標的型攻撃対策における「出口対策」って？|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました。

社食でメンチカツを食べてお腹いっぱいの蔵本です。

さてさて、前回挙げた標的型攻撃への対策の中から、今回は「出口対策」を紹介します。

最近流行の標的型攻撃について、IPAからも様々な対策方法が提示されています（PDFファイル）。
そのひとつが出口対策です。

標的型攻撃では、サーバーではなく、クライアント端末を狙うケースが大多数です。

クライアントに情報収集用ウイルスを仕込まれ、クライアントからハッカーが使用しているWebサーバへ、機密情報のファイルを勝手にポスト（送信）されるというのが、お決まりのパターンです。

企業ネットワークでは、プロキシ・サーバを通じて外部のWebサイトへアクセスするパターンが多数ですので、このプロキシ・サーバ経由で通信する際に認証を行ってやれば、ユーザーIDやパスワードを知らないウイルスが外部へアクセスすることは難しい、という発想から考え出されたのが出口認証です。

実際、対策としては有用であり、何も対策を取っていない状態に比べてずいぶんとセキュリティ・レベルは高くなります（もちろん、プロキシを通らずに外部のWebサイトへアクセスできてしまうような状態では意味がありませんのでご注意ください）。

この対策を取る場合、LANと外部ネットワークとの接点となるL3スイッチやファイアウォールにおいて、送信元がプロキシ以外になっているWebリクエストをすべてリジェクト（許否）するという仕組みが併せて必要になります。

ただ、この出口認証も過信は禁物です。

基本認証にしても、統合認証にしても、その認証情報を悪用するマルウェアを作成されてしまうと、この対策も意味を成さなくなります。

ちなみにこの出口認証には、副次的な効果もあります。
認証したユーザー名の取得ができるという点です。

従来、IPアドレスを送信元として監査ログを取得しているケースが多くありますが、ローカルの管理者権限を保持している状態での運用を行っている場合等は、IPアドレスを変更できてしまいますので、監査証跡としての信頼性に欠けます。

一方、ユーザー名を送信元として併せて取得すると、認証され、認可されたユーザー名という識別子を使用することになるので、監査証跡としての信頼性が向上します。

今回ご紹介した、この出口対策ですが、これだけで標的型攻撃が防げるわけではなく、以前からお話しているデータ暗号化等も併用して初めて効果を発揮します。

併せて一本！これを狙っていきましょう！