企業や組織でセキュリティに従事する現場担当の方々は、日々のインシデント対応や、セキュリティレベルの向上を目指す中で、様々な疑問に直面していると思います。どんな対策をどこまでやれば安全なのか?ネットワークに脅威が侵入してしまったときに何をすればよいのか?本連載「すぐに役立つセキュリティ対策」では、トレンドマイクロのエキスパートたちが、お客様からの調査依頼対応やインシデントハンドリングの中から得たセキュリティ専門家としての知見を、すぐに業務に活かせる形で提供してまいります。前回は問題端末調査の定番、「端末をネットワークから外す」、いわゆる「抜線」対応について説明しました。今回は、一歩進んで抜線しなくてもできるインシデント対応について説明します。
■「抜線」は何のため?
そもそも、問題端末の調査の際、端末をネットワークから外す対応が推奨されてきたのはなぜでしょうか?前回も述べましたが、「被害の拡大防止」を最優先に考えた場合、最も安全かつ望ましい対応が物理的にネットワークから外し隔離することであるためです。しかし、ネットワークから外す対応を行った場合、その後は調査の対応を行う人員が調査端末を直接操作すること、つまり、物理的に調査端末を目前において対応する必要が生じます。すべての部門が 1つのビル内に集まっているような場合であれば大きな問題にはなりませんが、実際には全国に事務所や営業所が散らばっているケースも多いでしょう。そのような遠隔の環境において、端末の回収する、もしくは要員を派遣することは大きな手間です。また、調査のために使用するツール類もリムーバブルメディアなどの物理的な方法で調査端末内に持ち込む必要があります。これらは実際の対応の上での大きな足枷となり、調査対応に多くの時間がかかる原因となります。このため、トレンドマイクロのお客様からもなんとか安全性をある程度担保したうえでネットワーク経由での調査が行えないか、というご相談を多く受けています。実際に、ネットワークにつないだままリモートで調査ツールを配信し実行させる、といった対応を行っている例も多く見受けられます。
■「抜線」しなくてもできる端末調査
このようなお客様からの要望に応え、トレンドマイクロのサポートエンジニアはソフトウェア的な対応でネットワークからの「隔離」を実現させるノウハウを蓄積してきています。ネットワークからの隔離という意味では大きく分けて 2つの観点があります。インターネットへのアクセスを止めることと、ローカルネットワークへのアクセスを止めること、です。
まず、インターネットへのアクセスを止めるためにはプロキシの設定を変える方法が有効です。この対処の前提として、プロキシ経由以外でのインターネットアクセスを制限するネットワーク設定が行われていることが必須です。この場合、調査端末のプロキシ設定を変更することで簡単にインターネットへの接続を不可にできます。もしくはプロキシ側の設定で調査端末の中継を拒否することも可能です。より進んだ対応としては隔離用のプロキシを別に設置し、調査端末に設定することでインターネット接続が行われているように見せかける対応を行った事例もあります。
図1:プロキシ設定画面(Windows 7)
次に、ローカルネットワークでの通信を制御する手段としては、「セキュリティが強化された Windows ファイアウォール」の機能を利用する方法が有効です。Windows ファイアウォールの「詳細設定」では「受信の規則」、「送信の規則」でネットワーク通信を行うプログラムを制限可能です。まず調査端末上では「送信の規則」の設定により、すべてのプログラムに対して接続をブロックすることにより、調査端末内に不正プログラムが存在したとしても、その通信を止めることが可能です。
図2:「送信の規則」の設定画面での「接続をブロックする」設定(Windows 7)
しかし、リモートでの調査を行いたい場合にこの設定だけ行うと通信ができないので調査もできなくなってしまいます。その場合、すべてのプログラムの接続をブロックする前に、調査に使用するプログラムについては「ブロックの規則より優先する」のチェックボックスを有効にして通信を許可する設定をしておくことが必要です。
図3:「送信の規則」の設定画面での「ブロックの規則より優先する」設定(Windows 7)
また、ローカルネットワーク内の他のサーバやクライアントPC では逆に「受信の規則」の設定により、すべてのプログラムに対して調査端末の IPアドレスからの接続をブロックする設定を行うことにより、調査端末からアクセスされることを防げます。
図4:「受信の規則」の設定画面での「スコープ」設定(Windows 7)
これらの Windowsファイアウォールの設定はグループポリシーで配信可能なため、ドメインによる管理を行っている環境であれば、簡単に適用することが可能です。
現在、SDN(Software Defined Network)のようにネットワークの構成をソフトウェアだけで設定できる仕組みが注目されており、今後はインシデント対応の際にも活用が期待できます。しかし、SDN を待たずとも、現在すでにある機能を活用することでできることもある、ということが言えます。
では今回のポイントをまとめてみます。
- Windows の機能とグループポリシーの組み合わせにより、調査端末をソフトウェア的にネットワークから「隔離」した状態にすることは可能:
- インターネットへのアクセスはプロキシ設定の活用で隔離可能
- ローカルネットワークへのアクセスは Windowsファイアウォールの活用により隔離可能
■トレンドマイクロのソリューション
法人のお客様向けに特に手厚いサポートサービスを提供する「トレンドマイクロプレミアムサポート」では、お客様の環境を把握したテクニカルアカウントマネージャがウイルス検出時の判断や実際の調査対応についてサポートいたします。また、端末調査にあたって、不審なプログラムやその活動の痕跡から解析に必要な情報を収集する、様々な調査ツールを提供しています。
トレンドマイクロの法人向けセキュリティ対策製品「ウイルスバスター コーポレートエディション」では、ファイアウォール機能を利用して通信トラフィックをすべてブロックする設定を行うことにより、特定の端末をソフトウェア的にネットワークから隔離した状態にすることが可能です。また、「ウイルスバスター コーポレートエディション」のプラグイン機能である「Trend Micro Toolbox」では、遠隔で端末に調査ツールを配信し、調査後の検体収集まで行うことが可能です。
※執筆協力:トレンドマイクロ・プレミアムサポートセンター