White Paper

Traps アドバンスト エンドポイント プロテクション
テクノロジ概要
2015年3月
パロアルトネットワークス : Traps アドバンスト エンドポイント プロテクション
読者の皆様
このホワイトペーパーを執筆する3週間前まで、私はある多国籍の大企業の最高情報セキュリティ責任者
でした。この企業は、世界20か国の400の支社を通じて、企業データと顧客データの処理を行っています。
同じ職責にある方なら、情報セキュリティ責任者が、企業、顧客、投資家、一般ユーザーに対して、情報
の保全性の確保という点で重い責任を担っていることを痛感していることでしょう。おそらく、データ保
護のために何層ものセキュリティ対策を実装しているのではないでしょうか。しかし、既存のテクノロジ
では、十分なセキュリティを確保できないことが問題になっています。どれだけ万全なセキュリティを実
装しても、エンドポイントへの感染は防げないのです。セキュリティ担当者は、パッチの適用、感染の検
出と修復、場合によってはシステムの再イメージングなどの対応に時間をとられており、セキュリティ侵
害の防止にまでは気を配れていないのが現状です。
このホワイトペーパーでは、より優れた対処方法について紹介しています。Traps アドバンスト エンドポ
イント プロテクションは、これまでにない画期的な製品です。長年にわたって、ありとあらゆるベンダー
から、アンチマルウェア、APT 防御、ETDR、サイバーセキュリティ ツールの説明を受けてきた私にとっ
ても、Traps はエクスプロイトによる侵入を実際に防御できる唯一の製品でした。ゼロデイ攻撃を含め、
これまで他の制御機能をバイパスしてきたすべてのエクスプロイトからシステムを保護することができる
のです。このことに感銘を受けた私は、このテクノロジを同業の技術者に広く宣伝するために、パロアル
トネットワークスに入社することにしました。
Traps は、新製品の名前というだけではなく、エンドポイント プロテクションに関する常識を覆す、まっ
たく新しい製品カテゴリを指しています。ぜひ、このホワイトペーパーから、その仕組みについて学んで
ください。
ありがとうございます。
Sebastian E. Goodwin
ディレクター、Traps アドバンスト エンドポイント プロテクション
2 ページ
パロアルトネットワークス : Traps アドバンスト エンドポイント プロテクション
はじめに
サイバー攻撃とは、ネットワークまたはエンドポイントに対してシステムにダメージを与えたり、情報を
盗んだり、または、それ以外の目標を達成するためにユーザーのコンピュータ システムを乗っ取ること
を含む攻撃です。サイバー攻撃は、悪意のある実行ファイルをユーザーが意図しないで実行した場合や、
ユーザーが認識していない正規の実行ファイルの脆弱性を悪用した、隠れた有害なコードの実行により行
われます。
市場には、この問題の解決をうたう数多くのエンドポイント セキュリティ製品が存在しますが、新聞紙
面を見ると、エンドポイントの感染が未だに驚くべき速さで増大していることが容易にわかります。そこ
で、高度な脅威からエンドポイントを保護するための新たな手法が必要とされていました。
エンドポイントの感染が収まらない理由
従来のエンドポイント プロテクション ソリューションの方法では、急速な進化を遂げる脅威に対応しき
れていません。最近の高度な脅威の多くは、ユーザーが一般的に使用するソフトウェアの脆弱性を悪用
しています。多くの場合、高度な脅威は、通常使用されているデータ ファイルの形式 (pdf、rtf、doc、
ppt、xls など ) をとっていたり、各業種で使用されている独自仕様のソフトウェアをターゲットとするよ
うに細工されています。これらのファイルはネイティブ アプリケーションで開くことができ、正常に見
えるコンテンツが表示されますが、実際にはファイルに有害なコードが組み込まれています。このコード
はネイティブ アプリケーションの脆弱性を悪用することで、攻撃者のコードを実行します。エンドポイ
ントのアンチマルウェア製品群が、既知の悪意のある実行ファイルやセキュリティ侵害のその他の兆候を
探している間に、これらのすべての作業が何の干渉も受けずに進行してしまう可能性があります。問題は、
セキュリティ侵害が発生した兆候が1つも発見できない場合があることです。これまでのところ、既知の
脆弱性からの保護を提供する手段はパッチの適用のみでした。一方、未知の脆弱性に対しての信頼できる
保護手段は1つもありませんでした。
脆弱性はパッチがリリースされるずっと以前から存在しており、パッチのインストールが遅れることは避
けられないため、セキュリティのリスクは増大します。
検出から防止への発想の転換
少し前に、エンドポイントに対するこの種の高度な脅威を防止することはほぼ不可能である、という共通
の認識が情報セキュリティの専門家の間に存在した時代がありました。セキュリティへの取り組みは、検
出と対応に重点を置いたものだったからです。その後、明らかになったのは、何か月、何年もの間データ
を盗んでいたマルウェアの存在でした。その結果、この戦略は、ほとんどの専門家の支持を失いました。
私たちに必要なものは、エンドポイント セキュリティの信頼を回復する手法です。つまり、エンドポイ
ントへの攻撃は検出するだけではなく、実際に防止できるという原則に基づいた手法です。これを弊社で
は「アドバンスト エンドポイント プロテクション」と呼んでいます。
アドバンスト エンドポイント プロテクションは、次のことを可能にする必要があります。
1. サポートされなくなったソフトウェアを実行するコンピュータ システムは、悪意のある攻撃や電
子データの損失など、サイバーセキュリティの危険にさらされるリスクが高くなります。
2. 規制義務によって管理される組織では、Windows Server 2003を実行している間はコンプライア
ンス要件を満たせなくなることが明らかになる可能性があります。
3. 阻止された攻撃に対する詳細なフォレンジック ( 攻撃対象と使用されたテクニックを特定できる )
の提供による、組織の全エリアにおけるセキュリティ強化の実施
4. 既存の業務にシームレスに統合する、中断を伴わない ( あるいは最小限の中断で済む ) 拡張性が高
い軽量なソリューションの実装
5. ネットワークおよびクラウド セキュリティとの緊密な統合による、迅速なデータ交換と組織全体
の保護の提供
3 ページ
パロアルトネットワークス : Traps アドバンスト エンドポイント プロテクション
Traps の仕組み
Traps ™は、適用されているソフトウェア パッチとは関係なく、エクスプロイトまたは悪意のある実行ファ
イルによる高度な攻撃を、悪意のある活動が実行される前に防止するアドバンスト エンドポイント プロ
テクションです。
攻撃の試みがあった場合、Traps は直ちにそのテクニックをブロックし、プロセスを終了させて、ユーザー
と管理者の両者に攻撃が阻止されたことを通知します。Traps が阻止するたびに、問題のあるプロセス、
阻止された時点でのメモリ状態、および Endpoint Security Manager にレポートされるその他の多くの詳
細情報など、詳細なフォレンジックが収集されます。
複数の攻撃形式からの完全な保護
攻撃は様々な形式をとり、Web、メール、外部ストレージなどの複数の侵入経路を使用します。従来の
エンドポイント セキュリティ製品は、エンドポイントを悪意のある実行ファイルから保護します。しか
し、これは最も単純な攻撃パターンです。最も高度な標的型攻撃は、無害に見えるデータ ファイルの形
式をとり、正規のアプリケーションで開くことができます。たとえば、有害なコードが Microsoft Word
や PDF のドキュメントに組み込まれている場合があります。ファイルを開くと、そのファイルの表示に
使用されている正規のアプリケーションの脆弱性が有害なコードによって悪用され、コードの実行とエン
ドポイントの完全なコントロールが可能になります。これを弊社では「エクスプロイト」と呼んでいます。
Traps は、実行ファイル形式のマルウェアや、データ ファイルまたはネットワーク ベースの攻撃エクス
プロイトを防止することによりエンドポイントを保護します。
エクスプロイトの防止
高度な脅威の多くは、無害に見えるデータ ファイルに有害なコードを組み込んで動作します。ファイル
を開くと、そのファイルの表示に使用されているネイティブ アプリケーションの脆弱性が有害なコード
によって悪用され、コードが実行されます。エクスプロイトの対象になっているアプリケーションは IT セキュ
リティ ポリシーでは許可されているため、この種の攻撃は、ホワイトリストによる制御をバイパスします。
Traps は、すべてのエクスプロイトで使用されているコア テクニックに重点を置いています。エクスプロ
イトには何千もの種類が存在しますが、それらはすべて、ほとんど変更されていない少数のコア テクニッ
クに依存していることがわかっています。さらに、エクスプロイトを成功させるためには、これらのテクニッ
クを順番に使用する必要があります。Traps は、これらのテクニックを完全に無効化することで、アプリケー
ションの脆弱性を解消します。
Traps
フォレンジック
データを収集
PDF
PDF
ユーザー/管理者
に通知
PDF
無防備なユーザーによって
感染したドキュメントが
開かれる
Trapsはプロセスに
シームレスに注入される
プロセスを
終了
エクスプロイト テクニック
が試行されるが、Trapsに
より悪意のある活動は
開始前に阻止される
Trapsによりイベントが
報告され、詳細なフォレン
ジックが収集される
図1: エクスプロイトの防止 — ユーザー エクスペリエンス
Traps エージェントは、開始される各プロセスに注入されます。攻撃者がソフトウェアの脆弱性を悪用し
ようとすると、Traps のプロテクション モジュールによって、そのエクスプロイトの試みが防止されます。
Traps では、すでに当該プロセスでそのテクニックが無効化されているからです。Traps は、エクスプロ
イトの試みを防止した後にプロセスを停止し、Endpoint Security Manager (ESM) にすべての詳細をレポー
トします。
4 ページ
パロアルトネットワークス : Traps アドバンスト エンドポイント プロテクション
デフォルトの Traps ポリシーでは、100個を超えるプロセスの保護が設定されており、それぞれのプロセ
スには何十個もの独自の EPM が存在します。ただし、他の製品とは異なり、Traps の機能は、それらのプ
ロセスやアプリケーションのみの保護を対象とするものではありません。弊社の顧客は、Traps を活用し
たあらゆるプロセスとアプリケーションの保護を、ポリシー設定への追加だけで実現しています。これは、
業界固有のアプリケーションを実行する顧客にとって特に便利な機能です。Traps は、POS ( 販売時点管理 )
システム、ATM マシン、SCADA、およびその他のアプリケーションをエクスプロイトから保護できます。
何らかの理由により、アプリケーションといずれかの EPM との間で競合が発生した場合でも支障はあり
ません。その EPM を特定のアプリケーションとコンピュータに対して無効にするだけで済むからです。
アプリケーションは、他の何十個もの EPM によって引き続き保護されます。エクスプロイトを成功させ
るには、複数のテクニックを連鎖的に実行する必要があるため、アプリケーションの保護を引き継いだ他
の EPM によって、少なくとも1つのテクニックがブロックされます。これにより、侵入の実行チェーンが
断ち切られます。
EPM が防止できる攻撃には、たとえば次のようなものがあります。
• ダイナミック リンク ライブラリ (DLL) ハイジャック — 正当な DLL を同じ名前の悪質なものと置き
換えること
• プログラム制御フローのハイジャック
• 例外ハンドラとしての有害なコードの挿入
悪意のある実行ファイルの防止
Traps は、データ ファイル内に隠ぺいされているエクスプロイトや、ネットワークで起動されるエクスプ
ロイトを防止するだけでなく、悪意のある実行ファイルからの防御に向けた包括的な手法を採用しています。
悪意のある実行ファイル ( マルウェアとして知られる ) は、ユーザーの知らない間にダウンロードされて
実行される可能性があります。Traps のマルウェア防御エンジンは、ポリシーベース制御、WildFire ™分析、
およびマルウェア防御モジュールを組み合わせることで、悪意のある実行ファイルの実行を防止します。
これらを統合することにより、比類のないマルウェア防御が実現されます。プロセスは、以下のように動
作します。
ポリシーベース制御 : ポリシーベース制御は、高リスク シナリオの実行を防止することにより、攻撃対象
領域を劇的に減らします。たとえば、直接 USBドライブから特定の種類のファイルを実行したり、アプリケー
ションのインストール先ではないディレクトリからファイルを実行しないようにできます。
高度な実行制御 : 防御は、攻撃のあらゆる段階で攻撃対象領域を継続的に減らす、多重化手法をとること
によってのみ実現されます。Traps は、マルウェアが実行される可能性を大幅に抑える、きめ細かい実行
制御機能を提供しています。制御機能には、以下のものが含まれます。
1. 実行制限 – Traps の堅牢な制限により、ローカルおよびネットワーク フォルダの場所、子プロセス、
外部メディア、署名のない実行ファイルに関連したポリシーに対するきめ細かい制御が実現され
ます。これらの制限はビジネスにおける柔軟性を向上させながら、セキュリティ リスクを最小化
します。
2. きめ細かいシステム設定の固定化 – 比較的静的なシステムや特定の用途のためのシステムでは、
実行制御ポリシーを使用することで、実行ファイルの使用可否を静的に定義できます。これらは、
ファイル ハッシュで指定します。WildFire との統合により、ファイルの動的な分析が可能ですが、
これらのポリシー設定により、WildFire の判定をローカルで無効にすることができます。
WildFire による実行ファイルの分析と防御 : WildFire との統合は、きめ細かい実行制御が実現するセキュ
リティと、未知の実行ファイルの自動分析がもたらすダイナミック セキュリティ ポリシーの管理性を享
受することを可能にします。以前に確認されたことのない実行ファイルがエンドポイントで検出された場
合、Traps はファイル ハッシュを WildFire に送って、即時の識別を要求できます。悪意のあるファイルで
あることが WildFire によって判定された場合、そのファイルによる危害が加えられる前に、Traps が実行
を防止します。WildFire は毎日200万個ものサンプルを分析しているため、そのファイルも確認済みであ
る可能性は高く、その場合は悪意のあるファイルであることが Traps に通知されます。WildFire で確認さ
5 ページ
パロアルトネットワークス : Traps アドバンスト エンドポイント プロテクション
れたことのないファイルの場合、そのファイルが悪意のあるものであるかどうかを迅速に判定するために、
ファイルの自動アップロードが実行されます。
Traps と次世代ファイアウォールは、両方とも WildFire にファイルを送ることができ、統合による次世代ファ
イアウォールとエンドポイント間の脅威インテリジェンスのシームレスな共有が可能になります。
マルウェア防御モジュール : ファイルの実行が許可された後でも、悪意のある活動はマルウェア防御モジュー
ル (MPM) によってブロックできます。EPM と同様、MPM は、マルウェアの多くが利用するコア テクニッ
クに重点を置いています。たとえば、信頼されているアプリケーションに有害なコードが注入されるのを
防止します。
20を超える
脆弱性悪用
防御モジュール
ローカル
ハッシュ管理
実行制限
WildFire
統合
マルウェア
防御モジュール
高度な実行制御
図2: 悪意のある実行ファイルから防御するための適切な方法
フォレンジック データ収集
Traps エージェントからは広範なデータが収集されます。エージェントでは、実行している各プロセスに
関する情報の記録と ESM サーバへの送信が継続的に実行されます。Traps を停止、削除、または細工する
ための試みがあった場合は、そのことが通知されます。攻撃を防止したときには、完全なメモリ キャプチャ
や、有害なコードによって試みられたアクティビティに関する情報など、より詳細な情報をエンドポイン
トから収集することができます。メモリ キャプチャ後は、Traps によって、イベントの本質に関するセカ
ンダリ分析が実行され、悪意のあるアクティビティによる痕跡がないかどうかを調べるために、メモリが
検索されます。
攻撃を防止した後に提供されるフォレンジック情報の量は、攻撃が成功して危害が加えられた後の情報に
比べて必然的に少なくなることに注意してください。
Traps の手法のメリット
ゼロデイ脆弱性と未知のマルウェアへの対応 : シグネチャや侵害インジケータの通知を待機する必要はなく、
最新で最も高度な脅威からの保護が継続的に提供されます。
独自のスケジュールに沿ったパッチのインストール : 脆弱性はパッチがリリースされるずっと以前から存
在しているため、パッチの導入は時間がかかる煩雑なプロセスになりがちです。IT チームは、パッチの十
分なテストと全エンドポイントへの導入を妥当な時間内で実現するために苦労しています。さらに、ほと
んどの組織において、パッチ適用が何らかの理由で行えないレガシー システムが存在します。アドバン
スト エンドポイント プロテクションを使用すると、エンドポイントは、パッチ レベルに関係なく保護さ
れます。
6 ページ
パロアルトネットワークス : Traps アドバンスト エンドポイント プロテクション
全アプリケーションのエクスプロイトからの保護 : アプリケーション固有の特性にではなくエクスプロイ
ト テクニックに重点を置くことで、この保護機能を全アプリケーションへ拡張することが可能です。多
くのエンドポイント セキュリティ製品は、一般的に使用されているごくわずかなアプリケーションのみ
を対象にエクスプロイトからの保護を提供していますが、パロアルトネットワークスの顧客は、弊社の手
法を使用して、何百もの独自仕様のアプリケーションを保護しています。
パフォーマンスへの最小限の影響 : この手法は、システム スキャン、仮想化、またはその他の負荷の高い
テクノロジに依存していません。エージェントは軽量で、エンド ユーザーが意識しないように設計され
ているため、その処理は完全に透過的なものです。
時間と費用の節約 : 攻撃を防止することで、マルウェア感染が原因でよく発生する、修復費用やエンド ユー
ザーのダウンタイム費用 ( 特に、システムの初期状態へのリセットが必要な場合に負担が大きい ) を勘案
する必要がなくなります。
管理が容易で、頻繁な更新が不要に : 従来のエンドポイント プロテクション製品が抱える問題の1つに、
シグネチャ更新を絶えず導入しなければならないという制約があります。Traps は、頻繁な更新を必要と
しない限られたテクニックに重点を置いています。
WildFire との統合がもたらす脅威インテリジェンス : WildFire を有効化することで、脅威インテリジェン
ス エコシステムのメリットを享受できます。このコミュニティから弊社に提出されるサンプル数は、毎
日100万個を超えています。未知の実行ファイルの自動アップロードと分析の各機能により、エンドポイ
ントで新たに起動された実行ファイルがすべて分析されます。
Traps の導入アーキテクチャ
Endpoint Security Manager コンソール
Traps インフラストラクチャは、大規模な分散化された環境でのスケーラビリティを確保するために、
各種のアーキテクチャ オプションをサポートしています。ESM をインストールすると、Microsoft SQL
Server 上にデータベースが作成され、IIS 内に管理コンソールがインストールされます。Microsoft SQL
2008および2012がサポートされており、ESM 専用の SQL Server を用意したり、既存の SQL Server 上にデー
タベースを作成することができます。
エ ン ド ポ イ ン ト サ ー バ は、 物 理 ま た は 仮 想 マ シ ン 上 の Windows Server 2008 R2、Windows Server
2012、または Windows Server 2012 R2にインストールできます。
Endpoint Security Manager サーバ
ESM サーバは、基本的には Traps エージェントと ESM データベースとの間のプロキシとしての役割を果
たします。Traps エージェントから ESM サーバへの通信は、HTTPS を介して行われます。ESM サーバで
はデータが格納されないため、必要に応じて環境への追加や環境からの削除を簡単に行えます。これによ
り、十分な地理的範囲への展開と冗長性を確保できます。
グローバルな接続性を確保するために、パロアルトネットワークス ® の GlobalProtect ™などのモビリ
ティ ソリューションを使用していない場合は、ESM サーバを DMZ や、外部接続のあるクラウドベース
環境に配置することができます。ESM サーバは、物理または仮想マシン上の Windows Server 2008 R2、
Windows Server 2012、または Windows Server 2012 R2にインストールできます。
Traps エージェント
Traps エージェント インストーラは、9 MB 以下の MSI パッケージとして、任意のソフトウェア導入ツー
ルから使用できます。エージェントの更新は、ESM を介してできるようになります。エージェントは、ディ
スク上では25 MB 未満の容量を、メモリ内では40 MB 未満の容量を消費します。報告されている CPU 使
用率は、0.1パーセント未満です。エージェントには、ユーザーや有害なコードが保護を無効にしたり、エー
ジェント設定を細工できないように、様々な細工防止策が講じられています。
7 ページ
パロアルトネットワークス : Traps 先進のエンドポイント プロテクション
Traps 環境は、軽量な構造により横展開の拡張が可能で、集中構成やポリシーのためのデータベースを引
き続き維持しながら、ESM 毎に最大50,000個のエージェントの大規模な導入をサポートします。Traps は、
ほとんどの主要なエンドポイント セキュリティ ソリューションと共存できます。また、その際の CPU 使
用率や I/O 頻度を、驚くほど低く抑えることができます。最小限の中断で済む Traps は、重要なインフラ
ストラクチャ、特殊システム、および VDI 環境における最適なソリューションであると言えます。
Traps は現在、次の Windows ベースのオペレーティン
グ システムをサポートしています。
仮想環境 :
オペレーティング システム :
‒‒ Citrix
‒‒ VDI
‒‒ VM
‒‒ Windows XP (32ビット、SP3以降 )
‒‒ Windows 7 (32ビット、64ビット、RTM および SP1。Home を除くすべ
てのエディション )
‒‒ Windows 8 (32 ビット、64 ビット )
‒‒ ESX
‒‒ VirtualBox/Parallels
物理プラットフォーム :
‒‒ Windows 8.1 (32 ビット、64 ビット )
‒‒ Windows Server 2003 (32ビット、SP2以降 )
‒‒ Windows Server 2003 R2 (32ビット、SP2以降 )
‒‒ Windows Server 2008 (32 ビット、64 ビット )
‒‒ SCADA
‒‒ Windows タブレット
‒‒ Windows Server 2012 ( すべてのエディション )
‒‒ Windows Server 2012 R2 ( すべてのエディション )
‒‒ Windows Vista(32 ビット、64 ビット、SP2以降)
外部ロギング
ESM は、ログを内部に保存できるだけでなく、SIEM、SOC、syslog など、外部ロギング プラットフォー
ムにログを書き込むこともできます。複数の ESM を導入している組織では、外部ロギング プラットフォー
ムによって、ログ データベースの内容を集約して表示することができます。
統合セキュリティ プラットフォーム
2005年、パロアルトネットワークスは、組織の攻撃対象領域を減らして、最新のサイバー攻撃がその目
標を達成できないようにするために、次世代セキュリティ プラットフォームを基礎から設計して提供す
ることを決断しました。この目標を達成するには、まったく新しい手法が必要なことは明らかでした。こ
の新しい手法は、お客様が、すべてのネットワーク トラフィックを可視化、アプリケーションとユーザー
のポジティブ コントロールの確立、およびネットワーク、クラウド、およびエンドポイントのセキュリティ
を1つの共通アーキテクチャで緊密に統合されたシステムによりあらゆる攻撃の防止を実現できるように
強力に支援します。
この戦略に沿って完成させたのが、次世代ファイアウォール、脅威インテリジェンス クラウド、および
アドバンスト エンドポイント プロテクションの3つのコア コンポーネントで構成されるエンタープライ
ズ セキュリティ プラットフォームです。標準で統合されているこのプラットフォームは、ポイント ツー
ルや他の統合されていないテクノロジの必要性を解消し、日常業務を合理化します。また、攻撃キル チェー
ンの各段階で脅威を防御する多層モデルによって組織のセキュリティの有効性を大幅に高めます。
パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームは、モバイルからクラウ
ド対応データセンターのコアまで、組織のあらゆる部分を保護します。プラットフォーム内部は自動化さ
れているので、高コストな手動プロセスは不要であり、組織はこれまで以上に迅速に新しいグローバルの
脅威に対応できます。
〒102-0094
千代田区紀尾井町4番3号
泉館紀尾井町3F
電話番号 : 03-3511-4050
www.paloaltonetworks.jp
Copyright ©2015, Palo Alto Networks, Inc. All rights reserved. パロアルトネッ
トワークス、パロアルトネットワークス ロゴ、PAN-OS、App-ID、および
Panorama は、Palo Alto Networks, Inc. の商標です。製品の仕様は予告なく変
更となる場合があります。パロアルトネットワークスは、本書の記述の間
違いまたは本書の情報の更新について一切の責任を負いません。パロアル
トネットワークスは予告なく本書の変更、修正、移譲、改訂を行う権利を
保有します。PAN_WP_Traps_032715