電子メールは、組織に対するサイバー攻撃の中心的な焦点であり続けている。OPSWAT重要インフラのサイバー保護に特化した企業であるイタイ・グリックは、ゼロトラスト技術に基づくサイバーセキュリティ・プラットフォームを開発した。OPSWAT の製品担当副社長であるItay Glickが、組織ネットワーク、産業制御レベル、クラウド接続をどのように防御するかについて説明する。
過去20年間のサイバー攻撃を調べると、明確な姿が浮かび上がってくる。それは、組織への攻撃に使われる主なデジタル・チャネルが電子メールであるということだ。サイバー攻撃の大半はフィッシングの試みから発生しており、多くの場合、Eメールが組織への非常にアクセスしやすい手段であるという事実を悪用している。特定の個人をターゲットにするのは簡単で、メールアドレスを知っていれば、あとは重要なログイン認証情報を盗むためにデザインされた、うまく隠されたフィッシング・リンクで騙すだけだ。
"攻撃の可能性は無限にあり、その多くはウイルス対策ソフトでは検知できない。機械学習に基づくウイルス対策エンジンでさえ、精度は低い。サイバー防御ソフトの開発者にとって、毎年1億を超える悪意あるプログラムがリリースされるのに対応するのは大変なことです。"
「攻撃者は、効果的な電子メール・セキュリティを維持することの難しさを理解し、その状況を最大限に利用しています」と、重要インフラのサイバー保護を専門とするOPSWAT の製品担当副社長、イタイ・グリックは言う。
「ウイルスが検出されたとしても、脅威はすぐに適応し、検出不可能な新バージョンを生成するために、わずかなコードの変更によって新たなバリエーションを作り出す。ウイルス対策エンジンは既知のシグネチャに基づいて動作するため、コードの変更によって特定のシグネチャは無意味になり、脅威は検出されなくなる。
このようにして、組織への侵入が可能になり、電子メールはエンドポイントへの直接の侵入口として機能し、ユーザーのコンピューターに直接脅威を送り込むことになる」。
高度なEmail Security ソリューション
このような状況は、世界中のサイバーセキュリティ業界を大いに悩ませており、OPSWAT が2024年に電子メールセキュリティソリューションに注力する理由のひとつでもある。主要な電子メール保護プロバイダーとの既存の競争にもかかわらず、OPSWAT 、革新的で受賞歴のある技術で重要なインフラを保護してきた20年の成功実績により、戦略的優位性を保持しています。
「従来の電子メール・セキュリティ・プロバイダーの開発にもかかわらず、開封された電子メールの77%は依然として防御ソリューションを回避している。「ウイルス対策エンジンが単独、あるいは少数である場合、進化し続けるフィッシングやマルウェアの試みを効果的に検知することができない。その理由は、検知率が包括的であるほど高くないか、より斬新な攻撃手法に対する感度が不足しているためである。
では、OPSWATは 、そのような攻撃をどのようにブロックしているのでしょうか?
「私たちはゼロトラスト・アプローチを採用し、各メールの詳細な分析を行い、ターゲットに到達する前に脅威を検知します。Deep CDR™(Content Disarm and Reconstruction)と呼ばれる技術を開発し、未知のメール攻撃もブロックしています。これは、30以上のマルウェア対策エンジンを使用するMultiscanning テクノロジーと結合しています。"
同社が開発した他のツール同様、業界には同等のものがない。多くのベンダーがセキュリティ製品を開発しているが、その大半は1種類か2種類である。OPSWAT 、必要なものすべてを保護できる完全なプラットフォームを持っており、統合によって必要な互換性を満たすことができる。これは、重要なインフラを提供する組織にとって重要な問題である。
「私たちのシステムは、ローカルまたはクラウドに配備され、内部または外部環境の送受信メールをスキャンし、URL、送信者アドレスのチェック、不審なリンクの場合はリアルタイムのクリック認証など、いくつかの手順を実行します。
様々なアンチウイルスエンジンを使用して、本文を含む電子メール内の各要素が検査される。この領域は、あまり疑われることはないが、脅威が隠されている可能性がある領域である。脅威が見つからない場合、システムはDeep CDR プロセスを実行し、同時に Real-TimeSandbox プロセスを実行します。これはファイルを実行し、ディスクやネットワークへのアクセスのパラメータなど、疑わしいものがないかをチェックします。
電子メール・メッセージのすべてが検査される。添付ファイルや本文だけでなく、150種類以上のファイルが検査される。ほとんどのユーザーは、これだけの数が存在することも、それらがファイルであることすら認識していない。例えば、会議の招待状もチェックが必要なファイルの一種である。これらのファイルは、ユーザーの受信トレイに届く前に素早くスキャンされ、サニタイズされていることが確認されて初めて届く。"
電子メールの添付ファイルをすべてチェックする
OPSWAT は2002年に米国で設立され、エンドユーザーのワークステーション上で実行されるさまざまなセキュリティ・ソリューション間の共通言語を作成することを目標としている。同社が最初に開発したサイバーセキュリティ・ソリューションは、Multiscanning 。この技術は、今日に至るまで同社の全製品に不可欠な技術であり続けている。事業拡大の一環として、同社はイスラエル支社も設立した。当初はヘルツリーヤに小さなオフィスを構えていたが、現在はペタ・ティクヴァに新しく広々としたオフィスを構えている。
新オフィスの主な特徴はサイバー・ラボで、OPSWAT サイバーセキュリティ・ソリューションが、組織ネットワーク、産業用制御ネットワーク、IT ネットワーク、クラウド接続など、その経路にあるすべてのシステムのセキュリティ・ギャップをどのように解消するかを見ることができる、とグリックは説明する。
サイバー・ラボは、オペレーション・テクノロジー(OT)とインフォメーション・テクノロジー(IT )におけるデータの流れをマッピングするためのインタラクティブなセンターである。同社は、技術的ソリューションを現代のサイバー課題に捧げるとしている。
「このラボでは、OPSWAT 、ゼロデイ攻撃に対するセキュリティ・ギャップを特定、分析、解消し、潜在的な脅威に対する具体的な対応策を見出す当社のユニークな能力を紹介するソリューションを実演しています」とグリックは説明する。
「その目的は、あらゆるレベルのライブ攻撃シナリオをシミュレートするインタラクティブな方法で、当社製品をデモンストレーションすることです。これにより、重要インフラ組織は、統合されたユーザーフレンドリーなサイバー防衛プラットフォームを通じて、当社のすべてのソリューションの動作を簡単に見ることができます。重要インフラには、輸送、銀行、政府機関、セキュリティ機関など16のカテゴリーが定義されています。"
今日、サイバーセキュリティに対するゼロトラスト・アプローチの導入はどの程度一般的なのだろうか?
「情報セキュリティの世界全体がゼロ・トラスト・モデルに向かっており、組織の規範もエンドポイントに至るまでゼロ・トラスト・モデルを採用している。最近、このアプローチは電子メール・セキュリティの世界でも認知され、届くファイルはすべてチェックされ、信頼されるべきではないという理解が広がっている。
本文から添付ファイルに至るまで、電子メール・メッセージのあらゆる要素を、一連の必要なプロセスを経て徹底的に検査する必要があります。ゼロ・トラスト・アプローチを採用することで、組織のセキュリティ態勢を大幅に強化することができる。
例えば、暗号化されたファイルは伝統的にスキャンされなかった。今日では、暗号化されたファイルも信頼されるのではなく、スキャンされる。この後、組織から出るメールはクリーンであると考えるのが妥当である。しかし、不必要な個人情報が含まれていたらどうだろう?あるいは、ユーザーが誤ってウイルスを送ってしまったら?このような場合であっても、現在ではゼロ・トラストのアプローチがある。
攻撃の複雑さだけでなく、攻撃の種類も増加しており、その多くは従来のセキュリティ・メカニズムによる検知を防ぐために、さまざまな巧妙な形態に隠れることができる。最近では、QRコードを使った攻撃が多い。ユーザーが携帯電話でQRコードをスキャンすると、簡単にフィッシング・サイトに入ることができる。ユーザーはパスワードの入力を求められ、それが攻撃者に届く。
エンドポイント上で容易に特定・実行できる有名な悪意のあるプログラムもあるが、休眠状態のプログラムもある。これらのプログラムは、エンドポイントに害を与えることなく、おそらく情報を収集し、実行中のプロセスから検出されることはありません。彼らはうまく身を隠し、起動するタイミングを待つ。
たとえば、攻撃者がこれらの脅威を組織内に大量にばらまき、そのすべてが特定の日に起動するように設定されている場合、その日まで特定されることはなく、その日が到来したときに同時に作動し、標的とされた組織を混乱させることができる。"
社内メールセキュリティの最大化
このようなサイバー上の課題により、組織は、より安全なアプローチやソリューションが何であるかという認識に従って、それぞれセキュリティへのアプローチを変えることになる。多くの組織は、活動の多くをクラウドに移し、そこでアプリケーションはプロバイダーのセキュリティによって保護されている。
現在、85%の組織がMicrosoft 365のEメールセキュリティパッケージ(E1/E3/E5)を使用している。その他の組織では、ローカルの保護を選択している。この方が、電子メールを媒介とする攻撃からよりよく保護できると考えているからだ。「電子メールセキュリティの課題を抱える組織や、特定の行動規範に従うことを求める規制がある組織は、ローカルの電子メールセキュリティを選択する傾向があります」とGlick氏は説明する。
「包括的な電子メール・セキュリティ対策を備えた独立したネットワークを求めている。当社のマルウェア対策エンジンの多くはクラウド上で動作し、メールに添付されたファイルが悪意のあるものかどうかを判断するため、これがOPSWAT の利点です。そのため、私たちはクラウドから切り離されて機能するソリューションを構築し、妥協することなく、すべての防御プロトコルを含む内部メール・セキュリティを構築するための一連のオプションを提供しました。
セキュリティをより重視する組織でも、電子メールを移行したり、クラウドのMicrosoft 365に移行したりすることができます。
メールボックスに脅威として残る休眠状態のマルウェアにどう対処するか?
「このようなマルウェアを特定し、無力化する理想的な方法は、Deep CDR ソリューションを使用することです。例えば、攻撃がWord文書に埋め込まれている場合、このソリューションは追加コンポーネントなしで文書を開くための安全なコピーを作成します。ドキュメントからテキストと画像だけを取り出し、基本的にゼロから再構築します。
第二段階では、ファイルはAdaptive Sandbox 入り、最も幅広いマルウェアの種類に従って、悪意のある動作がないかより深くチェックされます。私たちのSandbox 機能をメールセキュリティ市場の他のプレーヤーと比較すると、私たちがリーダーであることがわかります。
OPSWAT 現在、何千もの顧客を抱えており、そのほとんどがエネルギー、安全保障、政府といった重要な分野を扱う大企業や機関である」。
メールリスク評価でセキュリティギャップを発見する
フィッシングやマルウェア、防御を迂回したエクスプロイトを明らかにすることで、組織の既存のメールセキュリティ体制を包括的に把握することが不可欠です。
OPSWAT は、メールセキュリティの枠組みにおけるセキュリティギャップを特定するために設計された、実用的なメールリスク評価を提供します。最先端のEメールセキュリティテクノロジーにより、以下のような貴重な洞察を得ることができます:
- 99.98%の検出率を誇るReal-Time Anti-Phishingでフィッシングを発見。
- マルウェアをMultiscanning で識別。30以上のマルウェア対策エンジンを使用し、99.20%の検出率を実現。
- 従来のサンドボックスより10倍高速なリアルタイムSandbox 、未知のマルウェアを明らかにします。
- 150以上のファイルタイプをサポートするDeep CDR を使用して、ファイルベースのエクスプロイトを検出します。
最新の脅威に対する現在のメールセキュリティ対策を評価することで、セキュリティ体制を強化するための効果的な対策を講じることができるようになります。
