<4D F736F F F696E74202D AA8EC08CBB82B782E98DC CC B838B835A834C A F F947A957A8E9197BF2E707074>

Transcription

1 ISSが実現する最新のメール セキュリティ ビジネスの可用性とセキュリティの両立 インターネット セキュリティ システムズ株式会社 執行役員 マーケティング部長 井下田 久幸 2007年6月21日 メール セキュリティに関する問題 スパムメール処理による損失 情報漏洩問題やボットネットによる悪用 フィッシングによる詐欺被害 特定の企業 組織 団体をねらった詐欺 メール経由で埋め込まれる不正プログラム 特定の企業 組織 団体をねらって送られてくる不正プログラム 未だに存在するメールを媒介とするウイルス イントラネットにばらまかれるウイルス 2

2 一日の仕事始めは スパムメールの削除から 謎の中国語 謎の薬販売 謎の文字化け 謎のロシア語 3 数字でわかるスパムメールによる企業の被害 従業員がスパムメール 1 通を処理するのに費やされる時間は平均 4.4 秒 出典 : Ferris Research 2003 年のスパム 迷惑メールは全体の45% にのぼり ( 出典 :Radical Group 2003/2) 2007 年には全体の70% を超える このうち 2~6% にウイルスもしくはフィッシング攻撃が含まれている 米国企業は 2005 年に $416 億ドル以上をスパム / 迷惑メール対策費用として計上した 出典 : Radical Group 業務でメールを利用しているユーザのスパムメールの受信が増え 業務外の様々なメール処理作業に時間が割かれていませんか? 4

3 数字でわかるスパムメールによる企業の被害 米国企業の従業員一人が 一年で受信するスパムメールは平均 3500 通この影響で生産性は一人あたり 1.4% 低下 損失額は 874 ドル出典 : Nucleus Research (2003/7/1) 2005 年スパム / 迷惑メールを起因とする米国における生産性の損失は $100 億に達する出典 : Ferris Research 米国においてスパム / 迷惑メールが理由で生じる業務上の生産性損失は 2007 年には $750 億に達すると見積もられている出典 : Radical Group 5 数字でわかるスパムメールによる企業のコスト損失額 従業員がスパムメールを処理 閲覧する時間による損失コスト計算が可能 年度のスパムによるこの企業の生産性年間損失額 5030 万円!! 従業員 1000 人の会社が 1 日あたり一人 40 通のスパムを受信すると仮定 6

4 スパムメールによる企業の損失その他の考慮 誤って スパムメールと一緒に 重要なメールを削除した場合の損失の考慮も必要 コンプライアンス遵守や情報漏えい対策のため 全てのメールをアーカイブして保存している企業では 正規のメールとスパムを区別することができないと 多くのストレージや作業時間が発生 スパムメールによるトラフィックがネットワーク帯域を消費し 企業ネットワークの可用性に影響を与えていることも事実 7 最近増加傾向にある スピア 攻撃 メールを利用して特定組織を攻撃ターゲットとする ある企業の労働組合をかたるフィッシング メールが組合員に対して送られた事例 大企業の情報システム部社員をかたって, 支店勤務の社員に対して 調査に必要なのであなたのパスワードを教えてほしい といったメールを送り, 聞き出したパスワードを使ってその企業のネットワークに不正侵入した事例 上司や取引先になりすまして特定の社員にメールを送り, 業務上の機密情報や知的財産を盗んだ事例 8

5 ボットの埋め込みに使われるメール ボットを埋め込まれると スパム送信用ホストとして悪用 被害者の企業がスパマーに DDoS 攻撃の実施者に 9 HERDER ボットネットとは? INTERNET SPAM 指示収集 WEB サーバ等 IRC サーバ DDoS ボット BOT ボットネット IRC= インターネット リレー チャット 10

6 ボットの動作 ~ コマンドと応答 ~ Internet IRC サーバ HERDER 11 ボットの動作 ~DDoS~ Internet HERDER IRC サーバ 12

7 ボットの動作 ~ バージョンアップ ~ Internet IRC サーバ HERDER 13 世界の 6 億台のうち 1 億台から 1 億 5000 万台が感染 14

8 メール ウイルスの感染被害も衰えていない BitDefender に報告されたウイルス感染 (2007 年 2 月 ) 15 アンチウイルス アンチスパムだけでは十分ではない 包括的なメッセージング セキュリティが不可欠 16

9 Proventia Network Mail Security System 複数のレイヤーで電子メールを防御 17 IPS とは? IPS とは? 通信内容を解析し不正な通信を遮断するシステム IPS アンチウイルス 18

10 ファイアウォール IDS で対応が十分か? ファイアウォール ポートと IP が正しければ 脅威も通過 侵入検知システム (IDS) IDS!! 脅威を検知するが 止められない 侵入防御システム (IPS) IPS 脅威を検知し破棄 19 Proventia セキュリティ プラットフォームの特長 X-Force ( エックス フォース ) VPS ( ウィルス プリベンション システム ) Virtual Patch ( バーチャル パッチ ) 20

11 脆弱性研究の専門組織 X-Force 事前防御を実現するバーチャルパッチを支える技術 世界で公表された高危険度の脆弱性の半数以上を発見 報告している実績 情報元 : 国際マーケティング, 市場調査およびコンサルティング会社である フロスト & サリバンのレポートより X-Force は ISS が有する世界有数の脆弱性研究専門組織 活動内容 研究活動 (Research) 脆弱性研究の活動 ( コア ) 他のセキュリティ機関 学術機関 ベンダー等の情報収集にあたるフィールド調査活動 X-Force DataBase(XFDB) へのナレッジ蓄積 開発 (Development) ISS プロダクトへの XPU の提供 教育 (Education,PR) 21 VPS ( ウィルス プリベンション システム ) ISS が開発した振る舞い分析 (behavior analysis) 技術により 既知若しくは未知のワーム, ウイルスやその他悪意あるプログラムを検出し阻止 個々のウイルス ワーム等のパターンではなく それら悪意あるプログラムが感染 伝搬に際して利用する手法 ( 振る舞い ) を分析することで アップデート無しに新種 亜種に対して先進的に対応する事が可能 プログラムは安全な仮想環境内での分析により 実行前に駆除 - クライアント PC, サーバなど実際の情報システムに影響を及ぼさない 古典的なパターンマッチ型のアンチウイルスを補完 22

12 Virtual Patch( バーチャルパッチ ) セキュリティパッチに替わる保護ソリューション 仮想的なパッチ = Virtual Patch Virtual Patch は脆弱性情報に基づいて提供される保護シグネチャ 脆弱性情報に対して 1 対 1 の関係を持つ 内部からの不正通信の拡散を防御 不正通信の拡散 脆弱性を狙った通信 パッチのコントロール バーチャルパッチによるバリア効果 無防備な重要サーバやネットワークを守り 安定稼動させる システムにセキュリティパッチを適用しなくても保護可能 ゼロデイ攻撃などの事前防御実現 セキュリティパッチ適用リスクの回避 システムそのもののリソースへの影響を回避 セキュリティパッチ評価期間やセキュリティパッチ適用スケジュールの確保が可能に 23 ISS 事前防御の重要性 2003/7/16 Microsoft が RPC の脆弱点を公表 2003/7/16 X-Force は 3 時間内に攻撃コードの解析を完了 IDS ヘ ンタ ー 2003 /7/18 ISS は自社製品にセキュリティパッチをリリース 脆弱 保護 アンチウイルスヘ ンタ ー 2003/7/21 MS Blaster の攻撃原型コードが公表される 2003/7/25 複数のハッカーが MS Blaster の攻撃コードを公表 2003/7/27 各 IDS ベンダーはハッカーの公表したコードを元にシグネチャを提供 2003/8/11 MS Blast, LoveSan, Nachi, Welchia ワームがインターネット上を拡散 亜種毎での実行ファイル 2003/7/25 複数のハッカーが MS Blaster の攻撃コードを公表 2003/8/11 MS Blast.A が拡散 2003/8/11 MS Blast.A 用のアップデート完成 2003/8/ /8/18 MS Blast.Dが拡散 MS Blast.D 用のアップデート完成 24

13 昨今のセキュリティ事件 事故 (IPS で対応できるもの ) 1999 メール添付型ウイルス Melissa が拡散 2003 SQL Slammer ワームの発生 MS Blast / Nachiワームの拡散 メール添付型ウイルス LoveLetterが拡散 2004 Sasser / Korgoワームの拡散 官公庁ホームページの改ざん 米 Yahoo ebayへのddos 攻撃 フィッシングが問題に 相次ぐ個人情報漏洩問題 Webサーバ IISへ感染するCode REDの出現 改ざん増加 2005 ボット ボットネットの存在が表面化 Nimdaの出現 金銭を目的とした攻撃が明らかに 2002 Web サーバ Apache のモジュールに問題 改ざん増加 クロスサイトスクリプティングが問題に Web アプリケーションの脆弱性が表面化 (SQL Injection) 2006 ファイル交換ソフトによる情報漏洩事件が多発 特定の組織などを対象とした攻撃が顕著化 25 Proventia Network Mail Security System 製品番号 MS3004 スループット * 36,000 メール /1 時間 スケーラビリティ最大 10,000ユーザー - フルインスペクション時のスピード - 不正侵入防御 アンチウィルス アンチスパム 26

14 Proventia Network Mail の特長 X-Force ( エックス フォース ) によるセキュリティ情報の統合 ウイルスを含む不正プログラム防御 シグネチャ型アンチウイルス VPS ( ウイルス プリベンション システム ) による未知のウイルスからの防御 IPS によるネットワークワームからの防御 攻撃されやすいメールシステムを攻撃から防御 アンチスパム 27 Proventia Network Mail 事前防御の実現 特長 メッセージング インフラストラクチャに対する攻撃を事前防御することにより 正常な電子メール トラフィックへの悪影響を削減 機能 ウイルス プリベンション システム (VPS) と 不正侵入防御 (IPS) 機能の搭載により リアルタイムで電子メール トラフィックを防御 利点 企業のメールサーバ およびエンド ユーザー PCの双方を電子メールを経由した攻撃から防御し 稼動率と生産性を向上 ISS ならではの特長 多大な導入実績と優位性を持つ ISS の IPS 技術を活用可能 28

15 特長 98% の有効性を持つスパム コントロール機能 機能 Proventia Network Mail - スパム コントロール機能 複数段階のメッセージ およびグローバルデータセンターによって収集された最新のスパムデータ ( シグネチャ URL 等 ) で構成される ISS フィルター データベース さらに ベイジアンフィルタ ヒューリスティクスなど複数の解析手法を効率的に利用することにより 効率的なスパム フィルタリングを実現 利点 従業員の生産性を向上し ネットワークへの負荷を軽減 ISS ならではの特長 Proventia フィルター データベースは 7,900 万以上のエントリー (Web ページと関連するスパム シグネチャ ) を有し 業界最大規模 を誇る 29 Proventia フィルター データベース ISS フィルター データベース フィルター カテゴリー数 62 URL フィルター データベースのエントリー数 7,000 万 URL フィルター データベースの 一日当りの新規もしくは更新エントリー数 ( 平均 ) 100,000 Proventia フィルター データベースの基盤 ISS データ センターによって解析される 一月あたりの新規 Web ページおよび画像数 -1 億 5,000 万 ISS データ センターによって解析される 累計 Web ページおよび画像数 59 億 (Google のデータベースの 1/5 以上 ) テキスト 画像およびリンク情報を常時収集するロボット数 500 一日当りに解析するスパム メッセージ数 700,000 今日までに解析されたスパム メッセージ数 2,500 データベースに収集した 重要度の高いスパム シグネチャ数 4,200 万 30

16 複数段階でメッセージを分析 31 受信者の認証 既知の受信者 未知の受信者 分析を継続 SMTP レベルで拒否 32

17 精密なポリシー コントロール シンプルなルールに基づくポリシー作成 ( 例 : 誰が 何を いつ行ったときにアクションを実行するか ) および10 種類以上のアクション タイプ ( 変更 通知など ) コンプライアンスの要件や許容範囲内の使用条件を適用するポリシー定義 意義 論理的で 使い易いルール作成により 管理負担を軽減 33 Proventia Network Mail 管理オプション Web ベースのローカル マネジメント インターフェース Proventia Management SiteProtector による一元管理も可能 クラスタリング構成にも対応可能 34

18 35