SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【クラウド型メールセキュリティ対策を実現】Symantec ESS(Email Security.cloud Service)のご紹介

セキュリティ
2021.09.07

Symantecと言えばエンドポイントのセキュリティ製品で有名かと思いますが、その他の領域におきましても優れた製品が多くございます。

今回はその中でもメールセキュリティの製品であるESSについて紹介させて頂きます。

目次

  1. 昨今のセキュリティ攻撃動向
  2. ESS概要
  3. ライセンス体系、機能概要
  4. アーキテクチャの説明/ピックアップ機能のご紹介
  5. 導入をご検討頂いている方へ
  6. 本記事のまとめ

1. 昨今のセキュリティ攻撃動向

製品説明に入る前に、昨今のセキュリティ攻撃の動向につきまして簡単に触れさせて頂きます。

メールは最も狙われる攻撃経路

図1.png

メールは社内/社外の情報窓口であり基本的に誰でも扱うツールでもあります。

誰でも扱うということはITやセキュリティに対する知見が少ない人も多く含まれるということで、これは攻撃者にとって非常に好都合であると言えます。

実際にウイルスや不正プログラムの検出のうち9割以上がメール経由であるとされているデータもあるほどに、メールは最も狙われる攻撃経路となっています。

手法の多岐化/悪質化する攻撃

図2.png

攻撃手法も多様化していて対策は困難な状況となっています。

主要な攻撃手法としてスピアフィッシング、ランサムウェア、ビジネス詐欺メールなどが挙げられます。

スピアフィッシングはフィッシング攻撃をよりターゲットを絞った形で実施する攻撃で、「標的型攻撃」と呼ばれています。攻撃手法は自動化かつ巧妙化されてきており被害件数は年々増加傾向にあります。

ランサムウェアはウイルスを端末へ感染させ身代金を要求する攻撃ですが、ある調査にて影響を受けたセキュリティ脅威のランキングで1位に選ばれるほどでメール領域における脅威の枠を超えて影響を及ぼしています。こちらも現在は個人より企業をターゲットとした事例が増加しており企業として対策が必要となっている状況です。

ビジネスメール詐欺は文字通りビジネスを装った詐欺メールを送り付け金銭の送金などを依頼し騙し取る手法です。この攻撃においても被害額、件数の両面で増加しています。

このように様々な手法においてメールを経路とする攻撃の被害額や件数は増加しており、多くの金額を1度に奪えるビジネス領域にターゲットを絞った攻撃が主流になっていることから、企業としてメールセキュリティに特化した対策は必須であると考えられます。

 

2. ESS概要

クラウド型セキュリティソリューション

図3.png

SymantecのESSは先述しました脅威の元となるようなマルウェア、スパム、フィッシングなどメールの領域の中で脅威となる要素に対して一括で対応できるクラウド型のセキュリティソリューションプロダクトとなります。

対応範囲としてもOffice 365やGoogle Workspaceなどのクラウド型からオンプレミス環境まで幅広く対応可能となります。

またクラウド型サンドボックス機能やクリックタイムリンクフォローと呼ばれるURL解析機能などオプション機能も多彩に搭載されているので合わせて利用頂くことでより強固なセキュリティを実現することが可能です。

民間最大級のインテリジェンスDBとの連携による脅威検知

GIN.png

各種脅威に対する対策機能の豊富さに加え他社製品と異なる点は、Symantecとして持つ民間最大級とも言えるインテリジェンスDBの質と量になります。ESS単体としてもメールセキュリティ分野におけるマーケットリーダーとして日に10億以上のメールをスキャンするなど豊富な脅威情報を日々蓄積しています。それに加えてGIN(グローバルインテリジェンスネットワーク)と呼ばれるSymantecのインテリジェンスDBは全てのSymantecプロダクトから日々脅威情報を収集しており、それらを元にした人工知能は機械学習による高度な脅威検出を提供します。

 

3. ライセンス体系、機能概要

次にライセンス体系と各ライセンスにて提供される機能概要について記載させていただきます。

ライセンス体系と各種機能

図4.png

ESSのライセンス体系は「Safeguard」ライセンスがベースとなります。

このライセンスで提供される機能は、マルウェア・スパム対策/フィッシング制御(リンクフォロー)/振る舞い分析/なりすまし制御/データ保護/イメージコントロールとなります。ベースライセンスにおいても基本となる脅威の対策は担保されますため、まずはメールセキュリティを導入してみようとお考えの方においてはこちらのライセンスが適するかと思います。

上記の機能に加えてオプションの追加機能として「Email Threat Detection and Response with Isolation」がございます。

こちらにおいては、クラウドサンドボックス/クリック時URL保護/標的型攻撃の可視化/Email Threat Isolationの機能が提供されます。オプション機能を利用することでマルチレイヤー保護や一連のフローによる保護、高度な可視化が実現できますため、ハイレベルなセキュリティ運用をお考えの方は本オプション機能の追加をご検討いただければと思います。

また更にメール利用者向けの訓練メール機能やPBEと呼ばれるメール暗号化機能をフル機能で提供するアドオンプランがございます。こちらアドオン機能の詳細につきましてはお手数をおかけしますが、別途当社へお問い合わせをいただくようお願いいたします。

ベースのSafeguardライセンス

ではまず、Safeguardライセンスにおいて提供される機能について概要レベルで説明させていただきます。ベースライセンスでは、マルウェア・スパム対策/フィッシング制御(リンクフォロー)/振る舞い分析/なりすまし制御/データ保護/イメージコントロールの機能が提供されます。

図5.png

①マルウェア/スパム対策

人工知能/機械学習エンジンによる多層防御を実現することで高度化した標的型攻撃やマルウェアの侵入を防ぎます。スパム対策では日々数十億実施するメールスキャンやGINとの連携による膨大な量の脅威情報からスパムメールを判断しフィルタリングを実施します。

②フィッシング制御(リンクフォロー)

フィッシング制御機能としてESSはリンクフォローと呼ばれる機能を有します。この機能は受信メールに含まれるURLの情報をそのリダイレクト先まで全てチェックし脅威情報にマッチする場合は配送前に遮断および隔離する機能です。この機能でチェックしたURL情報も脅威情報DBに登録され、以後の脅威検知に役立てています。

③振る舞い分析(skepticヒューリスティック)

脅威情報とマッチングしない場合にもプロセスの挙動を見てマルウェアを検知する機能です。この機能にはSymantec独自の人工知能エンジンである「skeptic」が利用されています。skepticは膨大な量のサンプルデータを日々学習しDBを強化することで未知の脅威に対して高精度な振る舞いレベルでの検出を可能にしています。

④なりますまし制御

電子メール偽装制御機能のことで、ビジネスメール詐欺を主とした偽装攻撃を防ぎます。メールドメインを偽装した攻撃を停止したり安全だと判断できた対象(ユーザ、ドメイン、IPなど)をホワイトリスト化して利用することが可能です。保護対象は全てのユーザを基本としますが、特定のエグゼクティブなどフィルタすることも可能です。

⑤データ保護

送信者や受信者、メールに含まれる内容を条件として、組織のポリシーに沿ったメールの処理を適用する機能です。送信者/受信者で異なるポリシーを設定したり、ポリシー別の通知や通知メッセージの内容の編集など細かく設定し運用することが可能です。

⑥イメージコントロール

メールに含まれる画像情報を様々な手法を用いて解析する機能です。例えば画像が人間の情報であれば肌の色や表情、身体の輪郭などをチェックし疑わしい情報がないか判断します。ここでも蓄積データから経験に基づくヒューリスティックな分析を実施しています。問題があるとされた場合には管理者にコピーメールを送信/転送したり、メールを拒否するなどのアクションを実行します。

より高度な保護を実現するオプションを提供

Email Threat Detection and Response with Isolationライセンス

続きましてオプション追加で提供されるEmail Threat Detection and Response with Isolationの機能概要についてとなります。オプションライセンスでは、クラウドサンドボックス/クリック時URL保護/標的型攻撃の可視化/Email Threat Isolationの機能が提供されます。

図6.png

①クラウドサンドボックス

「Cynic」と呼ばれる独自のクラウド型ベアメタルサンドボックスを用いて、隔離環境で疑わしいプログラムやプロセスを実行します。ベアメタル型によりHWにも環境を持つことで、仮想環境であることを見抜いてサンドボックスの検査をすり抜けようとするマルウェアに対しても攻撃検出が可能です。GINとの連携による高度な脅威検出、VM型マルウェアへの対応、マルウェアの進化情報を迅速に更新、様々な形式のファイルに幅広く対応可能といった特徴が挙げられます。

②クリック時URL保護

リンクフォローに続くフローとしてクリック時のURL保護機能を提供します。具体的にはリンクフォローによるチェック時には脅威と判断されなかった情報に対して再度Symantecインフラをアクセスするように変更した状態でメールを配送する機能となります。ユーザがメールに記載されたURL情報をクリックした段階でもう一度リンクフォローによる検査を実施し、問題のあるサイトへのアクセスは遮断する仕組みとなります。この機能によって着弾時には問題のなかったメールが時間差型で脅威へと変化するような方式の攻撃に対しても保護を実現することが可能となります。

③標的型攻撃の可視化

ESSでは60以上にも及ぶデータポイントから悪意のあるメール/クリーンなメールの両方の情報と、セキュリティ侵害の証拠や痕跡(IOC)を可視化することが可能になります。それによって高度な標的型攻撃に対する対応を加速させます。更にSIEMへインテリジェンス情報を出力することでより効果的に脅威に対しての対応を実施できます。具体的には標的型攻撃の受信者の可視化、エンドポイントと脅威の相関情報の取得、Web ProxyへのURLフィード、脅威のパターン認識やメールログの監視などのベネフィットが挙げられるかと思います。

④Email Threat Isolation(ETI)

Email Threat Isolationはシンプルに表現するとWeb分離機能となります。メールのURL先アクセスや添付ファイルの閲覧から端末を完全に隔離する機能になります。URLや添付ファイルに対するユーザジェスチャーをクラウド上の使い捨てコンテナ上で実施させることで実現し、ユーザ端末にはレンダリングされた安全な情報のみが届くアーキテクチャとなります。この機能を使うことでメールを経由したユーザクレデンシャルの盗難防止やランサムウェアを含むマルウェアの対策を中心として、ソーシャルエンジニアリングからの保護の実現が可能になります。

 

4. アーキテクチャの説明/ピックアップ機能のご紹介

本項では、改めてESSのアーキテクチャの説明と機能をピックアップし紹介させていただければと思います。

多層に渡る保護を可能にするセキュリティアーキテクチャ

図7.png

ESSのアーキテクチャは、インテリジェンスDBであるGINとの連携によるマルチレイヤーのスキャン技術での脅威検知機能や、検出を逃れた脅威に対してもサンドボックス機能によって検出と可視化を行うなど多層に渡る保護を実現します。またURLリンクについても一連のフローによって端末に脅威を踏ませない構造となっており受信したメールが端末に取り込まれるまでに多様な機能を用いて脅威の検出を実現しています。いずれにおいても局所的な対処ではなく、着弾したメールが端末に取り込まれ実行されるまでの各フェーズにおいて保護を実現するような構造になっていることから様々な手法による攻撃を阻止することが可能になります。

一連のフローによって保護を提供

図8.png

また主にURLを利用した攻撃に関連した内容となりますが、リンクフォロー/クリック時URL保護/ETIといった局所的でなく一連のフローに沿った形式で保護を実現するようになっています。メール着弾時にリンクフォロー機能を用いてメール内のURL情報の脅威の有無についてまずチェックします。時間差攻撃などの手法によりリンクフォローによる検査をすり抜けた脅威に対してもオプション機能のクリック時URL保護を使えばユーザがURLをクリックしたタイミングで改めてリンクフォローを実施し脅威の遮断が可能です。最終的にはリスクレベルの判定によって脅威と判断されたURLに関してはETIの機能を使ったWeb分離を実施することでユーザを完全な状態で脅威から保護することが可能になっています。

ピックアップ機能のご紹介:PBE(メール暗号化機能)

図12.png

各ライセンスの主機能概要にはない機能となりますが、1つ機能をピックアップして紹介させていただきます。PBEと呼ばれるメール暗号化機能についてとなります。この機能は重要なメールの盗聴・改ざんなどを未然に防止する暗号化サービスとなります。利用方法としてはサービス利用ユーザから送信するメールを予め指定したポリシー(条件)に合致した場合にのみ個々に暗号化して配信する形式となります。古のセキュリティ対策であるPPAPからの脱却としてセキュリティの確保はもちろんステークホルダーに対してセキュリティ意識の高さをアピールすることにもつながります。海外では政府/医療/金融機関など幅広い業種にて導入実績があります。※この機能はSafeguardライセンスにて一部提供されますがフル機能として利用される場合にはアドオンライセンスが必要となりますこと最後に補足させていただきます。

 

5. 導入をご検討頂いている方へ

最後に導入イメージと製品の信頼性について触れさせていただきます。

導入イメージ

図10.png

ESSを導入することでのインフラ設計の変更やどのような作業が必要になるのか簡単に概要を説明させていただきます。既存環境については外部から受信したメールは基本的に直接お客様のメールサーバへ届く構造になっているかと思います。ESSの導入にあたりましては受信したメールがSymantecデータセンタを経由するよう変更いただく必要があります。具体的にはDNSサーバ上のMXレコードをSymantec指定のものへ変更頂く作業となります。

高水準SLA保証

図11.png

製品の信頼性につきましても説明させていただきます。業界内でも先進的で高レベルなSLAを保証していると考えています。具体的にはウイルスからの100%保護、低い誤検出率、100%のサービス提供に対する罰則などが挙げられます。高度な保護と誤検知による運用効率の低下の防止を両立できる製品であることが保証のレベルで証明されているかと思います。

 

6. 本記事のまとめ

本ブログ記事のまとめとなります。

①メールのセキュリティ対策は必須

メールはオフィスで働く誰もが利用するツールであり、最も狙われる攻撃経路でもあります。オフィス内の人の中にはITやセキュリティに対する知識が少ない人も含まれていて、攻撃者は巧妙にその部分を狙っています。日々多様化し高度化する攻撃から組織全体を守るためにもメールに対するセキュリティ対策は必須であると考えられます。

②ESSの持つ機能

ESSは日々進化するメールのセキュリティ攻撃に対して様々な機能で対策し保護を実現しています。セキュリティ攻撃の現状を知り、まずはメールセキュリティ製品を導入しようとお考えの方はSafeguardライセンスにて導入を推奨します。こちらにはマルウェア・スパム対策/フィッシング制御(リンクフォロー)/振る舞い分析/なりすまし制御/データ保護/イメージコントロールといった基本の脅威対策が含まれます。Email Threat Detection and Response with Isolationでは、クラウドサンドボックス機能/クリック時URL保護/標的型攻撃の可視化/Email Threat Isolationを駆使することでより高度な保護対策が実現可能です。一歩進んだセキュリティ運用をご検討されているお客様はこちらをご選択ください。

③シンプルな導入と高水準なSLAを保証

ESSの導入は基本的に既存のインフラ構造に対して、シマンテックDCを経由するようDNSの設定変更作業をすることだけなので導入に対するハードルも作業負荷としても高くありません。またSLAによる品質保証については高度な保護と低い誤検知力を両立するなど業界でも先進的な保証内容となっています。シンプルな作業で導入でき、高品質が保証されるため是非ご検討をいただけると幸いです。

 

最後までお読みいただきありがとうございました。

メールセキュリティ対策の重要性やSymantec ESSの製品について内容は伝わりましたでしょうか。またメールセキュリティ製品の導入や製品選定におきまして少しでもお役に立つ内容となっていれば幸いです。

その他のSymantec製品情報はこちらから!

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
大木 佑真