企業のセキュリティ対策なら スワットブレインズ

ブログ

スワットカメラ

スワットカメラにようこそ!!
スワットカメラは、弊社の営業や技術スタッフが、販売店の皆さまやお客様とお仕事させていただいたときの”こぼれ話”を中心に、弊社がある京都での話題などをブログ形式で掲載していきます。
どうぞ、末長くご愛読いただけますようお願いします。

ブログトップ

  • 電子メールの「無害化」というキーワード[特別キャンペーン含]

    2016年度、平成28年度は、主に官公庁や全国全ての自治体様にてこのキーワードが大切になっております。

     

    昨年から注目されている、数多くのマルウエア感染による情報漏えいやランサムウエアによる業務停止、金銭不正要求など、事故や事件が増えています。

     

    これらの対応を実際に行うために、総務省を中心とした全国1,700以上の全ての自治体では、今年度からネットワークの構成を含めて、IT運用のワークフローも、セキュリティ環境の再構築まで実施されることになっています。

     

    さて、その中でも特に注目されているのが「電子メールの無害化」というキーワード。

     

    これは、簡単に言うと以下のように考えられます。

     

    • 電子メールに添付されて届いた添付ファイルは、そのファイルの中に検知が難しいマルウエアやウイルスが含まれているかもしれない。
      だから、電子メールの添付ファイルは、取外してから、内部に取り込む。
    • 電子メールには、HTMLメール形式のように、目には見えない形の文字列がメール本文に含まれていたり、画像などが貼り付けられていてそこから、確認しづらいWebサイトに誘導されて、不正なプログラムへアクセスされる。

     

    こんなことが、自治体の大事な情報を扱うネットワーク内端末で発生すると住民情報などの漏えいが発生する可能性や、自治体業務を行うパソコンが停止したり、業務システムが破壊されたりする心配があります。

     

    しかし、自治体のパソコン操作をする人の全てが、ITに精通し、セキュリティの知識が常に最新で、不明な点が無いだけの知識がある…ってことは無いので、反対に、パソコンに自信が無い人でも、出来るだけ安心に仕事が出来るような仕組みを作る必要がある訳です。

     

    その環境を作ること。その1つが「電子メールの無害化」です。

     

    都道府県の各地域自治の最上位単位で、方針を決めて、各地域の自治を行う市町村のそれぞれが、地域全体の方向性に沿ってシステムを構築します。

     

    弊社では、この自治体でのシステム構築を、現地のパートナー様と一緒にご提案しています。

     

    また、ご提案する製品の開発元様と、綿密な情報交換や提案事例などを整備し各地に安心して運用できる仕組みの提案を行っております。

     

    「添付ファイルを無害化する」とか「HTMLファイルをテキストに変換する」とか実行できる仕組みを、多くの製品では言葉にしています。
    だけど、これまで実施してきた、【普段の業務】が、継続的にできなくなったり大きく手順を変えなきゃいけなくなった…ってなると、仕事が遅くなってしまったりミスが多くなったりしがちです。
    それは、残念ですね。

     

    そんなことになると、自治体として提供しないといけないサービスに影響が出て住民からのクレームになります。

     

    結果的に、安全で簡単で情報セキュリティ事故が起きにくい環境を、税金を投入し構築したところで、住民のみなさんに迷惑を掛けることになります。

     

    これではダメです。

     

    つまり、「出来ることの機能の名称」を並べて比較して、後は金額を重ねて書いてそれで判断すると、後から困ります。
    そして、導入後は最低でも5年間程度は、その困った状態で継続することになります。

     

    だからこそ、「出来ることの機能の名称」で判断せず、「それを入れた場合に、従来業務とどこがどう変わるのか?」と、面倒でも細かく確認することが大事です。
    例えば・・

     

    • 添付ファイルを引き離して、添付ファイル無しメールに変換した。そして、元々添付されていたファイルの名称を、メール本文の文末に列記して、メール受信者に判るようにした。

      ⇒ 一見、配慮された仕組みに見えます。でも、「メール本文の文末」に添付されてたファイル名を記載されても、1通目の初メールであれば気付けるかもしれませんが、何度かやり取りをしたメールだったら、【文末ってどこ?】ですか。見落としませんんか?
      いちいち、今回届いたメールの添付ファイルは、これまで数回のメールやりとりを実施した、履歴分の、さらにその下に記載されています。
      これでは、添付ファイル名を見落とします。そして、添付ファイルがあった事を後から見たら、気付けないです。
      そして、長く使うと、使いづらくてクレームなどになるでしょう。

    • 添付ファイルを外し、HTMLメールをテキストに変換し、テキスト化したメールを安全なメールとして内部に取り込む環境に変えた。

      ⇒ これは、最も普通の要件です。これに対応したけど、安全なメールとされて内部に届いたメールのヘッダー情報が、本来のメールと書き換わってしまってそのメールについて、相手の情報を調査する場合にメールのヘッダー情報がメール無害化システムの都合で書き換わってしまっていたら。
      結局、何も調査が進まず、また、メールの返信を行う際に、正しい情報が連携出来ないメールとなり、後から困ります。

       

    …ってことも想定されます。

     

    弊社では、出来るだけ、細かい点にも注意を配り、これまでの業務の進め方に配慮を可能な限り行って、判りにくくない・使いづらくない、そういうシステムの提案を心がけています。

     

    弊社では、自治体向けの『特別キャンペーン価格』のご提案を、メールサーバのシステムで行っています。
    きっと、民間企業や団体が、これを知ると怒るだろうなぁ。と思うほど。

     

    自治体が、今回の「セキュリティ対策」を実施するために、見直しや再構築、そして新しい仕組みの導入を考えると、ものずごく広範囲な部分に対して対応が必要になります。

     

    そして、金額的な負担も非常に大きくなります。

     

    弊社では、そのような背景も踏まえて、どうしても必要になると言える、メールサーバの再構築や新規構築で、コスト的にもお役に立てる提案を想定しパートナー各社とご紹介しています。
    もし、これから「メール無害化」を最終的な方針検討を行うとか、色んな提案が絡み合って複雑になってしまったようなタイミングであればご相談ください。

     

    まずは、1枚モノの、絵にした資料をご紹介します。
    今回の、総務省通達に沿った形で、「細かいところまで考慮した形」を1枚の絵にまとめたものになります。

     

    大事なことは「機能の名称」と「価格」だけを重ねた比較表で決めないこと。
    新たに必要な「機能」を採用したら、今のメールや添付ファイルと、どこがどう変わるのか? って、細かく確認しておくべきです。

     

    初めてのメール。1通目のメールの受信時ケースだけじゃないのです。
    2往復目、3往復目…と、1つのメールが何度も返信を重ねて送りあうこともあるのです。
    そうなったとき、メール内の文字が、どこにどう配置されるかはとっても重要です。名前だけで選ぶと、後から残念な気持ちになるかもしれません。

     

    そんな細かいことが、事前に明確化出来てないと、システム構築をした後にそれから数年間、ずっと苦情やクレームと対峙しながらシステム運用を実施していくことになります。
    そんなことにならないように、是非とも、慎重に。

     

    ※Webサイトに掲載していない製品については営業までお問合せください。

     

    (Vol.104)

    ------------------------------------------------------------------------------------------------

    Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。

  • OnePointWall で、マルウエア被害の”実被害”の無害化に新提案!

    2004年から提供されている「特定通信制御型ファイヤーウォール(Fire Wall)」の機能を提供する、OnePointWall(ワンポイントウォール) は、弊社から専用アプライアンスサーバに搭載したモデルをご提供しています。

     

    OnePointWall(OPW)製品は、かつて『NetWorld+Interop 2004 TokyoのBest of Show Award・ネットワークセキュリティ製品部門グランプリ受賞』と『2006年東京都ベンチャー技術大賞・特別賞を受賞』など、高い評価を受けた製品です。

     

    ネットワーク内部から外部への情報漏えい対策として、通常のFireWallでは制御出来ない通信について、指定(設定)した通信が発生した場合に、「検知・遮断」の機能を提供します。

     

    OnePointWall製品は、弊社が提供する製品の中でも、非常に多くのお客様に導入していただいており、10年以上のご活用をいただいているお客様もあります。

     

    元々、P2Pファイル共有ソフトの通信を遮断する点に高い注目をいただきました。

    Winny、WinMX、Share、bit torrnet などです。

    それ以外にも、VPN接続、インスタントメッセンジャー、BBS書き込み、チャット、ファイル共有サービス・オンラインストレージへのファイルUPLOAD、さらには、オンラインゲーム、音楽や画像・映像のストリーミング、オンライントレード・オンライン取引などの通信も見分けて「検知・遮断」します。

     

    ※詳しいルールについては、お問合せください。

     

    その結果、故意に行われる内側から外部へのネットワークを使った情報漏えい操作を阻止することが出来ます。また、意図しない同様の操作についても阻止できます。

     

    そんなOnePointWallに、昨年2015年12月、全く新しい機能が追加されました。

     

    その機能は「C2ルール」と言います。

    提供される機能は、標的型攻撃の際に利用される”C&Cサーバ”へ、マルウエアに感染した内部端末から実施される「不正通信」を検知し通信を阻止します。

     

    マルウエアと呼ばれるプログラムの中には、最初に感染した時の不正プログラムでは特に悪い行動をせず、感染したパソコンの情報を調べたり、接続されるLANの様子を調べるだけの動きをするものがあります。そして、その情報を、マルウエアのオーナ側に伝えるため、インターネット上に用意された「通信サーバ」へ、こっそり通信を行うと言われています。

     

    この「通信サーバ」の事を「C&Cサーバ(Command and Control server)」と呼びますが、OnePointWallでは、LAN内の端末が、このC&Cサーバへ行う通信を検知して、遮断を行うことができます。

     

    OnePointWallが、C&Cサーバへの通信を遮断することで、マルウエアは、次のステップ(進化?)に進むことができません。その結果、何らかの悪意のある操作が未遂に終わり、”実被害”に遭わずに済みます。

     

    OnePointWallが、C&Cサーバへの通信を見分けるために使用する情報は、株式会社LAC社が運営する、セキュリティ監視センター「JSOC®」(Japan Security Operation Center)の持つ情報が適用されています。

     

    JSOCは、国内トップの技術力と実績を誇ります。中央省庁をはじめ、国内有数の企業や団体のネットワークを監視し豊富なデータを持ち、国内での不正攻撃に関する知見は高いと言えます。そのデータベースの内容を、OnePointWallに搭載することで、OnePointWallの通信検知と遮断の能力は、非常に高いものとなります。

     

    OnePointWallでは、このLACからの情報を、毎日更新し導入先のネットワーク通信を監視します。

     

    この新機能は、従来からの機能と一緒に搭載し、動作します。

    そのため、OnePointWallは、導入された企業や学校、団体において、効果的な「ネットワークからの情報漏えいを防止」する仕組みになります。

     

    内部端末に感染したことが、発見しづらい不正プログラムが、裏側でこっそり実施する「C&Cサーバ」への通信を検知・遮断する仕組みで、不正攻撃からの”実被害”のリスクを大幅に低減しましょう!

     

    ※Webサイトに掲載していない製品については営業までお問合せください。

    ------------------------------------------------------------------------------------------------

    Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。

  • FFR yarai は、遅いし、重いのか?

    標的型攻撃に関する話題で、弊社は、FFR yaraiをご紹介しています。

     

    10名規模の導入検討案件から、3,000名、4,000名と、いう規模の検討案件もいただいております。

     

    また、パートナー各社様からも、FFR yaraiを提案していただくためにあれこれとご質問を良くいただいております。

     

    そしてもちろん、弊社自身も導入を検討されているお客様先へ良く伺います。

     

    そんな中で、良く質問されるのが

    • FFR yarai を導入したら パソコンの動きが悪くなるの?
    • FFR yarai を導入したら ExcelとかPPTの動きが悪くなるの?
    • FFR yarai を導入したら 業務が出来なくなるの?

    などです。

     

    これ、全部 デマ です。
    そう 嘘 です。

     

    現実に、検証導入や、動作テストの名目で、お客様の実際の端末にインストールしていただき、その後、結果を伺ってみますと…

    • 導入してることを忘れる位に、通常業務に影響は無かった。
    • 試しに、試験的なマルウエアを入れた時だけ、アラート表示などが画面に出たが、それ以外は、導入していることを忘れるくらいだった。

    と、感想をいただいております。

     

    もちろん、弊社の業務で使用しているWindows端末(7,8.1,10)にも導入し稼働していますが、FFR yarai導入前後に差があるようには感じません。

     

    非常に残念なことではありますが、弊社のお客様先で実際に聞いた話として他社の提案者さんが、ネガティブな話を説明されていると聞きました。

     

    自分の提案製品を採用してもらうために、FFR yaraiに対しNGという印象を与えたい気持ちは判りますが、堂々と検知実績や、製品の仕組みの提案でお客様にご判断をいただくようにしましょうよ。

     

    アンチウイルスソフト等、FFR yaraiのように、保護したい端末に適用して稼働させるソフトウエアの導入に対しては、導入されるお客様も導入後に業務に影響が出ることへの心配を持たれます。

     

    当然です。

     

    良く言われる、”導入したら、端末のCPUの負荷は○%程度(以下)ですので影響は無いと思います”ですが、もしこれをFFR yaraiで言うとしたら1%以下とご紹介しています。

     

    端末(エンドポイント)の中で、CPU負荷が高くなる理由は、HDD(ハードディスク)へのアクセス処理時間(I/O時間) です。
    FFR yaraiの場合、シグネチャを持たないため、シグネチャ比較などを行う意味での HDD(ハードディスク)への繰り返しのアクセスがありません。

     

    もちろん、”疑わしいファイル”と思った場合は、FFR yaraiが持つエンジンで徹底的に調べる動作が実行されますので、CPU負荷は上がると思います。
    しかし、”疑わしい”を調べる間の、僅かな負荷の上昇が…

    • FFR yarai は、動作が重くて処理が遅くなる。

    という製品自体にマイナスな印象を与える理由になるとは思えません。

     

    むしろ、軽さだけを差別点にして、”疑わしいファイル”を、疑わしいと判断せず「問題無し」と判断する方が、首を傾げます。

    その点では、

    • FFR yarai は、誤検知が多い! (たぶん、過検知の意味だと…)

    というネガティブ説明も、それに近いと思います。

     

    “疑わしいファイル・疑わしい動作プロセス”を、「疑いあり!」とアラートで知らせることは、万が一「問題無し」とすり抜けた後のインシデント対応が発生したこと、と比較して考えるとリスク管理の観点では、どちらが望ましい動きになるでしょうか。

     

    過検知(か・けんち)は、あって当然だと思います。
    そして、過検知位の方が、重大なセキュリティ事故の事後対応を考えると問題は小さいと思います。

     

    誤検知は、意味合いが異なります。
    “問題の無いプロセス”として、FFR yaraiに定義したにも関わらず、同じことを検知し続けるような動作は、誤検知かもしれませんが。

    • 実際には、たいした検知も出来ないし、役には立たないですよ。

    …と言ってるアナタ。

     

    アナタのご提案されている製品は、ちゃんと役に立つのですか?
    話題の、マルウエアやランサムウエアは、その発見された時期においてちゃんと検知して動作を抑止できたのでしょうか?
    開発元さんは、それを公開公式情報として、開示されていますか?

     

    いずれにしても、弊社ではお客様に説明して、またお願いをしています。

     

    もし他社の方が…
    FFR yaraiを入れたら、端末が遅くなり業務に支障が出る」と
    説明された場合は、その方に…
    FFR yaraiを自分で使ったことがあるの?」と、
    聞いてみてください。と。

     

    それで、NO! と返事をされたら「デマやウソを言ってはダメですよ」と諭してあげてください。と。

     

    それでも納得されない場合は、弊社にご連絡をいただき、検証ライセンス版をお貸しするようにします…と。

     

    FFR yaraiは、スタンドアロンの状態でも検証できます。
    管理サーバや、アクティブディレクトリ(AD)等の認証サーバも不要です。
    1台でも、動作します。

     

    ちゃんと使ってみて、検知される実力も試し(その方法すら判らないなら無理ですが…)、それから、正しい話をお客様にご説明ください。

     

    良く受ける質問であり、また、他社の方が繰り返し説明されている話題でしたが、それを概要としてまとめると、

     

    FFR yaraiは、過検知があります。しかし、検知する側に振った許容範囲内と考えています。また、導入した端末の動作が遅くなり、従来の業務を遅延するような負荷は、全くありません。

     

    FFR yarai は、遅いし、重いのか?は、ウソとデタラメです。
    遅くないし、重くないです。

     

    ※お客様の端末環境によっては、FFR yaraiの導入が適さない場合もあります。
    導入前の時点で、必ず試験導入にて動作確認をお願いしています。

     

    ※Webサイトに掲載していない製品については営業までお問合せください。

     

    (Vol.102)

    ------------------------------------------------------------------------------------------------

    Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。

ブログトップ