メールを標的とする巧妙な攻撃を多層的にシャットアウト　クラウドならではのユーザー価値も究める

　人々のコミュニケーション手段として今なお中軸にあり、ビジネスにも不可欠な存在であり続ける電子メール。さすがにセキュリティ対策を講じていない企業は皆無といってよいだろうが、それでもメールを発端とした情報漏えいやマルウェアへの感染、フィッシング詐欺といった事案が後を絶たないのが実状だ。

注目集める「クラウド型メールセキュリティ」

　ソリトンシステムズの森智哉氏（ITセキュリティ事業部技術部テクニカルサービスグループ 担当部長）は、「メールに対する攻撃の手口は巧妙化するばかり。メールを感染源としたマルウェアの拡散スピードも増す一方で、新種が発見されてから3分後には世界中に蔓延しているといったことも珍しくありません」と脅威の近況を語る。

　シスコシステムズの國分直晃氏（セキュリティ事業 テクニカルソリューションズアーキテクト）も同意しつつ、「標的型攻撃と呼ばれるもののほとんどはメールが入り口となっています。近年では多層防御が謳われ、エンドポイントで脅威の検知、対応を行うEDR（Endpoint Detection and Response）製品の導入も広がりつつありますが、まずはセキュリティ事故の主な発生源となっているメールに対しての防御をより盤石にすることを強く意識しなければなりません」と指摘する。

株式会社ソリトンシステムズ ITセキュリティ事業部 技術部テクニカルサービスグループ担当部長 森智哉氏

シスコシステムズ合同会社 セキュリティ事業 テクニカルソリューションズアーキテクトCISSP 國分直晃氏

　もっとも、企業が様々なセキュリティ上の脅威にさらされている中にあって、対策にも時宜に沿った考え方やソリューションを取り入れていかなければ、運用の負荷やコストは増えゆくばかりである。かつてのように、何から何まで自分達で担っていこうというアプローチは自ずと限界があり、とりわけ、スピード感がものを言うメールセキュリティ対策には新機軸が必要だ。

　そうした背景で注目を集めているのが「クラウド型メールセキュリティ対策」である。クラウドサービスとして提供されるので初期コストを抑えられるほか、日々の監視や検知、防御やインシデント発生後の対処も任せられるため、運用負荷やコストを抑える効果が見込める。専門的な知見を備えたエンジニアやオペレーターが運用を担当していることから、新たな脅威の迅速な発見や対処など、実効的で高度な手立てを打てることも魅力だ。昨今はMicrosoft Office 365などクラウド型メールサービスの利用が増えており「セキュリティ対策も併せてクラウド化したい」という声が増えていることも追い風となっている。

前身となる製品の時代から長年にわたって扱ってきた「CES」

　ソリトンシステムズが市場展開しているクラウド型メールセキュリティ対策サービスが、「Cisco Cloud Email Security（CES）」だ。森氏は「当社は2003年から、CESおよび、そのアプライアンス型製品『Cisco Email Security Appliance（ESA）』の前身となるIronPort Systemsのメールソリューションを手掛けてきました。2007年にシスコシステムズがIronPort Systemsを買収した後もディストリビュータとして取り扱いを継続、2012年にはシスコシステムズとリセラー契約を結ぶなど、約16年間にわたって実績とノウハウを蓄積し、お客様に最適なメールセキュリティソリューションを提供し続けてきました」と、これまでの関わりを説明する。

攻撃を「多層的」に防御

　CESの優位性は、メールに関するあらゆる脅威への備えを「多層的に」網羅できている点にある（図1）。以下にCESが実装している主要な機能をピックアップして解説していこう。

図1：CESはメールに対する脅威を多層的に防御する

　はじめに「メールレピュテーション」が、201段階にスコア付けされた送信元IPアドレスの評価に基づき、メールの排除や受信制御を実施。続く「メールフローポリシー」は受信メールのサイズ制限や、1時間あたりの受信者の最大数など、きめ細かな制御を担う。「受信者コントロール」では受信すべきドメインを設定、それ以外のドメインから送信されるメールを拒否するものだ。「お客様が受信するメールにもよりますが、ほとんどの場合において、この3段階までで、悪意のある、あるいは不審なメールの8～9割程度を遮断することができます」（國分氏）という。

　「アンチスパム」では、Ciscoが独自に開発した「CASE（Context Adaptive Scanning Engine）」を利用したスパムフィルタにより、添付ファイルの名称やメールヘッダの詳細を分析してスパムか否かを判定。「アンチウイルス」においては、標準でソフォス社のアンチウイルスエンジンを利用でき、オプションでマカフィー社のエンジンを選択することもできる。さらに新種のマルウェアには、「AMP（Advanced Malware Protection）」テクノロジーを活用したファイルレピュテーションとファイルサンドボックスで対応。ファイルが添付されたメールの受信時に疑わしいファイルを発見した場合、添付ファイルのハッシュ値を計算し、シスコシステムズのファイルレピュテーションデータベースに送信し脅威を判断する。怪しいファイルと判断した場合には、さらにサンドボックス解析を実施して判断し、マルウェアと判断された場合に、添付ファイルの削除やメール自体の削除といった処理を行う。

　新種のマルウェアの発生後、アンチウイルスベンダーから定義ファイルが提供されるまでの間にマルウェアが拡散することを防止するのが「アウトブレイクフィルター」だ。「近年では新種のマルウェアが出現すると同時にその亜種も発生するケースが増えています。アウトブレイクフィルターは、シスコシステムズのデータベースとの連携で、新種のマルウェアと類似したファイルが添付されたメールを識別し、いったん隔離します。そして定義ファイルの提供後には、該当するメール以外は解放するのです」と國分氏は説明する。

侵入してしまった脅威への対処

　CESが提供するテクノロジーの中でも特にユニークなのが「ファイルレトロスペクティブ」だ。最近ではサンドボックスを回避するよう仕組まれたマルウェアも頻出しており、一度通過したファイルが後でマルウェアだったと判明するケースも発生している。ファイルレトロスペクティブは、通過時に記録されたファイルのハッシュ値をクラウド上で継
続的に追跡し、後からマルウェアと判定がアップデートされた場合には管理者に通知したり、該当ファイルを隔離したりすることを可能にするものだ（メールの削除はO365連携時のみ）。この仕組みにより、マルウェアの発生をいち早く管理者が察知し、感染による被害拡大を防ぐことが可能となる。

　メールの送信においては、一日あたりの送信数を制御する「メールフローポリシー」や、機密情報の漏えいを防ぐ「DLP（Data Loss Prevention）」対策、暗号化などの機能を用意している。

すべての礎となる「Talos」、さらにソリトンも付加価値を

　こうした高度なメールセキュリティの具現化を支えているのが、シスコシステムズのセキュリティオペレーションセンター「Talos」だ。100以上の脅威インテリジェンスパートナーとの協力のもと、日本を含めた世界4カ所にデータセンターを設置し、300人以上のリサーチャーが24時間365日体制でグローバルでのセキュリティ管理や脅威分析を実施。一日あたり全世界で流量しているメール数の35％にあたる6,000億通の解析をはじめ、150万/1日のマルウェアサンプルの収集、200億/1日の脅威のブロックを実現している（図2）。

　「こうしたTalosのインテリジェンスを活用したCESは、第三者調査機関からもその性能を高く評価されています。実際、誤検知率も100万件に1通であり、この数値はSLAとしても謳っています」（國分氏）とのことだ。

図2：CESの高度な機能群はTalosに集約するインテリジェンスがベースになっている

　CESの販売パートナーとなるソリトンシステムズの強みとしては、前述した16年間にわたる実績とノウハウに基づく高い技術力・提案力を筆頭に挙げることができる。1200社以上への導入実績を有するだけでなく、IronPort Systemsの時代から自社導入による運用も継続して行っているなど、その経験値と積み重ねてきたノウハウは他社にない大きな優位点だ。

　ソリトンシステムズはユーザーからの要望に基づき、大規模企業への提案だけでなく、中小規模企業のメールセキュリティ対策用に、必要な機能をコンパクトにまとめたバリューパックの提供も開始する計画だという。

　森氏は、「シスコはセキュリティ分野での積極的な投資や買収によって製品群を強化してきました。ソリトンはCESが最も優れたメールセキュリティソリューションだと確信し
ており、その上で私たちなりの実績とノウハウを活かす形で日本市場向けに独自の付加価値を提供していきます。すべては顧客企業の安全・安心のためであり、必ずやお役に立てると自負しています」と力強く取材を締めくくった。