ホワイトリスト方式とブラックリスト方式の 選択:単機能のデバイス向けエンドポイント・ セキュリティー・ソフトウェア McAfee のアプリケーション・ホワイトリスティング技術とインテル® vPro™ テクノロジーの組み合わせにより、 セキュリティーの強化、運用管理機能の向上、サポートコストの削減を実現 ソリューション概要 インテル® vPro™ テクノロジー McAfee* エンドポイント・セキュリティー・ソフトウェア 単機能のデバイス はじめに エンドポイントのセキュリティー確保にとって、ブラックリスト方式とホワイトリスト 方式のどちらが効果的かをめぐる議論が続いていますが、単機能のデバイスに おいては、2 つの手法それぞれのメリットはほぼ明らかになっています。一般的 に、POS、医療機器、産業用制御システム、航空機システムなどのデバイスは、 あらかじめ決められたアプリケーションのみを実行します。この性質のため、マ ルウェアの侵入防止など、主な目的がデバイスの保護である場合は、ホワイトリ スト方式の方が有利です。一方、保管時または輸送中にウイルスに感染したデー タからデバイスを保護する必要がある場合は、ウイルスの検出と駆除のためにブ ラックリスト方式が必要になります。この議論の基礎となる簡単な定義を、以下 に示します。 ブラックリスト方式:アンチウイルス(AV)とも呼ばれる従来型のセキュリティー手 法で、定期的に更新されるマルウェア定義ファイル(ブラックリスト)に記述された 既知の文字列または疑わしい文字列を含む、悪意のあるコードまたはデータをブ ロック(通常は駆除) します。 アプリケーション・ホワイトリスト方式は、 非常に効率的で 保守管理コストが抑えられた、 単機能のデバイス向け セキュリティー・ソリューションです。 ホワイトリスト方式:実行を許可される、信頼性の高い承認済みコードのリスト (ホ ワイトリスト)を注意深く維持管理し、未知または未承認のソフトウェアの実行を 禁止します。 サイバー攻撃が勢いを増し、危険な Stuxnet クラスの脅威が広がりを見せてい る現在、IT マネージャーの間では、単機能のデバイスのセキュリティー体制に関 する懸念が高まっています。ホワイトリスト方式は、ブラックリスト方式ほど広く採 用されてはいないものの、セキュリティーとコストの両面で大きなメリットを発揮 します。この資料では、エンドポイント・セキュリティー・ソフトウェアについてこれ らの 2 種類の手法を比較し、IT マネージャーが単機能のデバイスの提案依頼書 (RFP)でセキュリティー要件を指定する方法や、堅牢なセキュリティー・ソリュー ションを搭載したデバイスを購入する方法について説明します。ホワイトリスト方 式をサポートする McAfee* Embedded Control をインテル ® vPro ™ テクノロ ジー対応デバイスに導入すれば、業界の最先端を行くセキュリティー保護機能と リモート管理機能の利用が可能となります。 リスクの増大 Stuxnet は特定の Supervisory Control and Data Acquisition かつては、工場の組立ラインの機器、キオスク、多機能プリンターなど (SCADA)システムを標 的とするものでしたが、多くのネットワーク の単機能のデバイスのセキュリティーに不安を抱く必要はほとんどあり 上のシステムを危険にさらす脅威クラスでもあることが判明しました。 ませんでした。しかし現在、最新のデバイスはネットワーク接続と各種 このリスクに対処するため、McAfee では、Siemens、Schweitzer ネットワーク上での通信(デバイスのネットワーク、SCADA ネットワー E l e c t r i c C o r p o r a t i o n 、I n v e n s y s 、E m e r s o n 、R o c k w e l l Automation、ABB、横河電機などの大手制御システムベンダーと協 力して、主要なセキュリティー技術の検証と包括的な制御システム用 サイバー・セキュリティー・ソリューションの開発に取り組んでいます。 アプリケーション・ホワイトリスト方式は、このソリューションの主要な 要素です。 ク、企業ネットワークなど)を多用しており、マルウェアの脅威にさらさ れています。したがって、企業ネットワークへのアクセスを許可する前 に、すべての単機能デバイスのセキュリティーを確保することが強く推 奨されます。 ゼロデイ攻撃 Stuxnet は、イランの自動ウラン濃縮施設を標的とする破壊工作で 知られる高度なサイバー兵器です。このマルウェアの登場により、制 御システムのサイバー・セキュリティーの範囲と背景は一変しました。 Stuxnet は、盗まれた電子証明書と複数のゼロデイ攻撃を組み合わせ て、特定の産業用制御プロセスを検出し、それを妨害するペイロードを 提供することで、かつてない破壊力を発揮しました。このペイロードは、 オートメーション・システム内で使用されるプログラマブル・ロジック・コン トローラー(PLC)を標的とする点でユニークでした。これらの資産は、 システム内で隔離され、外部からは隠され、特殊な機能に限定されてい るため、従来はマルウェアの被害は及ばないと考えられていました。 セキュリティー対策のさまざまな目的 単機能デバイスへのホワイトリスト方式、ブラックリスト方式、あるいは その両方の導入を決定する際には、以下の 2 つの一般的な目的を考 慮に入れることをお勧めします。 • デバイスの保護:マルウェアがデバイスに侵入して動作を妨害した り、そのデバイスをベースとして他の攻撃を実行することを防ぐ。 ホワイトリスト方式の利点 - ゼロデイ攻撃に対する防御が可能 - 比較的軽量 ゼロデイ攻撃は、専用のアプリケーション・ホワイトリスト方式セキュリ ティー・ソフトウェアとメモリー保護機能によって回避できます。いずれ の方策も、事前にマルウェアに関する知識がなくてもバッファー・オー バーフロー戦術の実行を阻止できるため、特に効果的です。新しい脅 威が出現し、コードを実行しようとすると、ホワイトリスト方式ソフトウェ • データの保護:デバイスが(保管時または輸送中に)接触するデータ を保護する。 ブラックリスト方式の利点 - アンチウイルス・ソフトウェアがウイルスを検出した後に修復を実行 アはそのコードが信頼性の高いアプリケーションのリストに登録され ていないことを検出し、コードをブロックします。次に、インシデントをイ ベントログに記録し、エンドポイント管理ソフトウェアにアラートを送信 します(図 1 参照)。 ホワイトリスト方式とブラックリスト方式の比較 セキュリティー・ソリューションの選択においては、評価の対象となる多 一方、 ブラックリスト方式のソフトウェアは、 ウイルスがすでに認識され、 それに対応するウイルス定義ファイルが配布された後でなければ、攻 撃からシステムを保護できません。しかも、産業用制御システムなど の環境では、ブラックリスト方式ソリューションを常に最新の状態に維 持することは困難です。その結果、デバイスのウイルス定義ファイルが 古くなっていると、アンチウイルス・ソリューションのマルウェア検出 / くの属性があり、その一部はシステムごとに固有の属性です。表 1 は、 一般的な見地から、単機能のデバイスに関する重要な考慮事項につ いてホワイトリスト方式とブラックリスト方式を比較したものです。ネッ トワークとデバイスのパフォーマンス、IT サポートの負担など、全般的 にはホワイトリスト方式の方がやや有利です。 修復機能が十分に働きません。同じような問題は、定期的なセキュリ ホワイトリスト方式のサポートモデル ティー・パッチのサポートが打ち切られた古いオペレーティング・システ 一般的に、単機能のデバイスのアプリケーション・ホワイトリスト方式 ムを搭載したデバイスにも発生します。 は、最小限のサポートだけで機能します。デバイスメーカーは、ホワイト アプリケーションは ホワイトリスト方式に登録されているか? アプリケーションを 実行 アプリケーション・ ホワイトリスト方式 YES McAfee ePO* NO 脅威 Log Event McAfee ePO* または Windows* Event Viewer に イベントを記録 / 表示 イベントログ Windows* Event Viewer 図 1. アプリケーション・ホワイトリスト方式の流れ 2 IT 部門の考慮事項 比 較 ネットワーク・パフォーマンスへの影響 ホワイトリスト方式が有利 ウイルス定義ファイルの頻繁な更新により、かなりのネットワーク帯域幅が消費される ウイルス定義の更新が不要 デバイスのパフォーマンス低下 ホワイトリスト方式が有利 包括的なブラックリスト方式ソリューションを処理できるだけの CPU パフォーマンス、 メモリー、ストレージが不足する ホワイトリスト方式は軽量な手法であり、必要とするメモリー容量はブラックリスト方式 の約 5 分の 1、CPU 処理能力は約 1% で済む 古くなったパッチ ホワイトリスト方式が有利 オペレーティング・システムとアプリケーションへのパッチ適用の頻度が低いため、デバ イスの脆弱性が発生する(サポート期限の切れた OS、アクセスできないデバイスなど) パッチが適用されなくても、 マルウェアの実行を防止できる。 したがって、 デバイスがネッ トワークに接続できなくても、完全な保護を維持できる ゼロデイ攻撃 ホワイトリスト方式が有利 IT サポート ホワイトリスト方式が有利 このクラスの攻撃への対処は困難である ゼロデイ攻撃に対する保護機能が内蔵されている ウイルス定義のアップデートを(多くの場合は毎日)送信しなければならず、IT サポー トに時間がかかる ウイルスの検知・駆除 ウイルスに感染したファイルが検出された場合は、データのクリーニングを行うことが 望ましい(すなわち、ウイルスを継続的にスキャンし、駆除する必要がある) リスト方式ソリューションをデバイスにプリインストールし、すぐに実行 できる状態で出荷できます。したがって、IT 部門は、デバイスから送信 されるアラートに対応する以外の作業を行う必要はありません。小売 り環境のキオスクなどの一部のデバイスでは、頻度はそれほど多くあり ませんが、ソフトウェアを更新する必要があります。この場合、IT 部門 は、図 2 に示すように、Microsoft* System Center Configuration Manager(SCCM)や IBM* Tivoli* Endpoint Manager などのサー ドパーティー製エージェントを使用して、デバイス上で実行を許可され る信頼性の高いアプリケーションのリストを管理できます。 この例では、承認済みの管理者が信頼性の高い更新ソース(承認済 みのユーザー、アプリケーション発行者、ファイルサーバーなど)を定 義し、各ソースの組み合わせ関係を設定します。信頼性の高いファイ 通常はメンテナンス不要であり、IT サポートの負担を軽減できる ブラックリスト方式が有利 ブラックリスト方式はウイルスを駆除できるが、ホワイトリスト方式にはウイルスを駆除 する機能はない 単機能のデバイス向けセキュリティー・ソリューション McAfee は、オープ ン・プ ラットフォームで ある McAfee* ePolicy Orchestrator*(McAfee ePO*)を通じて他 のセキュリティー /IT システムと統合される、エンドポイント・デバイス向けの各種セキュリ ティー製品を提供しています。McAfee ePO* ソフトウェアにより、IT 部門はセキュリティーを集中的に管理し、効率を飛躍的に改善できま す。すでに約 6,000 万ノードで使用されているこのソフトウェアは、各 種のセキュリティー管理作業の全体的な可視性を向上し、システムの 保護を強化します。業界最先端のセキュリティー管理ソリューションで ある McAfee ePO* は、以下の特殊機能によってエネルギー資産の セキュリティーを強化します。 McAfee* Embedded Control ルサーバーを承認しておけば、制御対象システムは、これ以外の承認 McAfee* Embedded Control は、デバイス上の「承認済みコード」 手順を行わなくても、集中化されたシステムからアプリケーション・パッ の動的ホワイトリストを自動的に作成します。ホワイトリストが作成さ チをダウンロードできます。 また、信頼性の高いユーザーは、サードパー れ、有効化されると、システムはベースラインとなる既知の正常な状 ティー製エージェントなどの信頼性の高い発行者から、信頼性の高い 態にロックされます。承認済みセット以外のプログラムやコードは実 クラスのアプリケーションをダウンロード、インストール、または実行で 行を禁止され、この設定を無断で変更することはできません。信頼 きます。このように明確なプロセスを確立することで、管理者に負担が 性の低いソフトウェアを実行しようとすると、修正処置を促すアラート 集中することを避け、初期セットアップ後の継続的な保守管理作業を が McAfee ePO* に送信されます。 ほとんど不要にできます。 1. 承認済みのユーザーによる更新 2. 承認済みの管理者 エンタープライズ・ コンソール (Tivoli*、SMS* など) 3. 承認済みのサードパーティー製エージェント セキュアシグナルの更新 図 2. エンタープライズ・コンソールによる信頼性の高いアプリケーションの更新 3 McAfee* Embedded Control は、未承認のコード(テスト済みで インテル® vPro™ テクノロジーを使用して、デバイスを一度オフライン ないパッチ、スクリプト、マルウェア、未承認のアプリケーション)の にし、リモートからソフトウェア・イメージの再ロードにより、ウイルス 実行を防ぐと同時に、選択したファイル、ディレクトリー、 レジストリー・ の駆除を行ってから、オンラインに戻すことができます。 キーの変更を防止することで、承認済みコードの改ざんも防ぎます。 このため、承認済みコードの脆弱性の悪用を防ぐことができ、パッチ が適用されなくてもデバイスの安全性を維持できます。この利点は、 古いオペレーティング・システムを搭載した単機能のデバイスのセ キュリティー確保に効果を発揮します。 メモリー保護機能は、実行中のプロセスが悪意のあるコードに乗っ 取られることを防ぎます。未承認のコードが実行中のプロセスに注 入されると、そのコードを捕捉し、動作を停止し、記録します。この方 法により、バッファー・オーバーフロー、 ヒープ・オーバーフロー、スタッ ク・エグゼキューションなどの手段でシステムの制御を奪おうとする 試みは無効化され、ログに記録されます。承認済み更新メカニズム により、信頼できる更新者による変更に対して、きめ細かく選択的な 変更管理が可能になります。 例えば、Microsoft* Windows* のパッチを自動的に承認する一方、 重要なデバイス構成ファイルの変更を禁止し、変更が試みられた場 合はログに記録することができます。承認済み更新メカニズムを機 能させるには、更新ウィンドウを開き、変更を行うユーザーまたはア プリケーションを承認します。さらに、システムはすべての承認済み の変更をリアルタイムで追跡するので、実際に行われた変更を自動 的かつ正確に監視し、レポートできます。これにより、変更のソース が可視化されて、適切なターゲットシステムに変更が適用されたこ との検証が可能になります。保護機能はセキュリティー・ポリシーに 直接関連付けられます。変更は、変更ソース、時間帯、または承認 済み変更チケットに照らして検証されます。 ポリシーの許容範囲外で試みられる変更は許可されません。このよ うな変更が試みられた場合は、ログに記録されます。フォレンジック 調査の際には、アクティビティー・モニタリングにより、変更の時刻と ハードウェア支援型セキュリティー 現 在 のソフトウェア・ソリューションが 提 供する保 護 機 能 以 外 に、 インテル ® vPro™ テクノロジー対応ソリューションのハードウェア・ベー スの保護メカニズムを利用すれば、ソフトウェア・ベースの攻撃を防ぎ、 データの機密性と完全性を保護できます。これは、アプリケーションを それぞれの専用領域内でのみ実行できる環境を構築し、システム上の 他のソフトウェアから保護することによって実現されます。ハードウェア 支援型のインテル ® バーチャライゼーション・テクノロジー(インテル ® VT)1 によって強化されるこれらの機能は、アプリケーションの実行環 境における信頼の確立に欠かせないハードウェア・ベースの保護メカ ニズムを提供します。この結果、プラットフォーム上で実行される悪意 のあるソフトウェアから重要なデータやプロセスを保護できます。 インテル ® vPro ™ テクノロジーに対応した組込み機器は、業界標準 規格の Trusted Platform Module(TPM)1.2 を搭載しています。 ( 例えば、McAfee TPM 1.2 はハードウェア内に鍵を格 納 可 能で、 Total Protection* for Data による)ハードディスク暗号化などのセ キュリティー対策の効果はさらに高まります。 インテル ® vPro™ テクノロジー対応プラットフォームは、インテル ® AES New Instructions(インテル ® AES-NI)によってアクセスされるハー ドウェア支援型の暗号化 / 復号機能をサポートしています。ベンチ マーク・テストでは、ソフトウェアのみに依存する従来の機能に比べ て、ファイルの復号処理が約 13 倍高速化されます。2 詳細について は、h t t p : / / d o w n l o a d . i n t e l . co m / e m b e d d e d / a p p l i c a t i o n s / d i g i t a l s i g n a g e / 3 2 4 8 7 9 . p d f # i i d = 4 8 3 1 を参照してください。 デバイスのセキュリティー強化の重要性 ソース、変更されたファイル、その時刻にシステムにログインしてい 危険なサイバー攻撃が急増している現在、IT マネージャーには、デバ たユーザーを簡単に特定できます。 イスのセキュリティー確保という課題を先送りしている余裕はありま McAfee ePO* Deep Command せん。早急にデバイスメーカーと話し合い、提案依頼書(RFP)また は製品購入契約書に要件を指定する必要があります。既製の製品を このソリューションは、セキュリティー・インシデントや機器の故障に 購入する場合は、包括的なセキュリティー・ソリューションを搭載した 対するオンサイトサポートの費用を最小限に抑えることで、エンドポ 製品をお求めください。インテル ® プロセッサーを搭載した単機能の イントのサービスコストを削減します。セキュリティー管理者は、エン デバイスを使用する場合は、以下のような堅牢なホワイトリスト方式ソ ドポイントが無効化されていたり、電源がオフになっている場合でも、 リューションをご指定ください。 セキュリティー・ソフトウェアとデバイス・ソフトウェアの導入、管理、更 新を実行できます。McAfee ePO* Deep Command は、インテル ® vPro™ テクノロジーを利用します。インテル ® vPro™ テクノロジーは、 エンドポイントに対するアウトオブバンド(OOB)接続を確立します。 IT 部門は、この接続を利用して、ハードウェアやソフトウェアの状態に 関係なく、不具合を起している端末も含めてデバイスを制御できます。 1 2 • アプリケーション・ホワイトリスト方式対応 McAfee* Embedded Control • McAfee ePO* Deep Command • インテル® vPro™ テクノロジー対応コンピューター・システム インテル® バーチャライゼーション・テクノロジー(インテル® VT)を利用するには、同テクノロジーに対応したインテル® プロセッサー、BIOS、および仮想マシンモニター(VMM)を、さらに用途によっては、同テクノロジーが有効になっている特 定のプラットフォーム・ソフトウェアを搭載したコンピューター・システムが必要です。機能性、性能もしくはその他の特長は、ご使用のハードウェアやソフトウェアの構成によって異なり、BIOS のアップデートが必要になることもあります。ご利 用になる OS によっては、ソフトウェア・アプリケーションとの互換性がない場合があります。詳細については、各アプリケーション・ベンダーにお問い合わせください。 性能テストの結果はインテル社内での分析に基づいて推定されており、情報提供のみを目的としています。システム・ハードウェア、ソフトウェアの設計、構成などの違いにより、実際の性能は掲載された性能テストや評価とは異なる場合が あります。 Intel、インテル、Intel ロゴ、Intel vPro は、アメリカ合衆国および / またはその他の国における Intel Corporation の商標です。 Microsoft、Windows、Windows ロゴは、米国 Microsoft Corporation および / またはその関連会社の商標です。 * その他の社名、製品名などは、一般に各社の表示、商標または登録商標です。 インテル株式会社 〒 100-0005 東京都千代田区丸の内 3-1-1 http://www.intel.co.jp/ © 2012 Intel Corporation. 無断での引用、転載を禁じます。 2012 年 9 月 327608-001JA JPN/1209/5K/SE/MKTG/NY
© Copyright 2024 Paperzz