第251号コラム:舟橋 信 理事(株式会社UBIC 取締役)
題:「APT攻撃に対応する最近のセキュリティ製品について」
一昨年の9月に、標的型メール攻撃により某重工業からの情報漏えいが発覚し、その後も衆参両議院、中央官庁、防衛産業などからの情報漏えいが報道されている。
海外においては、2010年にイランの核燃料工場の遠心分離機の一部破壊に成功したと言われるStuxnetウィルスによる重要インフラ施設に対する初めてのサイバー攻撃などが報じられている。
APT(Advanced Persistent Threats:高度で継続的な(執拗な)脅威)と呼ばれているこれらのサイバー攻撃は、喫緊の脅威として認識が高まってきているところである。
これに関連して、先日公開された、米国企業MANDIANT社の報告書「APT1 Exposing One of China’s Cyber Espionage Units」においても、中国共産党の軍隊である人民解放軍の61398部隊の一部と思われるハッカーグループAPT1により、英語圏に所在する少なくとも141の組織から、数百テラバイトの大量のデータが盗みだされたと言われている。
今回は、APTに対するソリューションとして、注目を集めているセキュリティ製品SINA(ジ―ナ:Secure Inter-Networking Architecture)を御紹介する。
SINAは、ドイツ連邦政府情報局(BSI)が著作権を有しており、ドイツ企業のSECUNET社により開発されたもので、民間にも販売されている。
主なユーザーは、ドイツ連邦軍、NATO軍、ドイツ外務省、欧州刑事警察機構、ドイツ連邦銀行などであり、BSIやNATOのセキュリティ評価は、ISO/IEC15408の軍事用のEAL5以上に相当する認定を取得している。中でもデータを一方向に流すゲート「OneWay」については、EAL7の認定を取得している。
[参照URL:http://www.ugse.co.jp/business/security.html]※リンク切れ
SINAは、IPsecによるVPN機能に加えて、SINAアーキテクチャーを実現するための各コンポーネント(ルーター等)を認証局・登録局機能を有するSINAマネージメントが一元的に管理する仕組みになっており、コンポーネントを認証するためにスマートカードの発行機能を有している。各コンポーネントには専用のセキュアなOSであるSINA-OSが搭載されており、端末装置ではSINA-OSの仮想環境上で、ゲストOSとしてWindowsやLinuxが動作する。また、全てのデータとゲストOSは独自の暗号化ファイルシステムに保存される。端末装置として、シンクライアントやワークステーションが用意されており、ワークステーションでは、SINA-OS上でハードディスクやメインメモリを物理的に分割して、最大5つのセッションを構成することができ、セキュリティレベルはセッションごとに異なるマルチレベルセキュリティを実現している。各セッションは相互に干渉することがなく、仮にウィルスに感染しても他のセッションに感染することはない。また、各セッションの接続先は、SINAマネージメントにより定義されていることから、意図しないで外部のC&Cサーバーなどに接続され、データが漏えいするような事態は避けることができる。
SINAは、市販の機器の利用を前提に設計されており、既存のPCやサーバーにSINA-OSを実装することができる。また、SINAアーキテクチャーは、各コンポーネントの段階的な使用、例えば内部システムとインターネットとの境界にレイヤー3のボックスを設置すれば、内部はセキュアな環境を構築することができる。また、LAN上に設置することによりVLAN的な環境も構築することができる。
出張の際には、宿泊先のホテルのLANにワークステーションを接続すれば、SINAによりセキュアなネットワークを構築することができる。
SINAに組み込まれた暗号アルゴリズムは、IPsec規格に従ってユーザーが選択することができる。
おわりに、APTに対応する方策としては、先ず職員の情報セキュリティリテラシーの向上を図る必要がある。また、次の二つの対策を講じることが肝要である。一つは、クローズドのネットワークを構築すること。二つは、未知のウィルスへの対策を講じることである。クローズドのネットワークについては、SINAアーキテクチャーが有効である。後者については、従来のファイアウォールやIPSのようなシグネチャー方式による検知システムに、FireEyeに代表されるサンドボックス型の実行環境でメールの添付ファイルなどを開いて感染させ、その挙動をチェックして検知するようなセキュリティシステムを加えることが有効である。
【著作権は舟橋氏に属します】