無害化製品はレベルが様々、簡易なものから高度なものまで
この記事の内容
今この瞬間にも、世界中で大量のマルウェアが蔓延しています。ドイツのセキュリティソフト評価機関であるAV-TESTによると、2018年の1年間に新しくできたマルウェアの数は1億3000万。平均すると、1日に37万以上も開発されています。マルウェアなどの脅威はさまざまな形でファイルに潜んでいますが、安全に業務を進めるためには、適切に対応する必要があります。
サイバーセキュリティの脅威の防御策のひとつであるファイル無害化ソリューション(CDR)とは、ファイル内のコンテンツを非武装化(潜在的な脅威を除去)し、ユーザビリティを維持したまま安全なファイルを再構築するものです。ただし、製品の持つ技術レベルや設定内容により、元のファイルと同じように利用できるとは限りません。安全面だけでなく利便性なども加味して、業務に最適なファイル無害化ソリューションを選ぶポイントを、OPSWAT JAPAN株式会社 シニアマーケティングマネージャ関谷宏さんにお伺いしました。
ファイル無害化ソリューションを決定する際の悩みどころとは
――ファイル無害化ソリューションを選ぶ際、押さえておくべきポイントはありますか。
関谷:一つ目は今の組織の環境を把握し、それに合った製品を選ぶことでしょう。Office文書やイメージファイル、動画など、業務で必要とするファイルの種類。また、zipやtarといったアーカイブファイルへの対応も確認しておく必要があります。WindowsやLinux、クラウドなど、使用しているプラットフォームがサポートされていることも重要です。
二つ目はユーザビリティです。例えば、Excelファイルのマクロやハイパーリンク、メタデータなど、脅威となる可能性があるコンポーネントを除去、無効化できれば、基本的な使用性は損なわれません。一方で、中には使用性が犠牲になる製品もあります。リスクを低減しながらも、業務が成り立つソリューションが望ましいでしょう。
他には、無害化製品の品質や信頼性も重要です。製品検証で、実際のマルウェアを用いたテストや、自動化テスト等で大量のテストファイルを効率よく検証している製品がよいでしょう。さらに、今の組織環境のシステムで処理しているファイル数を、製品導入後も業務に支障をきたすことなく運用できるかを事前に検証する必要があります。また、製品がサードパーティライブラリーを利用している場合には、ライセンスの合法性を確認しておくとよいでしょう。
これらの選定を間違えると、ファイルが思うように使えなかったり、導入した後のパフォーマンスが悪かったりと、結局、別の製品に乗り換えなくてはならなくなります。
簡易的~高度な製品まで、レベルごとにできること、できないことを整理しよう
――無害化製品のレベル分けをするなら、何段階程度に分けるとわかりやすいでしょうか?
関谷:まず、ユーザビリティの維持がサポートされていない製品では、WordなどのOffice文書を、テキストファイルや、PDF、画像ファイルに変換するものがあります。使用性が変ってしまうため、業務に支障が出るかもしれません。より高度な製品は、ファイル内部の潜在的な脅威を除去し、入力ファイルと同じ形式でファイルを再構築して利用できるようにするCDR(Content Disarm and Reconstruction)を実装しています。その中では、例えば、Word内のマクロ、ハイパーリンク、画像、埋め込みオブジェクトなど、悪意を持ちうるコンポーネントの非武装化、また、コンポーネントが入れ子になる場合は、非武装化の再帰性が製品選びの境目となるでしょう。
ユーザビリティがサポートされていない製品(ファイル形式の変換)
レベル | できること | できないこと | 可能性のある課題 |
ベーシック | ・ファイル形式の変換による無害化 (例:Word→テキストファイル、PDF、画像ファイル) | ・ファイルのユーザビリティの担保 | ・既存業務フローやプロセスへの影響 |
コンテンツの非武装化と再構築(CDR)
レベル | できること | できないこと | 可能性のある課題 |
ベーシック | ・限定的なファイル形式の部分的なコンポーネントのみ処理 | ・イメージやアーカイブ、CADファイルなどの無害化 ・悪意を潜ませることができるファイル内のコンポーネントの無害化 ・再帰処理 | ・セキュリティリスクの残存 ・サポート対象外ファイルを別プロセスで対応 |
アドバンス | ・多くのファイル形式をサポート ・悪意を持たせることができるコンポーネントを再帰的に処理し、ユーザビリティを維持し安全に再構築 ・マクロやメタデータ、ハイパーリンク、埋め込みフォント、埋め込みオブジェクト等、ファイル構造の細部まで処理 | ・新たなファイル形式への対応 ※対応するファイル形式がサポートされていない場合でも、当該ベンダーのファイル形式の新規対応状況を確認することで、そのベンダーの対応力の把握が可能 |
どのレベルを選べばいい? 無害化ソリューションの選び方
――簡易的な製品を選んだ場合、どのようなリスクがありますか?
関谷:まずは、ユーザビリティを考慮していない製品を選んだ場合、ファイルを変換することで無害化を実現しているため、取引先から送られてきたWordなどのOffice文書をPDFや画像ファイルに変換します。既存の方法で編集ができず、業務が成り立たない職場も多いでしょう。また、CDRを実装している製品でも、通常のオフィスファイル以外にもよくやり取りされる、一太郎やcsv、アーカイブファイル、CADデータに対応していない場合があります。それらのファイルを開けないと、異なる業務フローで安全性を確認するか、業務を中断させるしかありません。
2018年に、日本をターゲットとしたマルウェアのキャンペーンが発生したことがありました。『注文書の件』などの件名で、Excelファイルが添付されたメールが送られてくる一連の攻撃において、悪意のあるスクリプトが埋め込まれた画像が使われていました。CDRが画像ファイルに対応していない場合、これらのファイルを無害化することはできません。また、製品によっては、画像を無害化するために画像にノイズを含ませるものもありますが、職種によっては弊害となる可能性があります。
OPSWAT Deep CDRでは、無害化の前後で画像ファイルに見た目の変化はない。
――どのレベルの製品を選べば良いか考える際、指標のようなものはありますか?
関谷:繰り返しとなりますが、組織の環境や業務を把握することが大切です。対応するファイル形式や、環境に合ったパフォーマンス要件、プラットフォームなどのバランスを考えて検討するとよいでしょう。仮に、対応するファイル形式がサポートされていない場合でも、製品の新たなファイル形式の対応状況を確認することで、そのベンダーの対応力が把握できます。そして、各ファイル形式において、一部のコンポーネントだけを対象とするのではなく、悪意を持ちうるコンポーネントを再帰的に非武装化していることが重要です。また、高度な製品は、非武装化するコンポーネントの設定ができ、例えば、Excelのマクロが組織として必要な場合、無効化をオフにすることも可能です。リスクとユーザビリティの落としどころや、他のセキュリティ技術による検査などを検討する必要があります。
より強固なセキュリティを構築するため、他のセキュリティ技術と容易に連携し、多層防御をシームレスに実現できることも選択肢となります。例えば、複数のアンチマルウェアエンジンでファイルをスキャンするマルチスキャン技術によるマルウェアの検知率アップや、脆弱性があるファイルの組織内への持ち込みを防止する脆弱性検査技術などと、新たな仕組みを追加することなくシームレスに連携できることも重要なポイントだと思います。
「無害化」とひとことで言っても、そのレベルはさまざま。ベンダーによっては、ファイル形式を変換して「無害化」とする製品もありますが、ファイルの使用性を損なわずにコンポーネントレベルで非武装化する製品もあります。高度な製品は「悪意あるコードを組み込めるすべてのコンポーネントを再帰的に処理し、安全なファイルとして再構築する」という、安全性と利便性をともに兼ね備えているのです。
取材・執筆:栃尾江美
「FileZen S」のご案内
FileZen S は、ネットワーク分離環境で「自分から自分」へのファイル受け渡しをシンプルかつ安全に行うことができる新しいコンセプトの製品です。
ファイル無害化製品 Votiro およびOPSWAT と自動連携し、ファイルの潜在的な脅威を排除します。