リソース > セキュリティ用語集 > サイバー脅威対策とは

サイバー脅威対策とは

サイバー脅威対策とは

サイバー脅威とは、さまざまな種類の悪意のあるソフトウェア (マルウェア) であり、サービスの妨害やデータの窃取によって攻撃者に金銭的利益をもたらす目的で、コンピュータシステムやネットワークに侵入します。

したがって、サイバー脅威対策は、サイバー脅威からシステムやネットワークを保護するために設計された一連のセキュリティソリューションを意味します。

 

サイバー脅威の進化

コンピューティングの世界が成長するに伴い、脅威の種類も増え続けています。初期の脅威の1つとして、Tenexの端末間を移動するCreeperと呼ばれるコンピュータワームが挙げられます。それは「私の名前はCreeper。捕まえられるものなら捕まえてみなさい」というメッセージを残すようにプログラムされていました。

当時は、個人または少人数のグループが自分たちの技術を披露するためだけの攻撃がほとんどでした。これに対処するのに、IT部門が時間と費用を費やしたのは確かですが、現在の基準では、些末ないたずらともいえるものでした。

初期に比べると、サイバー脅威は大きく変貌しました。一人で行動するハッカーに代わって、組織的な犯罪ネットワーク、国家が支援する陰謀集団、豊富な資金力を持つギャングが、サイバー犯罪を通して金銭的利益を得ようと目論む時代になってきています。そして、攻撃手法も様変わりしています。当初の単純なコンピュータワームから、検出されることなく不正行為を働く巧妙なプログラムに姿を変えたのです。ここで、サイバー犯罪者が攻撃に使うツールをいくつか紹介します。 

  • ランサムウェア: 被害者が特定の金額を支払うことに同意するまで、暗号化を通じて被害者のデータやファイルへのアクセスをブロックするマルウェアの一種です。 
  • ブラウザエクスプロイト: OSの脆弱性を悪用し、攻撃者はユーザが知らないうちにブラウザの設定を変更します。攻撃者はそれを使用して、ユーザ資格情報の収集、ランサムウェアの配信、マルウェアの実行、悪意のある暗号マイニングソフトウェアのインストール、アクセス特権の昇格などを実行します。
  • マルウェア: コンピュータ、サーバ、ネットワークにダメージを与えるようにデザインされた悪意のあるソフトウェアの総称です。コンピュータウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、アドウェアなど、マルウェアにはさまざまな種類があります。マルウェアは、脆弱性を悪用した攻撃やソーシャルエンジニアリング攻撃によってインストールされることが多く、そのコードには検知を回避して拡散するためのさまざまな手法が含まれている場合があります。 
  • 高度な標的型攻撃 (APT) : 許可されていない人物がネットワークへのアクセスを取得し、検知されないままネットワーク上に居残りつづけるものです。APTが「高度な (Advanced)」理由は、多種多様なセキュリティ保護を回避できるマルウェアを使用しているためです。そして、マルウェアが一旦ネットワークに侵入すると、コマンド&コントロール (C&C) サーバと定期的に通信して、不正に取得したデータを送信したり命令を受信したりできることから、「持続型 (Persistent)」攻撃と呼ばれています。
  • フィッシング: 正当なビジネスを装って、メールの受信者やWebユーザを誘導して、クレジットカード番号などの個人情報を入手する行為です。例えば、ユーザがBank of Americaを装ったメールを受信し、銀行取引に関する重要な更新を行うためにログインするよう求められたとします。それにしたがってログインすると、ユーザのログイン資格情報や銀行へのアクセスが攻撃者の手に渡ります。ほんの数年前までは、こうしたなりすましサイトやメールは簡単に見分けることができましたが、今では本物のサイトとほとんど区別できない巧妙なつくりになっています。 
  • ドメインスクワッティング: フィッシング、資格情報の盗取、マルウェアの配布などのために、有名ブランドと類似したトップレベルドメインを登録することです。例えば、gmali.comなどが典型的な例です。このアドレスからのメールは、Gmailからの正規のものと誤認しやすく、悪意のあるWebサイトへのアクセスを促すセキュリティ警告を表示する場合があります。
  • ホモグラフ攻撃: ドメインスクワッティングに似た手法を使用します。国際化ドメイン名 (IDN) ホモグラフ攻撃は、例えば、AppleのURLの「l」の代わりに数字の「1」を使う (https://www.app1e.com) など、類似した文字を使って正規のサイトのリンクに見せかけることで、クリックさせるというものです。他にも、Olive Gardenの大文字の「O」を数字の「0」に代えた例 (https://www.0liveGarden.com) もあります。

外部要因やセキュリティ固有の脅威が関連してセキュリティとリスクの全体的な状況に影響を与えているため、この分野のリーダーはレジリエンスを強化し、ビジネス目標をサポートするために適切な準備をしておく必要があります。

Gartner、Peter Firstbrook氏

サイバー脅威が攻撃に変わるとき

では、これらのサイバー脅威が何らかの形で組織に侵入した場合、何が起きるのでしょうか。攻撃は通常、エクスプロイトやマルウェアが含まれたフィッシングメールなどの配信から始まります。悪意のあるファイルは、ユーザがダウンロードまたはメール内のリンクをクリックすると配信されます。次に、エクスプロイトの段階に入り、プログラムがコードを実行するために悪用できるシステムの脆弱性を探し、マルウェアを被害者のマシンに読み込むインストールが行われます。次の段階のコールバックでは、マルウェアペイロードがC&Cサーバとの通信を試みます。そして、最終段階であるデトネーション (爆発) で、マルウェアは追加のマルウェアのインストール、データの抽出、C&Cサーバによってプログラムされたその他のアクションを実行します。

サイバー脅威に対する最善の防御策

特定の業界や企業は、機密性の高いデータを多く保有し、多額の身代金を支払う能力があるとみなされているため、サイバー脅威のターゲットとして特に狙われやすい傾向にあります。しかし、こうした攻撃がより一般的になりつつある今、すべての組織が予防措置を講じる必要があります。

今日の高度なサイバー脅威から組織を保護するには、データセンタにハードウェアベースの機器を設置する従来のセキュリティアプローチでは不十分です。なぜなら、刻々と変化する脅威の状況に対応するために、これらのデバイスを迅速に更新することができないためです。また、このセキュリティスタックを別の事業拠点で再現することも、リモートで働く従業員に適用することもできません。

クラウドネイティブなプラットフォームは、現代のデジタル社会が必要とするサイバー脅威からの保護を提供しますが、すべてのクラウドプラットフォームが同じ形で構築されているわけではありません。プラットフォームは、セキュリティ機器の仮想インスタンスではなく、クラウド専用に構築されている必要があります。その理由としては、セキュリティ機器はデータセンタ内にあるものと同じ制限 (ユーザを追跡できない、帯域幅とパフォーマンスに問題がある、ユーザの要求に応じて拡張できないなど) を受けてしまうためです。

サイバー脅威対策として効果的な保護を提供するには、クラウドネイティブなプラットフォームに以下の機能を統合する必要があります。

  • クラウドファイアウォール: 悪意のあるドメインへのアクセスからユーザを保護し、DNSトンネリングを検出、防止するためのより詳細な制御を提供します。
  • 侵入防御システム (IPS): ボットネット、高度な脅威、ゼロデイなどのセキュリティの脅威やポリシー違反など、悪意のあるアクティビティをネットワーク上で監視します。暗号化されたすべてのトラフィックを検査して、隠れた脅威を検知してブロックします。
  • サンドボックス: 破損したファイルがユーザのデバイス上で実行されないようにします。不審なファイルを仮想化されたOS上にコピーし、そこで実行することで悪意のある動作を確認します。
  • ブラウザ分離: 悪意のあるWebサイトのコンテンツがユーザのデバイスや企業ネットワークに届かないようにします。Webページが提供するコンテンツをダウンロードする代わりに、ピクセルの安全なレンダリングのみがユーザに配信されるため、隠れた悪意のあるコードは水際で阻止されます。

ご自身の組織がサイバー脅威からどの程度保護されているかは、無料のインターネット脅威エクスポージャ分析でご確認いただけます。

 

参考資料

Work From Anywhereの従業員を増え続けるサイバー脅威から保護

インフォグラフィックを見る
Work From Anywhereの従業員を増え続けるサイバー脅威から保護

Zscalerが断ち切るサイバーキルチェーン

ホワイトペーパーを読む (英語)
Zscalerが断ち切るサイバーキルチェーン

Zscaler Cloud Sandbox

eBookを読む
Zscaler Cloud Sandbox

暗号化されたトラフィックに隠れた脅威を検知

ホワイトペーパーをダウンロード
暗号化されたトラフィックに隠れた脅威を検知