テクノロジー解説

Day-Zero攻撃とは、すでに発生しているが、セキュリティ システムには攻撃としてまだ登録されていない攻撃のことです。「未知の攻撃」と呼ぶこともあります。Day-Zero攻撃は、従来のアンチウイルス ソフトのようにシグネチャ比較によって攻撃を検出する方法では、防ぐことができません。Day-Zero攻撃には、「あやしい行動」を検出する、ポリシー ベースの防御方法が必要となります。

インターネットやブロードバンドの普及は、ネットワークを使うことの利便性と同時に、ウイルスやワームなどのネットワーク脅威までも身近なものにしました。企業では、ファイアウォールや侵入検知システムに加えて、サーバやパーソナルコンピュータといったエンドシステムにアンチウイルス ソフトを導入して、攻撃からネットワークを保護しています。しかし、アンチウイルス ソフトをインストールしただけでエンドポイントが保護できることにはなりません。アンチウイルス ソフトが稼動していても、シグネチャ（パターンファイル）が最新状態になっていなければ、新しい攻撃は検出できません。常にシグネチャのアップデートやパッチの適用が必要であるうえ、シグネチャに登録されていない攻撃については防ぎようがないという限界をかかえているのです。

アンチウイルスでは対応できないDay-Zero攻撃

企業では、業務に使用するネットワーク アプリケーションが増加していることもあって、ネットワーク攻撃への対策が重要な課題の 1 つになっています。また、従業員ごとにパソコンが支給されるのが当然のようになっており、パソコンの台数が増えるにしたがって、すべてのパソコンのパッチ適用状況やシグネチャのアップデート状況をシステム部門で把握するのが困難になっています。急速に新しい攻撃が発生している今、こまめなシグネチャの更新は不可欠です。そのうえ、1 日に何度もシグネチャが更新されることさえあるため、IT 部門の負担はますます大きくなっています。 アンチウイルス ソフトでは、受信したメール、表示している Web ページ、場合によってはネットワーク パケットを検査して、ウイルスやワームといったネットワーク攻撃を検出します。この検査に使われるのがシグネチャ（パターンファイル）です。つまり、シグネチャとの比較によって、悪質なメール、Web ページ、パケットを見つけ出します。 逆にいうと、アンチウイルス ソフトには、シグネチャに反映されていない攻撃には対処できないという限界があります。たとえ、最新のパッチや最新のシグネチャがインストールされていたとしても、シグネチャに反映されていない新しい攻撃が被害を与える可能性は十分にあります。 Day-Zero攻撃にも対処しなければならない現在では、未発表あるいは未発見の脆弱性に対する攻撃を検出できる別のアプローチが必要とされています。

Day-Zero攻撃を防ぐポリシー ベースの防御システム

シスコは、システムの動作を監視することで攻撃からの防御を可能にしています。攻撃には、いくつかのパターンがあります。その共通性を利用すれば、既知の攻撃だけでなく Day-Zero 攻撃も、それが発生する前に検出できます。 実は、ネットワーク攻撃のアクティビティは、それほど多くの種類はありません。主なアクティビティは、以下のとおりです。 システムの改ざん 新規ユーザ アカウントの追加 発信ネットワークの確立 ファイルの改ざんや削除 ポリシー ベースのアプローチでは、これらのアクティビティを阻止することで、攻撃からシステムを防御します。たとえば、新しいユーザ アカウントを追加する攻撃を阻止すれば、新種の攻撃も含めて同様の攻撃をすべて阻止できます。攻撃を検出するのではなくアクティビティの分析によって攻撃を阻止するため、シグネチャ更新のような管理作業は不要となり、Day-Zero攻撃にも対処できます。 シスコシステムズでは、これをCisco Security Agentという製品として提供しています。ただし、Cisco Security Agent は、これらのアンチウイルス ソフトの代用品ではありません。これらのシステムは互いに補完して、システムを守ります。

Day-Zero攻撃の防御

Cisco Security Agentが実際にどのようにして「あやしい行動」を見つけて攻撃を阻止するのかを紹介します。 アプリケーションは、システムのリソースを呼び出すためにシステムコールを発行します。Cisco Security Agentは、システムコールをインターセプトして、行動ルールに基づいてシステムコールの振る舞いを分析し、そのシステムコールを実行するか拒否するかを決定します。このプロセスをINCORE（Intercept Correlate Rules Engine）といいます。 INCOREのインターセプタには、次の4種類があります。 ファイルシステム インターセプタ ファイルの読み取りおよび書き込み要求への割り込みによってアクティビティを監視します。 ネットワーク インターセプタ パケット レベルあるいはトランスポート レベルでのパケット イベントを監視します。 コンフィギュレーション インターセプタ Windowsのレジストリへの読み書き、あるいはUNIXのrcファイルへの読み書きを監視します。 実行スペース インターセプタ 各アプリケーションのランタイム環境の整合性を維持します。たとえば、アプリケーションが所有していないメモリ領域への書き込みを阻止します。この割り込みによって、バッファオーバーフロー攻撃などが検出できます。また、メモリやネットワーク I/O といったリソースの整合性も保護されます。 Cisco Security Agent は、ファイル、ネットワーク、設定、およびランタイムの操作をインターセプトしてポリシーと比較するので、各アプリケーションの状態を追跡できます。また、オペレーティング システムへのパッチ状況やアンチウイルスのシグネチャ更新状況についても、ポリシーに適合させることができます。アプリケーションの行動とポリシーとの相関関係によって、許可または拒否をリアルタイムで決定するのです。このシステムコールからアプリケーションの振る舞いを分析する「相関エンジン」が最も重要なステップになります。 Cisco Security Agent のポリシーは、IT によって各サーバおよびデスクトップに割り当てられるルールの集合です。これらの（ユーザや ID を基準としない）アプリケーション中心のアクセス制御ルールにより、必要なリソースへの安全なアクセスが実現します。シスコから提供されているポリシーをそのまま実装することもでき、それらのポリシーをカスタムポリシー作成用のモデルとして使用することもできます。 Cisco Security Agent は、サーバ用の重要な侵入保護機能と、分散型ファイアウォール機能を迅速に提供します。これらのソリューションを利用すれば、各種の脆弱性を保護できるだけでなく、Microsoft SQL Server、Microsoft Office、インスタント メッセンジャ、IIS Web サーバなどの一般的なアプリケーション向けのポリシーを簡単に展開できます。

複数のセキュリティ テクノロジーの採用

INCORE の機能を組み合わせれば、従来のセキュリティ機能と同等の機能を効果的に実装できます。たとえば、ネットワーク インターセプタを使ってアドレスとポートをブロッキングすれば、分散型ファイアウォールと同じ機能が提供できます。 セキュリティ対策 ネットワーク インターセプタ ファイル システム インターセプタ コンフィギュレーション インターセプタ 実行スペース インターセプタ 分散型ファイアウォール ○       侵入検知システム ○ ○ ○   Spyware対策 ○ ○ ○   ワーム検出 ○     ○ ファイルの書き換え検出   ○ ○