「i-FILTER」なら未知の脅威に対応できる

「i-FILTER」が 多層防御の“最後の砦”となって守ってくれるくれています

野村證券のITインフラに約10年ものあいだ関わってきたITインフラサービス部 部長 亀倉龍氏は、「サイバーセキュリティに対する投資はここ数年、倍々ゲームのように増加しています」といいます。

加えて、同部 オフィス基盤課 ヴァイス・プレジデント 井澗吉孝氏は、「世の中全体で、サイバーセキュリティの重要性は年々増しています。多層防御の考え方のもと、入口対策として複数のマルウェア対策製品を導入し、毎月60万通もの不審メールを遮断しています。それでもすり抜けてくる不審メールは少なからず存在します」と危機感を募らせます。

サイバー攻撃に利用されるメールアドレスやURLは攻撃用に新しく作られたばかりであるケースが多く、セキュリティ製品のブラックリストに登録されていない「未知の脅威」であるため、多層防御をすり抜けてしまうケースがあります。

そこで野村證券で活用されているのが、Webセキュリティ製品として導入しているデジタルアーツの「i-FILTER」です。「『i-FILTER』Ver.10は、DB登録されているURLにしかアクセスできないという『ホワイト運用』によって未知の脅威に対しても有効となり、その点で評価しています」(井澗氏)

「i-FILTER」Ver.10は、網羅率の高いデータベース(DB)にカテゴライズされていない未知のURLへのアクセスを拒否する設定(ホワイト運用)ができます。ホワイト運用であれば、仮に多層防御をすり抜けた攻撃メールの添付ファイルやURLを誤ってクリックしてしまっても不審な通信を遮断でき、マルウェア感染による被害を避けることが可能となります。「導入時は業務上適切でないサイトへのアクセスを制御することが目的でしたが、今では『i-FILTER』が”最後の砦”としてあるおかげでセキュリティ全体が守られているという安心感があります」(亀倉氏)

「i-FILTER」の対策イメージ

  • 安全なWebサイトのみにアクセスできる
  • 純国産で使いやすい
  • 運用負荷が削減できる

未知の脅威に対応できる
「ホワイト運用」とは?

ご利用者数は500万人を突破


マルウェア感染被害報告は0件

  • ※ 2020年9月末における「i-FILTER」Ver.10、「m-FILTER」Ver.5ユーザー数及び、マルウェア感染報告件数(自社調べ)

未知の脅威に対応できるホワイト運用

ホワイト運用とは?

近年情報セキュリティ分野において話題に出てくるようになったホワイト運用という言葉を耳にしたことはありますでしょうか?その言葉の通り「ホワイト=安心・安全」なセキュリティ対策のことを指しています。

より具体的に、ホワイト運用とは、ホワイトリスト方式のセキュリティ製品を用いて社内の情報セキュリティ対策を行うことを意味します。ホワイトリスト方式のセキュリティでは、予め安全性を検証したURLをデータベースに登録し、その登録されたURLにしかアクセスできない方法をとるため、未知の脅威に対しても有効となります。

Webフィルタリングの例で言いますと、Webサイトを経由してマルウェアをダウンロードさせる攻撃に対して、そのWebサイトのURLが例えば新規に取得されたドメインであっても、データベースに未登録であればアクセスできず、マルウェアのダウンロードを防ぐことができます。「グレーゾーン」にある悪性の疑いのあるURLなども「アクセスをブロック」するので、悪性の疑いのあるURLをブラックリストに登録するまでのタイムラグの心配もありません。つまり従来から広く利用されているブラックリスト方式での、

新しい脅威が発生
→新しい脅威をブラックリストに登録
→少し手法を変えるなどして新しい脅威が発生
→またブラックリストに登録
→また新しい脅威が発生......

という「いたちごっこ」に終止符を打つことが可能になります。つまり、ブラックリスト方式の「抜け穴」を恐れて多層防御を組むためのセキュリティ製品を必要以上に導入しなくてもよいのです。

ではなぜホワイト運用が、これまで主流にならなかったのでしょうか。
それは、「網羅性維持のための負担が大きいこと」に課題があったためです。
これまでホワイトリスト方式のセキュリティは、学校のパソコン教室の端末など、アクセス先がある程度限定されているケースには活用されてきました。
一方、一般の企業・団体での業務の運用に耐えるには、世の中に数多くあるURL・メールアドレス・アプリケーションを広く網羅したホワイトリストでなければならず、セキュリティメーカーにとっても、企業や団体内の情報システム管理者にとっても、その継続運用に多大な負担があり、簡単には実現できなかったのです。
しかし、昨今の技術の進歩により、業務での運用に耐えられる網羅性を備えた「ホワイトリストデータベース」をセキュリティメーカー側から提供することができるようになりました。これにより、情報システム管理者がホワイトリストをメンテナンスする必要がなくなり、業務に耐え得るホワイト運用を実現することが可能になりました。

ホワイトリスト方式のセキュリティ製品は存在します。
Webフィルタリングにおいては、「Surface Web」と呼ばれる業務で使われる検索可能な国内サイトのURLをメーカーが収集してデータベースとして提供しています。
業務で使うWebサイトが未登録のサイトであった際にも、メーカーでのWebサイトの確認・ホワイトリスト登録・データベース再配信までの流れが、業務に支障をきたさない範囲の時間で行われるようになっています。
メールの送受信においても、安全なメールアドレスのドメインの文字列を収集し、Webフィルタリングと同様にホワイト運用を可能にしています。
このように、ホワイト運用であれば、入ってきたものを後から除外するのではなく、「安全なWebのみにアクセスさせ」、「安全なメールのみを受信させる」ことによって、最初から業務環境にマルウェアなどの悪性情報を侵入させません。

この「見たいWebにアクセスでき、受信したすべてのメールを開くことができる」ホワイト運用は、未知の脅威にも対応できるものとして、今後セキュリティ業界においてもっとも注目されるキーワードのひとつとなるといわれています。

そもそもホワイト運用の定義とは?

デジタルアーツでは、ホワイトリスト方式のセキュリティを、情報システム部門における運用に負荷がかからないように提供することを、ホワイト運用と定義づけています。

デジタルアーツのホワイト運用であれば、
Webセキュリティの場合は、未知・危険なWebにはアクセスさせません。
メールセキュリティの場合は、未知・危険なメールは受信させません。
そして、情報システム部門でホワイトリストの登録をする必要がなく、情報システム部門への問合せや自社でのホワイトリスト登録の業務負荷を削減できます。

未知の脅威に対応でき、情報システム部門に運用の負荷がかからない、
これがデジタルアーツのホワイト運用です。

従来型セキュリティ(ブラックリスト方式)との違い

従来型セキュリティ(ブラックリスト方式)とは?
これまでのセキュリティ製品の多くは「ブラックリスト方式」をベースとしており、それらを複数組み合わせて「多層防御」することで情報セキュリティを実現させていました。言い換えると、これまでのセキュリティ技術では「ブラックリスト方式」での運用しかできなかったため、複数のセキュリティ製品を多層となるよう導入しなければならなかったといえます。

「ブラックリスト方式」は、「通すべきではないもの」を定義してデータベースに登録し、合致するものをブロックします。セキュリティ製品は長年、発生してしまった被害の調査結果を元に、攻撃者が用意したマルウェアなどの脅威の情報を収集してブラックリストに登録することで、今後同じような被害が起きないようにする、という考え方に基づいて開発されてきました。しかし、攻撃者はブラックリストの「抜け穴」を狙って攻撃を仕掛けてきます。「抜け穴」とは何でしょうか。それは、「グレーゾーンの判定」と「タイムラグ」です。
一般的なITシステムでは「危険(ブラック)」と「安全(ホワイト)」の間の「グレーゾーン」が大きく、危険と判定しきれない場合はその多くがブラックリストに登録されません。また、グレーゾーン判定の範囲もセキュリティ製品により異なるため、1つのセキュリティ製品だけでは悪性情報が危険と判定されずにブロックされない可能性があります。

また、新しい悪性情報が発生した際、誰かが被害に遭い、解析が完了してデータベースに登録されるまでの間、その悪性情報はブラックリストに登録されていないことになります。そのタイムラグの間にすばやくITシステムへ侵入されると、そのネットワークはたちまち脅威に晒されてしまいます。そうならないよう、従来型セキュリティは、これらの「抜け穴」を補完し、ネットワーク内の重要なシステムに到達される確率を下げるため、複数の「ブラックリスト方式のセキュリティ製品」を多層に取り入れ、いずれかのセキュリティ製品でブロックできるようにすることでリスクを分散する「多層防御」の形になったのです。

ホワイト運用という考え方が重視され始める以前は、さまざまなソリューションを幾重にも防御壁として設ける多層防御の考え方が当たり前でした。ただ、抜け穴がある限り100%サイバー攻撃を防ぐことはできません。100%未満をいくら掛け合わせても、100%にはならないからです。サイバー攻撃も日々進化しています。「多層防御で対策をしておけばセキュリティ対策として十分である」という考え方には限界がきています。
そうした時代の流れから、必然的にホワイト運用でのセキュリティ対策の重要性が増してきているのです。

ホワイト運用の歴史と実績

2017年9月19日、ホワイト運用を世界で初めて実現した「i-FILTER」Ver.10、「m-FILTER」Ver.5の提供が開始されました。しかし、安全なWebのみアクセスさせ、安全なメールのみ受信させるという今でこそ世の中に広まりつつある考え方ですが、当初はホワイト運用についてご理解いただける組織はごくわずかでした。
時は経ち、運用負荷が増えない安全なWebのみアクセスさせ、安全なメールのみ受信させる考えも徐々に浸透し、2020年9月末にはホワイト運用が可能なユーザー数は500万人を突破し、同年10月末までのホワイト運用でのマルウェア感染報告件数は0件です。

  1. ※ 2020年9月末における「i-FILTER」Ver.10、「m-FILTER」Ver.5ユーザー数及び翌10月末までのユーザーへのマルウェア被害報告件数(弊社調べ)に基づきます。

ホワイト運用導入の3つのメリット

先述したとおり、ホワイト運用は、ホワイトリスト方式のセキュリティを、情報システム部門に運用の負荷がかからないように提供します。ホワイト運用であれば、セキュリティの脅威に対してシンプルな考え方かつ構造でありながら、今までにない安全なセキュリティを提供することができます。ホワイト運用導入の大きなメリットとしては次の3つが挙げられます。

① インシデント発生リスクの軽減

企業にとって一番の脅威は自社のビジネスにとどまらず、取引先や顧客にまでマルウェア感染が広がり、膨大な被害が連鎖的に発生することです。未知の脅威であるコロナウィルスの事例は人間世界の話でしたが、インターネットの世界でも同様といわれています。被害は企業の利益だけにとどまらず信用やこの先のビジネスにも大きな損害をもたらします。企業はこのようなリスクをなるべく軽減できるように取り組まなければなりません。サイバー攻撃も手口の巧妙化や技術の高度化が進む中で、従来型セキュリティでは対処できなくなっています。「安全なWebのみにアクセス」「安全なメールのみ受信」のホワイト運用を導入すれば、マルウェア感染がない業務環境を作ることができるため、取引先や顧客にマルウェア感染を広げることもありません。マルウェア感染を起因とした情報漏洩といった企業が抱えるリスクを大幅に減少することが可能になります。

② システムの単純化による企業負担の軽減

従来型セキュリティでは、セキュリティシステムを構築する場合、一般的に多層防御となることが多く、必要となるソフトウェアが複数あるために構築されるシステムが複雑になることが避けられませんでした。一方、ホワイト運用は多層防御にせずとも、ホワイト運用を基軸に据えたシンプルなシステムで強固なセキュリティ環境を作ることができます。テレワーク需要の高まりによってクラウド需要も増加していますが、ホワイト運用も、クラウドサービス内で構築することができるため、企業規模に応じて柔軟かつ速やかに導入することが可能です。必要なセキュリティ対策の追加や削減などといった問題にもスピーディーに対応できるため、企業の負担軽減にもつながります。

③ 運用負荷削減による人材不足への対応

サイバーセキュリティはセキュリティの質だけではなく、それを支える人材の不足も世界的に深刻な課題となっています。サイバー攻撃そのものの手口の巧妙化や技術の高度化、数の増加などといった諸問題を処理するために必要となる能力が、セキュリティ担当者の能力を越えることは時間の問題です。従来型セキュリティを導入している多くの企業においては、人材の不足によるシステムの管理が難しくなってきているのが現状です。ホワイト運用であれば、情報システム部門への問合せや、自社でのホワイトリストへの登録をする必要もなくなり、同部門の業務負担が削減され、人材が不足していてもセキュリティ対策に対応することが可能です。

以上、ホワイト運用導入による大きなメリットとして、①インシデント発生リスクの軽減、②システムの単純化による企業負担の軽減、③運用負荷削減による人材不足への対応という3つをそれぞれご説明いたしました。

ここで、「ゼロトラスト」というセキュリティの考え方を紹介しまして、ホワイト運用のメリットをさらにご説明します。

ゼロトラストとホワイト運用

ゼロトラストとは、Forrester Research社が2010年に提唱した考え方で、「社内(ネットワーク内)は安全である」という前提のもとに、ネットワークの境界を守るやり方では社内を守り切れなくなった現状を踏まえ、「すべてのトラフィックを信頼しないことを前提とし、検査、ログ取得を行う」というもので、言い換えるとすべての通信を疑って検査、記録するという性悪説に基づくアプローチです。ゼロトラストのアプローチでは、ネットワークの境界は防御線としての意味をなさず、すべての通信アクセスを信頼しないという考え方に基づき、対策を講じます。
ただ、従来型セキュリティ環境において、すべてのトラフィックを検査し、ログ取得を行うとなると、検査対象もログ情報も膨大な量となり、運用負荷もかかりすぎるため、実際に運用ができる企業は限られているのが実情です。

一方、ホワイトリスト方式のセキュリティを、情報システム部門における運用に負荷がかからないように提供するデジタルアーツのホワイト運用では、そもそもWebやメールのアクセスを安全なもののみに限るため、ネットワーク内の通信をすべて検査することやログを取得することが容易となり、ゼロトラストのアプローチの導入・運用のハードルは高くありません。

エンドポイントにおけるセキュリティ対策とホワイト運用

ゼロトラストのアプローチを検討するうえで欠かせないのが、エンドポイント(PCなどの端末)におけるセキュリティです。

以前まで、エンドポイントは境界の内側にあるものだとされていましたが、境界がなくなったゼロトラストネットワークモデルにおいては、エンドポイントの挙動を可視化し、保護、管理することが重要となります。ゼロトラストの考え方に基づけば、ネットワークにつながっている以上、エンドポイントが安全であると言い切ることはできないため、更なる安全を確保するため、様々なゼロトラスト方式のセキュリティ機能が必要となります。

エンドポイントにおけるゼロトラストの実現において注目されているのが、脅威に晒された場合の、当該脅威の迅速な検知と端末隔離です。
特に、Webサイトの改ざんの検知の重要性は高まっています。国内の法人が所有するWebサイトのうち、少なくとも約0.03%(3,000件に1件の割合)が改ざんされた履歴を持つことが分かっています(弊社調べ)。Webサイトが改ざんされた法人の規模は大小様々であり、改ざんされたことがないWebサイトであっても脆弱な部分がある場合は次のターゲットになり得ます。

改ざんされたWebサイトは同サイトの管理者の意図しない挙動をする危険性が高く、アクセスするだけでマルウェアに感染してしまうなど非常に危険です。また、一度改ざんされたことのあるWebサイトは繰り返し狙われることがあり、何らかのセキュリティ対策を行った場合であっても管理者が気が付かないところで様々なサイバー攻撃に利用されている可能性があります。
このため、エンドポイントから「脅威情報サイト」「改ざんされたWebサイト」などのURLにアクセスしようとした時点でそのアクセスについて検知し、その瞬間から当該端末を隔離するとともに、管理者へ通知する機能が備わっているかどうかも、今後ゼロトラストのアプローチの導入・運用を可能にするにあたって重要なポイントの一つとなります。

サイバー攻撃には様々な種類がありますが、多くはWebアクセスとメールに起因します。しかし、手口が巧妙化しており、人の目で見分けるのは困難である中で、サイバー攻撃を検知しようとすることは業務の妨げでしかありません。近年では、マルウェアの攻撃が増加傾向にあり、いま求められるのはマルウェアの感染の疑いについて常時モニタリングし、更に感染の疑いのある端末に関しては隔離する対策といえるでしょう。

デジタルアーツのホワイト運用は「安全なWebのみアクセス」「安全なメールのみ受信」できる環境の実現により、ゼロトラストのアプローチを実現しつつ、リスクを最小限とすることに大きな役割を果たします。
また、デジタルアーツのホワイト運用には、マルウェア感染の疑いのあるお客様やデジタルアーツのお客様以外へも感染情報やホームページの改ざん情報をお知らせする、サイバーリスク情報提供サービス(Dアラート)が含まれており、マルウェアの感染の疑いのある端末に関しては即座に隔離する機能も備えられています。

巧妙化するサイバー攻撃すべてを情報システム部門が常時モニタリングし、対策を行うことは事実上不可能です。しかし、ここでデジタルアーツによるサイバーリスク情報提供機能(Dアラート)と、端末隔離機能を活用すれば、新たなサイバー攻撃によるインシデントに対して、迅速な対応が可能です。

  1. ※特許6800902号

今後のセキュリティ対策とホワイト運用

どのようなゼロトラスト対策をとるかは、企業規模のほかに、IT経営ガバナンス、IT経営マインド、IT環境、IT利活用といったそれぞれのIT経営の成熟度に応じて異なりますが、重要なのは、各企業の実情に合わせたセキュリティ対策を行うことであり、対策可能なレベル、例えば、Webのホワイト運用への移行から始めていくといった、ゼロトラストのアプローチの推進です。

セキュリティ対策ゼロでは、お客様の信頼もゼロになり、ブランド価値もゼロになりかねない時代がきています。

従来型セキュリティでは対応しきれなかった未知の脅威への対策を、運用負荷をかけずに防ぐことができるデジタルアーツのホワイト運用。ますます多様化、複雑化するこれからの時代において、デジタルアーツのホワイト運用こそがゼロトラストのアプローチによるセキュリティ対策の入口であり、最適解となるでしょう。

<デジタルアーツのホワイト運用の特長>

① 安全なWebの世界を実現する仕組み

「i-FILTER」のホワイト運用は、国内から検知可能なURLデータベース網羅率99.7%の精度を誇ります。また完璧なデータベースを目指すために、1日4回以上データベースを更新するとともに、未知のWebサイトはクラウドルックアップで専門チームが確認し、再登録するという業務を行っております。次々と立ち上がる新しいサイトの迅速なカテゴライズとカテゴリ精度の一層の向上が常に行われております。

② 安全なメールの世界を実現する仕組み

「m-FILTER」のデータベースは、安全な送信元の「IPアドレス」、「メールドメイン」を格納しています。国内の全企業約460万社のうち確認可能なすべてのドメインを格納したデータベースであり、データベースに登録されている安全な送信元からのメールは受信し、登録されていない送信元からのメールは危険な可能性があるため偽装判定を行ったうえで安全なメールのみを受信します。メールのホワイト運用に不可欠な高網羅率のクラウドルックアップ機能により、データベースのルックアップと再配信で、高い網羅率を維持しています(2020年10月末時点のホワイトリストデータベースの網羅率は99.6%です。)。
外部からの攻撃メールの多くは「送信元」、「本文・URL」、「添付ファイル」等を偽装し、受信者を安心させてマルウェアに感染させる手法を使ってきます。「m-FILTER」Ver.5のホワイト運用では 「送信元」、「本文・URL」、「添付ファイル」の偽装の判定を行い、攻撃メールをブロックし、安全なメールのみを受信します。

③ 高いユーザーの利便性

セキュリティの向上を実現するに当たってはユーザーの利便性も向上する必要があります。
例えば、「i-FILTER」のホワイト運用では、利便性向上のために、部署や役職ごとに柔軟なポリシーを設定・適用することができ、組織のWebアクセス運用ルールに即した利用が可能です。グルーピングにはIPアドレスや認証ユーザー名などの認証情報を用いることができます。利便性を高めながら、柔軟にポリシーの管理を徹底することで、さらにセキュリティの強度を高めることが可能になります。また、国産メーカーとしての長年の実績から、海外製品より分かりやすく、管理者・ユーザーの使用感も考慮したものとなっています。