• TOP
  • Tips
  • ★マルウェア対策だけでは防げない! 〜 Deep Security<初級編②> 〜

★マルウェア対策だけでは防げない! 〜 Deep Security<初級編②> 〜

iwakirih

マルウェア対策は、既知の脅威への対策です。

こんにちは。 セキュリティプロジェクトの岩切です。今回は2回目です。

前回、「マルウェア対策だけではサーバーは守れない」というお話をしましたが、分かりやすく言うとマルウェア対策というのは、「既知の脅威」への対策です。

本当に怖いのは「未知の脅威」

未知の脅威・・・つまり新種のマルウェアには対応できない可能性があります。 新種のマルウェアの確認には時間がかかるので、確認された頃にはもう感染していて大きな被害が出ているかもしれません。

サーバーセキュリティは、健康管理と同じ。

サーバーを人間に例えると、セキュリティの維持は健康を維持すること、つまり健康管理に似ています。 健康管理の基本は日々の体調の変化を観測することです。 そして病気の予兆を見つけたら、病院に行ったり薬を飲んだりして早めに対処します。 それと同じように、サーバーもセキュリティの観点からしっかり観測(監視と検知)し、おかしいと気づいたら早めに対処(防御もしくは駆除)することが必要です。

Deep Securityは6つのルールで検知/防御します。

6つのルールというのは、前回も触れましたが以下の機能のことです。

  • Webレピュテーション
  • 侵入防御
  • 不正プログラム対策
  • 変更監視
  • セキュリティログ監視
  • ファイアウォール

そしてこれら6つのルールは、大きく3つに分類されます。

  • 検知だけを行うルール
  • 防御(駆除)を行うルール
  • 検知か防御かを選べるルール

それでは各ルールを見ていきましょう。

Webレピュテーション

「レピュテーション」は評判という意味です。評判の悪い(悪意に満ちたWebサイト)へのアクセスを遮断します。 フィッシングサイトへの誘導を遮断する機能と考えてください。 サイトが改ざんされて、悪意に満ちたサイトへのリンクが貼ってあったり、リダイレクトが仕組まれていたとします。 もし改ざんされたタイミングでこの異変に気づかなくても、リンク先にアクセスしようとしたタイミングで防いでくれます。

このWebレピュテーションは「防御を行うルール」です。 つまりこれを有効にすると、トレンドマイクロが認定した悪意のあるサイトへのアクセスができなくなります(※)。 ※アクセス制御のレベルを調整することはできます。

侵入防御

「不正プログラム対策」と並んで、Deep Securityで最も利用されているルールだと思います。 大きく分類すると、以下の2つの機能があります。

  • 仮想パッチ
  • パラメータ改ざんチェック

仮想パッチ

OS/ミドルウェア/ソフトウェアに脆弱性が発見された場合、本来であれば直ちに対策用のパッチを当てなければなりません。 但し、パッチは脆弱性のあるOS/ミドルウェア/ソフトウェアに直接当てられるため、仕様変更が発生し、これらの環境上で動いていたアプリケーションが今までどおりに動作しなくなる可能性があります。 このため、脆弱性が発見されてもすぐにパッチを当てられません。

そこで、この仮想パッチを使います。 脆弱性が発見されると、対策用の仮想パッチがリリースされ、脆弱性をフィルタリングしてくれます。 OS/ミドルウェア/ソフトウェアのバージョンはそのままに、脆弱性に蓋をしてくれるのです。 また、対策用パッチが存在しない脆弱性に対しても仮想パッチがリリースされることがありますので、ゼロディ攻撃にも有効です。

但し、これは正式パッチ適用後の「アプリケーションの動作チェック」が完了するまでの一時的な処置ですので、最終的には正式なパッチを必ず当てるようにしてください。

パラメータ改ざんチェック

かんたんに言うと、GET/POSTパラメータを改ざんする攻撃です。 GETなら、URLに記載されたパラメータをOSコマンドやSQLコマンドやJavaScriptに書き換え、データベースやOSファイルにアクセスして情報を引き出します。 クロスサイトスクリプティング、SQLインジェクションが有名ですね。 パラメータ改ざんチェックは、「Web Application Firewall(以下、WAF)」というセキュリティ製品が得意とする分野です。 Deep SecurityはWAFほど強力ではありませんが、この機能を備えています。

これら侵入防御は「検知か防御かを選べるルール」です。 侵入防御ルールは、アプリケーションのつくりによってはサービスを止めてしまう危険性があるので、最初は検知モードで様子を見ます。 そして、誤検知を発見した場合(正常なアクセスを攻撃であると見誤った場合)は、アプリケーションを修正するか、侵入防御ルールのレベルを調整(しきい値を下げるなど)して、誤検知をなくします。 誤検知がなくなったら防御モードに切り替えます。

以上が、「Webレピュテーション」と「侵入防御」の説明です。 次回は、残り4つのルールについて説明します。 つづく・・・

Deep Securityの設定・運用なら、くらまね!