情報セキュリティとシトリックスのソリューション

情報漏えい対策


ITの発展にともない多くの企業は、業務の効率化や意思決定の迅速化など多くのメリットがある反面、情報セキュリティの確保という大きな課題があることも事実です。情報セキュリティとは、企業や組織を取り巻く多くの脅威から情報資産を守り正常に維持することです。情報システムの活用が進むにつれて漏えいや改ざん、破壊といった脅威にさらされていることを常に認識し、そのリスクを最小限にとどめて安全な情報システム活用を行う必要があります。

本記事では情報セキュリティに焦点をあてて、企業がどのように脅威から情報資産を保護するべきかを明確化して、シトリックス製品でカバーできる領域までを明確化します。

情報セキュリティ対策とは

一般的に情報セキュリティには「機密性の確保」「完全性の確保」「可用性の確保」の三大要件があります。「機密性の確保」は、正当な権限保有者のみが情報資産にアクセス可能な状態を保つことであり、情報漏えいの防止策やアクセス制御などの仕組みを講じる必要があります。また「完全性の確保」は、正当な権利を持たない人や機械により変更されていないことを確実にすることであり、改ざん防止や検知などの仕組みで対処します。最後の「可用性の確保」は、必要な時に情報資産の活用ができることであり、システム破壊などからの迅速な復旧などを講じる必要があります。この3つの要件を確保するためにシステム面で実現することを情報セキュリティ対策と言います。

セキュリティインシデント(事故)が企業へ与える影響

企業や組織は、多様化、複雑化する社内外のセキュリティ脅威に対して、十分なセキュリティ対策を施す必要があります。万が一、セキュリティ事故が発生してしまうと現代社会おける企業にとって重大な経営的な影響を受ける可能性があります。企業が受ける影響は、業種や業態、事故の内容などさまざまですが、顧客からの取引停止や社会的な信用の失落、それにより売上減少、株価暴落など負の連鎖に繋がりかねません。謝罪費用はもとより、損害賠償責任や刑事責任、業務停止などに発展する場合もあるでしょう。

情報セキュリティ対策の主な領域

企業が情報セキュリティ対策を行う場合にどのように考えれば良いかをご紹介します。まず、守るべき領域(攻撃の対象)と攻撃手法、被害内容を明確化します。

攻撃の対象は、Webサイトなどの「公開サーバー」と従業員が利用する「クライアント」に大別されます。公開サーバーへは、サイバー攻撃による改ざんやサービス停止などを目的としたものがあります。クライアントは、ウィルスや標的型攻撃による不正な情報取得を目的としたもの、従業員などを介した情報漏えいがあります。

情報セキュリティ対策の主な領域

それでは、それぞれを詳しく見ていくことにしましょう。

サイバー攻撃

サイバー攻撃とは、公開サーバーなどの改ざんやサービス停止、データ不正取得などを目的とした攻撃です。具体的には以下のような攻撃の種類(手法)が存在します。

サイバー攻撃の種類

ポートスキャン

外部に公開されているサーバーは、その目的からポートを経由して通信を行います。ポートスキャンとは、ターゲットとなるサーバーで通信可能なポートを探査する手法です。ポートの状態を確認してサービスを特定することで、そのサービスに脆弱性があった場合は、ハッカーが侵入や攻撃を試みることになります。

バッファオーバーフロー

バッファオーバーフロー攻撃とは、OSやアプリケーションのデータ処理に関するバグを突いてコンピュータを不正に操作する攻撃です。この攻撃は、プログラムが一時的に利用するメモリスタック領域に対して、確保されたサイズより大きなデータを投入して上書きし、偽の戻り先を指定することで不正プログラムを実行させる手法です。

 パスワードクラック

パスワードクラックとは、さまざまなツールを用いて、何通りものパスワードを試してみて、OSやアプリケーションに設定されたパスワードを破る攻撃のことをいいます。すべての文字列や数値、記号を用いてすべての組み合わせで侵入を試みる手法をブルートフォース攻撃と言います。

DOS攻撃

DOS(Denial Of Service)攻撃とは、サーバーに対して不正なパケットを送りつけることで、システムリソース(CPUやメモリなど)を過負荷状態にすることでサービスを不能にする攻撃のことです。インターネット上に踏み台をつくり、一斉にターゲットのサーバーに対してDOS攻撃を行うことをDDOS攻撃と言います。それ以外にもDOS攻撃には、SYN Flood攻撃やsmurf攻撃、ブラウザからの過度な再読込を行わせるF5攻撃などが存在します。

クロスサイトスクリプティング

Webフォームなどにおいて動的にHTMLを生成するような仕組みの場合、入力データチェックに不備があるサイトに対して行われる攻撃です。ハッカーは、入力データにスクリプトを埋め込み、プログラムの不備をついてクッキー情報を盗み正規のユーザーになりすますことが可能になります。

SQLインジェクション攻撃

サイト上でプログラムの不備をつき、不正なSQL文を入力し実行することでデータベースを操作したり、データベースに登録された個人情報を不正に取得する攻撃です。OSに対する不正コマンドの実行などの場合をOSインジェクションと言います。

サイバー攻撃に対する主な対策

一般的にWEBアプリケーションに対する攻撃は、入力データにおけるチェックの不備を突いたものが殆どです。クロスサイトスクリプティングやSQLインジェクション、OSインジェクションなどを防ぐためにはHTMLのサニタイジングやデータベースに対する適切なアクセス権を設定するなどの他にWAF(Web Application Firewall)を導入することで防ぐことが可能です。シトリックスでは、PCI-DSS要件に準拠するCitrix NetScalerを提供しています。

また、DOS攻撃を防御するためには悪意のあるトラフィックを検知するIPS(Intrusion Prevention System)が対応します。IPSは、常に不正なパケットを調査しパケットが持つ特徴的なパターンを判断し管理者に通知したり遮断したりします。

ポートスキャンや特定のIPからの攻撃に関しては、ファイアォールによって不要なポートへのアクセスを遮断したり、IDS (Intrusion Detection System)やIPSを用いて検知・遮断します。

ウィルスによる無差別攻撃と標的型攻撃

次にクライアントへの攻撃に関してご紹介します。クライアントへの攻撃は、コンピュータウィルスなどを活用した「無差別型攻撃」とターゲットを決めた「標的型攻撃」に大別されます。

無差別型攻撃

無差別型攻撃は、特定の人を対象とせずにメールやWebを介在してウィルスを広くばらまくことを目的とした攻撃です。

一般的に悪質なソフトウェア全般を「マルウェア」といい、コンピュータウィルスもマルウェアに位置付けられます。コンピュータウィルスは、電子メールやホームページの閲覧などによってコンピュータに侵入し悪さを行う特殊なプログラムです。このウィルスは、単純に画像やメッセージを表示するだけのものから、ファイルや各種データを、メールなどを介して外部に自動的に送信する悪意のあるものなど多岐にわたります。このウィルスと言われているとおり、一般的にはコンピュータ内のファイルやプログラムに自動的に感染したり、社内のネットワーク経由で他のクライアントへ感染して自己増殖することが殆どです。ウィルスには自分のコピーを増殖させていくワーム型、クライアントに潜伏してイベント発生時に発病するトロイの木馬型があります。

また、コンピュータ内部に保管されるIDやパスワード、個人情報などを外部に送信することを目的とするソフトウェアを「スパイウェア」などと呼ぶこともあります。ウィルスと違いひっそりと活動するために気づきにくいという特徴があります。キーボードの入力を監視し記録するキーロガーなどもスパイウェアの一種です。

標的型攻撃

標的型攻撃は、コンピュータウィルスによる無差別型攻撃の発展系です。無差別型攻撃では、相手を特定しないでウィルスをばらまくことを主としていましたが、標的型攻撃はターゲットを決めて攻撃を行なう点が異なります。

標的型攻撃とは、企業の重要情報の不正取得を目的としたプロによるサイバー攻撃です。例えば、現在主流である「標的型メール攻撃」では、フィッシングメール(偽装メール)に不正なプログラムを添付して実行させたり、フィッシングサイト(偽造サイト)へ誘導したりすることで不正に情報を取得します。メール自体も巧妙に偽造されており、発信元など一見すると関係者であるかのように見えるだけでなく、メールの内容も信ぴょう性のある内容であるため騙されやすいという特徴があります。フィッシングサイトなどで入力した認証情報は、攻撃者に渡るため目的のサイトにログインされたり、添付ファイルの実行の際には、バックグラウンドで不正なプログラムがインストールされ、情報が盗み出されることになります。また、標的型攻撃の一種である「水飲み場型攻撃」は、組織や個人が利用する可能性の高いWebサイトを改ざんして、その利用者にウィルスなどを仕込む方法です。

無差別攻撃および標的型攻撃に対する対策

無差別攻撃および標的型攻撃は、いずれの場合もメールもしくはWebサイトを介在してウィルスに感染させ情報を抜き出そうとします。情報搾取や業務妨害を目的とした悪意あるこれらの攻撃に対する対策で万能なものはないと言われています。これらの対応は、企業や組織全体の体制や抑止策の実装、問題が発生した場合の被害拡大の防止策といったことを経営課題として捉えて準備することが重要です。
ここでは一般的なウィルス対策に加えてWeb経由およびメール経由に対する対策をご紹介します。

 一般的なウィルスに対する対策

一般的にウィルス感染を防ぐ対策としてアンチウィルスソフトの導入が挙げられます。クライアントにアンチウィルスソフトウェアを導入し、定義ファイルを常に更新することで最新のウィルスに対応します。

ただし、ウィルスは世界的にみても常に新しいものが出現するために定義ファイルが更新されていない状態では意味をなさない場合があることを理解する必要があります。また、ソフトウェアにセキュリティ上の脆弱性が発見されたときに、問題の存在自体が広く公表される前や、脆弱性に対する更新プログラムが提供される前にその脆弱性を悪用して行われる攻撃をゼロデイ攻撃(ゼロデイアタック)と言います。

少しでもリスクを低減させるためには、各社ベンダーが提供するソフトウェアやセキュリティの修正プログラムやアンチウィルスソフトの定義ファイルを常に最新の状態に保つことが重要です。ハッカーは、たった一つの脆弱なクライアントを足がかりに貴重な情報を搾取することを忘れてはなりません。

シトリックスでは、XenAppやXenDesktopなどサーバー側でアプリケーションやデスクトップOSを集中管理するソリューションを提供しています。これにより煩雑な修正プログラムやセキュリティパッチの適用などを中央で集中管理することが可能になるため企業や組織全体で最新の状態を保つことが可能になります。

また、ウィルスに感染すると一般的にはHTTP経由で外部のサーバーへの接続を試みます。そのため、クライアントからインターネットへの通信は、必要最低限にとどめることが重要になります。たとえばHTTPについては自社内のプロキシを経由したアクセスに限定して、それ以外はファイアウォールで制限するなどの処置が有効になります。メールなどのSMTPプロトコルも自社内のSMTPサーバー経由のみファイアウォールで許可するなども有効になります。

Webサイト経由のウィルスに対する対策

Webサイトを閲覧しただけで感染する場合や言葉巧みにフィッシングサイトへ誘導して情報を搾取する場合などが考えられます。シトリックスが推奨するソリューションは、XenAppやXenDesktopなどのアプリケーション仮想化技術を用いて、クライアントからのWeb閲覧の際にはサーバーにホストされたWebブラウザを介して行うセキュアブラウジングです。サーバーサイドのブラウザの実行環境がなんらかの感染をしても、社内のクライアントへの影響を防ぐことが可能になります。また、集約された環境に設置されるため万が一、感染した場合でも発見・駆除しやすいと言えるでしょう。

電子メール経由のウィルスに対する対策

コンピュータウィルスがメール経由で感染する場合には、ウィルスが内部探索を行いブラウザ経由で情報を漏えいする場合と感染されたクライアントから直接メールなどを通じて外部通信を行う場合が考えられます。端末から直接外部通信を行うタイプのものは遮断可能な場合もありますが、内部探索するタイプやメールで情報を送るタイプのものは漏えいを防げない場合があるので注意が必要です。
XenAppなどでサーバー環境にメール閲覧ソフトウェアを仮想化し集約することも考えられますが、感染した場合には集約されている分、感染のスピードが早まるという危険もあるでしょう。ここでは、シトリックスのProvisioning Services (PVS)を使用することで、再起動するだけで感染前の状態に復旧することもできることによるリスクを下げる効果もあり、要件に応じて判断する必要があるでしょう。

クライアントからの情報漏えい

情報漏えいとは、社内の機密情報が外部に漏れてしまうことです。企業は、上述したようなサイバー攻撃以外にもクライアントからの情報漏えいにも注意を払う必要があります。毎日のように報道されている情報漏えい事件ですが、実はサーバー攻撃による外部要因ではなく、約8割近くが故意、偶発を問わず内部の人間による盗難、流出などであると言われています。

ここでは以下の情報漏えい5つのパターンに対する対策をご紹介します。
① 権限のないユーザーによる不正なアクセス
② ユーザーによる不正コピー
③ デバイスの紛失や盗難
④ Webサイトや個人利用のクラウドストレージへの書き込み
⑤ メール添付やメールの誤送信

クライアントからの情報漏えいに対する対策

① 権限のないユーザーによる不正なアクセスに対する対策
まず最初に情報漏えい対策で重要なのは、企業全体での統合アカウント管理(認証管理)です。アカウント管理では、どの情報に誰がアクセス可能かなどのポリシーを定義し、認証を経て権限のあるものだけがその情報にアクセスできるようにします。認証は成りすましを防いだり認証の強度を高めるために、一般的なパスワード認証のほかにバイオメトリクス認証やICカード認証、ワンタイムパスワード認証など様々な方法があります。

② ユーザーによる不正コピーに対する対策
権限のあるユーザーが機密情報を外部記憶媒体にコピーして情報漏えいを起こすケースに関してはXenDesktopやXenAppを活用したデスクトップ仮想化やアプリケーション仮想化が有効です。XenDesktopやXenAppの場合、デスクトップOSやアプリケーション、データの実体はすべてサーバー側で一元管理されクライアントには画面転送された情報のみが表示されています。これにより自宅や外出先からのアクセスであっても、すべての情報はサーバー側に保持されているため情報が漏えいすることはありません。

③ デバイスの紛失や盗難に対する対策
デバイスの紛失や盗難には、クライアント側に一切データを残さないXenDesktopやXenAppの活用が有効です。これらの製品を活用したデスクトップOSやアプリケーション配信を行うデスクトップ仮想化およびアプリケーション仮想化では、実行環境をサーバーに集約し画面転送のみを行うため、常にデータはサーバー環境に保持されます。ゆえにデバイスの紛失や盗難の際にも安全を保つことが可能になるのです。また、モバイルデバイスの台頭によりWindowsデスクトップやアプリケーションを介さない社内システムへの外部アクセスも増えています。このように外部に簡単に情報を持ち出せる状況から機密情報を保護するためには、エンタープライズモバイル管理製品であるXenMobileが有効です。XenMobileではデバイス盗難・紛失時のロックアウトや遠隔地から情報を消去する機能に加えて、同一デバイス上で使い勝手を損なうことなく、個人アプリケーションと会社アプリケーション間での情報を制限する機能により企業情報を保護します。

④ Webサイトや個人利用のクラウドストレージへの書き込み
⑤ メール添付やメールの誤送信に対する対策
Webサイトへの書き込み、個人利用のクラウドストレージへの書き込みに関しては、コンテンツフィルタリングなども有効です。コンテンツフィルタリングとは、インターネットへのアクセスを監視し、事前に設定された条件に合致したものを排除・遮断する技術です。コンテンツフィルタリングには、送られてくるデータをリアルタイムに監視し禁止した語句などが含まれている場合に動的に遮断をを行う動的コンテンツフィルタリングとURLに基づいてアクセスの可否を判断するURLフィルタリングがあります。またメール添付やメール誤送信に関してはシステム側で暗号化したり送信可能な宛先の制限などでリスクを軽減することも可能です。

まとめ

日々進化するサイバー攻撃に対してセキュリティ対策に万能策はありません。しかし、セキュリティの重要性を経営全体で認識して少しでも最新の安全な技術を取り入れることが重要です。その際にセキュリティと利便性のバランスをとりながら効率的にリスクを低減するための施作を講じることがポイントです。

シトリックスでは、現代的なワークスタイルを見越した情報漏えい対策としても有効なさまざまなソリューションを提供しています。