被害をもたらす要因には、次の2つがあります。
- 脅威からの攻撃を受け、情報漏洩や業務妨害などの被害者になる場合
- 他人に対しての攻撃の踏み台にされ、知らない間に加害者にされる場合
これにより、受ける具体的な被害には以下のものがあります。
- 誹謗中傷を受けて企業・個人の信頼を消失。
- 企業イメージを失墜。
- 金銭的な損害。
- ビジネスなど社会活動へのダメージ。
このため、個々の脅威に対し、対策をとることが重要です。
対策には、間接的な対策と直接的な対策の2つが考えられます。
- 間接的な対策は、利用者や管理者による運用ルールの厳守やモラルの向上などによる 人為的な原因を減少させる対策と考えます。
- 直接的な対策は、ネットワークに潜在する悪意ある脅威に対して ソフトウェアやハードウェア装置などを利用し、一つ一つの脅威を防御する対策と考えます。
しかし、脅威への対策は、いずれか一つの対策をとればよいということではなく、組み合わせて行うことが必要です。
以降に前章で説明した具体的な危険についての原因と対策を説明します。
3.1情報漏洩
情報漏洩と言ってもその原因は様々です。
- 置忘れなどの不注意による紙資料、記憶媒体、携帯電話やモバイルPCなどの紛失
- 紙資料、記憶媒体、携帯電話、サーバやPCなどの盗難
- 不注意によるメール誤送信などの誤操作
- ネットワークに潜在する トロイの木馬、 スパイウェアや ウイルスなどによる被害
- ネットワークなどからの悪意のある 不正アクセスや不正侵入
- フィッシングなど悪意のあるサイトへの不用意なアクセス
- Winnyなどの P2Pアプリケーションによる情報の不正持ち出しや管理ミスによる漏洩
図7にWinny(P2Pアプリケーション)による情報漏洩の例を示します。
図7. Winny(P2Pアプリケーション)による情報漏洩
前述の原因の中でも盗難・紛失・誤操作などの人為的な問題が、約8割を占めると言われています。
情報漏洩の防御としては、利用者が組織の定めたルールに従って、適切に情報を取り扱う必要があり、 人為的な対策が重要です。
一般的に、次のようなルールが企業内では設けられています。
- 情報資産を許可なく、持ち出さない。
- 情報資産を管理が行き届かない状態で放置しない。
- 情報資産をセキュリティ対策(シュレッダーやデータ消去など)なしで破棄しない。
- 個人のパソコン、電子媒体やプログラム等のデータを許可なく、持ち込まない。
- 業務パソコンに業務外のプログラムをインストールしたり、利用したりしない。
- 個人に割り当てられたID、パスワード等の権限を許可なく、貸与または譲渡しない。
- 業務上知り得た情報を許可なく、公言しない。
- 情報漏洩を起こしたら自分で判断せずにまず報告する。
しかし、上記の対策をどんなに徹底させても、不注意などの人為的なミスを100%防ぐことはできないため、 情報の漏洩や紛失が相次いでいることが現状です。 そこで、人為的なミスに加え、不正アクセス、フィッシング、P2Pアプリケーションやウイルスなどの ネットワークに潜在する脅威をカバーするために、インターネットと イントラネットを結ぶ場所での P2Pアプリケーション対策などのソフトウェアやハードウェア装置による情報漏洩防止対策が重要となります。
図8にP2Pアプリケーション遮断機能を利用した情報漏洩の対策例を示します。
図8. P2Pアプリケーション遮断機能による情報漏洩の防御
3.2 ウイルス
ウイルスといっても様々なものがあります。もともとの定義は、コンピュータに感染し、 悪さをするプログラムを指していました。しかし、最近はメールやWEBサイトを参照しただけでも コンピュータに感染したり、踏み台にして別のコンピュータに攻撃をしかけたり、利用者の意図とは無関係に多くの 不利益をもたらすウイルスが主となってきています。
ウイルスの大まかな分類として、感染方法では以下のものが考えられます。
- メール型ウイルス
感染方法としてメールの添付ファイルやHTMLメールを利用するもの。 - WEB型ウイルス
感染方法としてWEBサイトからのダウンロードファイルを利用するもの。
また、ウイルスの振る舞いからは以下のものが考えられます。
- ワーム
コンピュータへ侵入後、自己増殖を繰り返しながら破壊活動を行うもの。 - トロイの木馬
正体を偽ってコンピュータへ侵入し、データ消去やファイルの外部流出、 他のコンピュータへの攻撃などの破壊活動を行うもの。 - ロジックボム
コンピュータに侵入後、何もしない状態で待機し、指定時刻の到来など、 システム上における条件が満たされると自動的に破壊活動などの動作を開始するもの。 - ボット
不正ソフトウェアの既知の行動パターンの機能を高度に統合し、 コンピュータに侵入後特定の第三者がそのコンピュータを自由に操れるようにするもの。
図9にメール型ウイルスによるウイルス感染の例を示します。
図9. メール型ウイルスの脅威
例えば、 標的型攻撃では、標的相手にあわせたウイルスによる攻撃などが行われるため、 防御し難いということが言われています。しかし、何らかの対策を行わなければ、 ウイルスの感染を許すばかりです。ウイルスに対する防御として、利用者が自分のパソコンを守るためには、 以下の対策を行う必要があります。
- ワクチンソフトは、最新版を活用すること。
- ウイルス定義ファイルは、最新のものに保ち続けていくこと。
- メールの添付ファイルは、まずウイルス検査を行うこと。
- ダウンロードしたファイルは、まずウイルス検査を行うこと。
- アプリケーションは、アプリケーションが装備するセキュリティ機能を活用すること。
- セキュリティパッチをあてること。
- アプリケーションの動作がおかしいなど、ウイルス感染の兆候を見逃さないこと。
- 万一のために、データは必ずバックアップを行うこと。
しかし、上記対策をどんなに徹底させても、ウイルス定義ファイルの適用遅れやウイルスの 検査忘れなど人為的なミスを100%防ぐことはできないため、ウイルス感染による被害が後を絶たないことが現状です。 そこで、個人のパソコンでの対策に加え、インターネットとイントラネットを結ぶ場所での ゲートウェイ型のウイルス対策用のソフトウェアやハードウェア装置による防御対策も重要となります。
図10に アンチウイルス機能を利用したメール型ウイルスの対策例を示します。
図10. メール型ウイルスの防御
3.3 脆弱性を狙った攻撃
脆弱性とは、コンピュータやネットワークなどの情報システムで、第三者がシステムの乗っ取りや 機密情報の漏洩など保安上の脅威となる行為に利用できる可能性があるシステム上の欠陥や 仕様上の問題点を指しています。また、OSやアプリケーションなどの脆弱性は、 セキュリティホールとも言われます。
脆弱性には、以下のものが考えられます。
- OSやアプリケーション等のソフトウェアの バグや仕様上の欠陥。
- ハードウェアの欠陥
- 機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点
特に、最近の傾向では、WEBアプリケーションの脆弱性を突いた攻撃が急増していますので、 ここでは、WEBアプリケーションの脆弱性を狙った攻撃の防御について記述します。
WEBアプリケーションの脆弱性を狙った代表的な攻撃には、以下のものがあります。
- クロスサイト・スクリプティング
- SQLインジェンクション
- ファイルの誤った公開
- DNS情報の設定不備
- パス名パラメーターの未チェック
- HTTPレスポンス分割
- メール不正中継
- セッション管理の不備
- HTTPSの不適切な利用
- ディレクトリ・トラバーサル
図11にWEBアプリケーションの脆弱性を狙った攻撃の例を示します。
図11. WEBアプリケーションの脆弱性を狙った攻撃
WEBアプリケーションの脆弱性に対する防御としては、以下の対策があります。
- 開発者は、必要な安全対策を実施し、脆弱性を作り込まないように開発する。
- 脆弱性が発見されたソフトウェアに対して修正プログラムを適用する。
- 開発者は、WEBサイトの公開時にはセキュリティ実装の対応状況を確認する。
- 運用者は、WEBサイトへのアクセスを監視する。
- 運用者は、定期的に セキュリティ監査を行う。
- 問題発生時は、原因箇所を修正する。すぐに修正ができない場合は、公開の一時停止を検討する。
- 利用者は、不審な画像やWEBサイトを不用意に開かない。
- ウイルス定義ファイルや シグネチャーパターンファイルは、最新のものに保ち続ける。
さらに、上記対策に加え、インターネットとイントラネットを結ぶ場所での不正侵入を阻止する IPS(Intrusion Prevention System)機能を持ったソフトウェアやハードウェア装置による 防御対策も重要となります。
図12に シグネチャー型IPSを利用したWEBアプリケーションの脆弱性を狙った攻撃の対策例を示します。
図12. WEBアプリケーションの脆弱性を狙った攻撃の防御
3.4 業務妨害を狙った攻撃
業務妨害を狙った脅威として、ここでは、ネットワーク経由のサービス妨害 (Denial of Service:DoS)攻撃の脅威についての対策を説明します。
サービス妨害攻撃とは、コンピュータやネットワークが提供している 本来のサービスを提供できない状態に陥れるものです。 例えば、WEBサーバで提供されている様々なサービスを標的として妨害する攻撃が、 一般に入手可能なツールを利用して行われています。
このような攻撃には、以下の種類があります。
- ネットワークに接続されたコンピュータに過剰な負荷をかけ、 サービスを提供できなくさせる攻撃( SYNフラッド攻撃、 ICMPフラッド攻撃等)
- ネットワークの帯域を渋滞させる攻撃( Smurf攻撃、 Land攻撃等)
- サーバアプリケーションの脆弱性を攻めて、サービスに例外処理をさせて サービスを提供できなくさせる攻撃
さらに、図13に示すような大量の スパムメールの送信により、 業務に必要なメールの受信を妨げるような業務妨害を狙った攻撃もあります。
図13. スパムメールによる業務妨害を狙った攻撃
サービス妨害攻撃に対する防御としては、インターネットとイントラネットを結ぶ場所での 不正侵入を阻止する IPS(Intrusion Prevention System)機能を持ったソフトウェアや ハードウェア装置による防御対策があります。
スパムメールに対する防御としては、スパムメールを遮断する仕組みを備えた インターネットプロバイダーのサービス、スパム対策用ソフトウェアやハードウェア装置を 導入することによる防御対策があります。
しかし、スパムメールの完全な対策は難しく、常に誤判定の問題が付きまといます。
誤判定の中でも、正常なメールをスパムメールとして判定した場合は、重要な情報が 消失してしまう危険性があります。 このため、受信者は好ましいユーザの ホワイトリストや レピュテーションを管理するといった 対策も重要となります。
図14に アンチスパム機能を利用したスパムメールによる業務妨害の対策例を示します。
図14. スパムメールの防御
3.5 WEBアクセス
ここでは、業務に関係ないWEBサイトへのアクセスによる脅威とその対策について説明します。
WEBサイトへアクセスすることにより、以下の問題を引き起こす可能性があります。
- 情報漏洩
業務外の掲示板への情報書き込みやフィッシングサイトなど悪意のあるサイトへの アクセスを不用意に行ったりすることにより発生します。 - 業務効率の低下
就業時間中に業務とは無関係なWEBサイトを閲覧することで、 業務がおろそかになることで発生します。 - ネットワークトラフィックの増加による帯域の圧迫
就業時間中に業務とは無関係の画像ファイル等の大量データをダウンロードや アップロードすることにより発生します。
WEBアクセスにより引き起こされる問題は、組織や個人に様々な被害や損害をもたらします。
図15に就業時間中のWEBサイトへのアクセス例を示します。
図15. 就業時間中のWEBサイトへのアクセス
WEBアクセスの脅威への防御として、利用者が行うべき対策には以下のものがあります。
- 就業中に業務とは無関係なWEBサイトをアクセスしない。
- 業務に関係ない掲示板に書き込みを行わない。
- 業務に関係ないWEBサイトからダウンロードを行わない。
- 業務に関係ないWEBサイトへのアップロードを行わない。
しかし、上記対策を行ったとしても利用者の不注意や不用意な操作などにより、100%の対策は行えません。
そこで、インターネットとイントラネットを結ぶ場所での業務外WEBサイトへのアクセスを フィルタリングするソフトウェアやハードウェア装置による防御対策も重要となります。
図16に WEBコンテンツ・フィルタリング(URLフィルタ)機能を利用した業務外WEBサイトへのアクセスを遮断する対策例を示します。
図16. 業務外WEBサイトへのアクセス遮断
目次
- <第1回目>
- はじめに
- 1. インターネットには危険がいっぱい
- 2. 現出する脅威
-
- 2.1. 情報漏洩の脅威
- 2.2. ウイルスの脅威
- 2.3. 脆弱性を狙った脅威
- 2.4. 業務妨害を狙った脅威
- 2.5. 業務効率低下の脅威
<第2回目>- 3.危険への対策
-
- 3.1. 情報漏洩
- 3.2. ウイルス
- 3.3. 脆弱性を狙った攻撃
- 3.4. 業務妨害を狙った攻撃
- 3.5. WEBアクセス
- 付録:UTM入門 用語解説
<第3回目>- 4. UTM(Unified Threat Management:統合脅威管理)
-
- 4.1. なぜ、UTMは必要なのでしょうか?
- 4.2. ファイアーウォール(FW)からUTMへ
- 4.3. UTMが提供する機能
- 4.4. 富士通が提供するUTM
富士通のUTM装置(IPCOM)のラインナップ
富士通のUTM装置 IPCOMシリーズは、システムに合わせて搭載機能を追加し、段階的な統合を可能にすることにより、常にシステムに最適なネットワーク環境を実現します。