近年電子メールに関連したリスクは巧妙化・多様化
しており、
ネットワーク管理者の悩みは尽きることが
ありません。
メッセージングセキュリティソリューション「Proofpoint」
は高い検知率と柔軟なポリシー設定、管理の容易さで、
企業インフラを防御します。
~怪しい動きを監視し、後から脅威と判明した場合でもユーザーを保護~
ウイルス-スパム-フィッシング-スピア フィッシングと進化してきたメールの脅威は、現在APT/標的型サイバー攻撃としてさらに脅威の度を増しています。APT/標的型サイバー攻撃は、特定のターゲットに向けた少量の攻撃であることから、従来のシグネチャやレピュテーションによる検知が有効に働かないという問題があります。
Proofpoint Targeted Attack Protection™ (以下「Proofpoint TAP」) は、この問題を全く新しいアプローチで解決します。それは、「継続的に異常を監視し、後から判明した脅威からもユーザーを守る」というものです。
Proofpoint TAPはビッグデータ技術を使ったアノマリティクス解析、URLを書き換えて危険なサイトへのアクセスを防ぐ Click-Time Defense、サンドボックス機能などを組合せ、ダッシュボードによって常に脅威を監視することにより、潜在的な脅威を監視し、脅威を見つけ次第それを無効化することができるのです。 Proofpoint TAPのアプローチはシグネチャやレピュテーションに頼らないため、将来APT/標的型以外の脅威が現れても有効に機能します。コンピュータセキュリティはこれまで、新しい脅威が現れるとそれに対抗する、といった後手に回る対応しか取れませんでした。Proofpoint TAPは、新しいアプローチで、初めてメールセキュリティ分野で先手を打つことができるのです。
Proofpoint のアノマリティクス解析はビッグデータ技術を元にしており、ネットワーク上のトラフィックを数百もの要素についてリアルタイムに分析します。これらの分析と過去のメールトラフィックパターンの分析から、メール送信元の「通常」の行動パターンをモデル化し、過去と異なる挙動 (アノマリー) を示した場合に、疑わしい攻撃と判断します。
最近の APTメッセージ自身にはマルウェアを含まず、外部の(マルウェアに感染した、あるいは乗っ取られた)URLに誘導する手法が多くとられます。セキュリティソリューションの中にはメッセージ中のURLを検査してマルウェア判定を行う高度なものもありますが、攻撃はさらに高度化しています。メール配信の時点では正常なままにしておき、後からそのサイトにマルウェアを仕込むという攻撃では、メールゲートウェイを通過した後ですから、従来型のセキュリティシステムでは対抗できません。
ProofpointTAPのURL click-time defense (Follow-me Protection)は、受信したメッセージに含まれるURLを書き換え、そのURLをクリックしたユーザーはいったん Proofpoint に接続するようにします。ユーザーによりURLがクリックされるたびに、ProofpointTAPがその URLが危険なもので無いかどうかを検証し、安全であればそのURLへリダイレクトし、脅威であることがわかれば、アクセスをブロックします。 いったんURLを書き換えてしまえば、そのメッセージが外部に転送された後でも、ユーザーが社内ネットワークでなく社外のネットワークやモバイルデバイスからアクセスした場合でも保護は有効で、長期にわたって継続的にユーザーを守ることができます。
シグネチャベースの検知システムでは検知しにくいゼロアワー攻撃やポリモーフィック型のマルウェアを安全かつ確実に見つけ出すために、疑わしいファイルをいったん安全な環境に隔離して、攻撃行動を起こすかどうかを監視する「サンドボックス」の活用が広がっています。
サンドボックスは物理マシンあるいは仮想マシン上に構築された仮想環境で、その中で疑わしいプログラムを起動させることにより、安全に挙動の観察が可能になるのです。
しかし、サンドボックスの普及に従い、 サンドボックスを回避する攻撃も増えてきています。サンドボックス側も常に進化を続けなければならないのです。こういった環境下では、クラウドベースのサンドボックスが有効です。クラウドベースなら、最新の情報に基づいた解析を効率的に行う事ができます。世界のどこかで起こった攻撃が5分後に自社を狙ってきても、効果的に防御できるのです。
Proofpoint のサンドボックスはクラウドベースで、疑わしいURLのリンク先に含まれるマルウェアやメールに添付されたファイルの挙動をリアルタイムに解析することができます。
ProofpointTAP の Threat Insight サービスは、Webベースのダッシュボードとカスタマイズ可能な警告システムにより、攻撃状況をリアルタイムに可視化し、素早い対応と復旧を可能にします。
右はTAPダッシュボードの画面例です。特定のURLについて、画面にそのURLがマルウェアを含んでいることが判明したことが表示されており、その右にこのURLを含むメールの受信数、受信時点でブロックした数、URLを書き換えた上で配信した数が表示されています。 さらにその右に、配信されたメールを受け取った受信者が実際にクリックされた数が1であったことが表示され、そのクリックは許可されたこと(脅威を含むURLにアクセスしてしまったこと)がわかります。
管理者は受信者をすぐに特定できますから、必要な措置を講じることができます。
Proofpoint TAPは、クラウドベースのソリューションですから、導入や設置作業が必要ありません。メールストリームをProofpoint TAPにリダイレクトして頂くだけで、すぐに使い始めることができます。Proofpoint Enterprise Protectionを、お客様環境のアプライアンス(物理または仮想)で利用し、TAP機能だけをクラウド環境でご利用いただくオンプレミスゲートウェイ型と、全ての機能をProofpointのクラウド環境でご利用いただくオールクラウド型の形態があります。
メールサーバをクラウド環境でご利用になっている場合には、オールクラウド型でのご利用が容易です。