SSL/TLS通信の可視化による企業のセキュリティ強化について紐解く本連載。前回は、SSL/TLS通信の可視化のソリューションと導入のポイントについて解説しました。

コロナ禍により生活環境が一変してしまったことは今更言うには及ばないでしょう。新しい働き方が求められ、DXや業務効率化の実現、リモートワークの拡大への対応のために、ソフトウェア・アズ・ア・サービス（SaaS）型のクラウドサービスの利用が拡大しています。
一方でSaaSを社内外から利用することにより、従来一般的であった社内と社外でネットワークを分離して社内の情報資産を守る「境界型セキュリティ」が十分に機能しなくなってきているといえます。

このようなSaaSを始めとするクラウドサービス活用時代におけるネットワークセキュリティの考え方と、SSL/TLS暗号化された脅威への対策について概説します。

 

クラウドサービスの活用とリモートワークの増加に伴う脅威とその防御

オフィス業務の効率化やIT運用効率化の実現と併せて、新型コロナウイルス感染症（COVID-19）の広がりに伴うリモートワークの拡大に対応するために、様々なクラウドサービスが活用されています。
Microsoftでは業務遂行アプリケーションであるOffice 365をより統合化したMicrosoft 365にし、更にはわざわざAzure Virtual Desktopとは別サービスとしてWindows 365（クラウドPC）も用意しています。（もっと言ってしまえば、”最後のWindows”と言っていたのを反故にしてまで「Windows 11」を登場させ、今の働く環境に合わせたことをアピールしています。）

Microsoftだけをとってもサービスのクラウドシフトは明らかですが、Amazon WorkspacesなどのDaaSも”オフィス外での働き方”のツールとして活気づいています。
その他にも業務遂行に欠かせないBoxやDropboxなどのコンテンツ共有サービス、Salesforceなどの顧客管理サービスといったSaaSの利用が拡大しています。

このように社内外からSaaSにアクセスするということは、例えばリモートワーク環境下の業務を効率化できる一方で、社外にあるクライアント端末からSaaSへの通信経路が増えたり、社内にあった情報資産がSaaS上に保管されたりすることを意味してます。この為、従来からの社内と社外でネットワークを分離し、ファイアウォールやUTM（統合脅威防御）製品、セキュアゲートウェイ、プロキシサーバーなどを用いて社内の情報資産を守る単一境界型のセキュリティアーキテクチャが十分に機能しなくなってきているといえます。

クライアント端末の紛失や盗難、のぞき見などによる情報の窃取などの物理的なセキュリティを除けば、社内外からSaaSが活用される環境で留意しなくてはならないセキュリティのポイントは、大きくは以下の2つになります。

• 利用しているSaaSへの不正アクセスの検知と防御
• クライアント端末への不正アクセスの検知と防御

では、これらのセキュリティをどのように適応すれば良いでしょうか。

一点目のSaaS上に保管された情報資産を守るためのセキュリティについては、SaaS事業者が様々な機能を提供しています。
参考でしかありませんが、以下のような機能が提供されていることもあり、これらを用いることで、外部からSaaS上への情報資産への不正アクセスを防止したり、不正な操作を検知したり、SaaSからの情報漏えいを防いだりすることが可能になります。

• 認証基盤と連携したユーザー認証機能やアクセス制御を行う認可の機能
• ユーザーのアクセスログや操作ログなどの監査用のログを取得する機能
• アクセス元とするIPアドレスやユーザーが利用できるアカウントを制限する機能
• サンドボックスなどを用いた不正プログラム（マルウェア）の検知機能
• 情報漏えいを防ぐためのデータ損失防止機能や改ざんを防ぐデータ保護機能
• 添付ファイルの検査やスパム対策などのメールセキュリティ機能

二点目のクライアント端末へのセキュリティ対策としては、アンチウィルス製品やEDR（Endpoint Detection and Response）製品などを始めとするエンドポイントセキュリティや統合資産管理のソリューションを導入することが一般的となります。
採用するソリューションにより機能は若干異なりますが、以下のような機能はおおむね共通して提供されており、これらを活用することで、境界型セキュリティで提供されてきたような、振る舞い検知やアクセス先に基づく通信制御もある程度実現できます。

• 不正プログラム（マルウェア）の検知・隔離機能
• 端末の振る舞い検知による脅威の検出機能（端末単体の検査と複数端末に渡る検査）
• 端末の脆弱性情報（OSのアップデート状況や脆弱なアプリケーションなど）の収集
• アプリケーション識別などによる端末の通信制御機能

 

ネットワークセキュリティの必要性

それでは、前述のようにSaaSが提供するセキュリティ機能とクライアントでのエンドポイントセキュリティの2つだけを利用すれば、十分なセキュリティを担保できると考えても良いでしょうか？
ここで、高度な標的型攻撃などによってエンドポイントセキュリティがすり抜けられてしまう場合を考えてみましょう。もしエンドポイントセキュリティをすり抜けられて正規のユーザー情報とアクセス権限を奪われてしまうと、SaaS上の情報資産にも容易にアクセスされてしまいます。

図１に一般的な標的型攻撃の例を示します。ここ数年被害が拡大しているEmotetなどの攻撃がこのような形式を取っています（COVID-19の拡大に伴い、COVID-19関連のメールを装うEmotetの活動も確認されています）。

図1：標的型攻撃の例

図1の攻撃では、最初の添付ファイルを含むメールの受信からマルウェアをダウンロードするまでの間は、クライアント端末に存在する一般的な機能を利用することにより、エンドポイントセキュリティからは通常の動作と不正な動作の区別が出来ないようにしています（環境寄生型攻撃と呼ばれます）。
この手法の怖さは、「メールの添付ファイルにもマルウェアが含まれていないため、メールセキュリティでも検知できない」ことにあります。
添付ファイルのリンクから最初にダウンロードされるPowerShellスクリプトやシェルコードは一般的な内容であるために阻止されず、PowerShellによるシェルコードの実行も通常の動作として認識されます。また、マルウェアをメモリ上にダウンロードして実行することで、記憶装置上に不正なファイルが生じないようにして、エンドポイントセキュリティによる検知を回避しています（ファイルレス攻撃と呼ばれます）。

このような攻撃でエンドポイントセキュリティを回避された場合は、クライアント端末側では振る舞いのログを十分に取得することが難しく、事後に攻撃の原因分析や影響範囲を把握することも非常に困難になります。
その一方で、この一連の攻撃では必ずネットワークを経由してファイルのダウンロードやC＆C（コマンド＆コントロール）サーバーとの通信、情報の窃取を行っていることが分かります。
従って、このようなログに残らない情報も含めたネットワーク上の振る舞いを監視することで、攻撃発生の検知やそれに応じた防御、インシデント後の原因分析や影響範囲の把握が可能になります。

このように、SaaSの活用とリモートワークが進む環境下においても、十分なセキュリティの担保のためには、SaaSのセキュリティ機能の利用とエンドポイントセキュリティの利用に加え、通信における振る舞いを監視するためのネットワークレベルでのセキュリティを考慮する必要があるのです。

 

その対処方法は？

ネットワークレベルでのセキュリティの必要性はご理解いただけたと思います。ネットワークレベルでクライアント端末の振る舞いを十分に把握するには、クライアントとインターネット間の垂直方向のトラフィックだけでなく、特に社内であれば、クライアント間の通信や社内にあるサーバーなどとの通信のような水平方向のトラフィックも含めた監視が必要です。
先に述べたEmotetにも、アクセス可能なWi-Fiアクセスポイントを通じて、Wi-Fiに接続された他のクライアント端末に感染を拡大するものが発見されています。

これらの垂直/水平方向の通信を監視するには、パケットキャプチャに基づいて標的型攻撃を検知するタイプの製品を利用することが有効です。
また、インシデント発生時の原因究明には、同じくパケットキャプチャに基づくネットワークフォレンジック製品を導入することで、どのタイミングでどのようにクライアント端末が感染し、どのように感染が広がったか、どのような情報が窃取されたかを追跡することができます。

クライアント端末が標的型攻撃を受けている際のネットワークレベルの活動のうち、図1に青字で示されているように、外部のダウンロードサーバーやC&Cサーバーとの通信、または標的型攻撃の最終段階にあたる情報の窃取段階においては、主に垂直方向のトラフィックに対してHTTPSなどのSSL/TLSを用いた通信の暗号化が行われ、活動の詳細を隠ぺいする手段が取られます。
通信がSSL/TLSで暗号化されてしまうと、通信の中身を見ることができなくなってしまい、上記の標的型攻撃向け製品やフォレンジック製品は十分な能力を発揮することができません。

そのため、ネットワークレベルでのクライアント端末の振る舞いを十分に把握するためには、SSL/TLS通信を可視化する必要があります。それにより、十分な情報を含むパケットキャプチャに加え、詳細な通信ログの取得や脅威情報に基づき通信を制御することができ、高度な攻撃に対する有効な防御も実現できます。

 

次回は、SaaSの活用やリモートワークが拡大する中で、SSL/TLS通信を可視化したセキュリティ対策を取る具体的な方法とその課題について概説します。

 

---

石塚 健太郎（いしづか けんたろう）

A10ネットワークス株式会社
・ソリューションアーキテクト
・博士（情報学）

マルチクラウドやクラウドサービスの活用に繋がるソリューションの開発・提案を担当し、SSL可視化ソリューションについても、国内シェア1位を誇る同社の知見を日本企業に展開している。

---

シリーズ【SSL可視化とセキュリティ】１）可視化が求められる背景

シリーズ【SSL可視化とセキュリティ】２）ソリューションと導入のポイント