SCSK 吉田です。
今回はTrend Micro Cloud App Security(CAS)を用いたDropboxのセキュリティ強化について説明します。
クラウドストレージのセキュリティ問題
クラウドストレージとは
クラウドストレージはWeb上へのファイルアップロードや、アップロードしたファイルの共有、管理ができるサービスです。クラウドストレージの導入メリットとして以下が挙げられます。
- 複数のデバイスや様々なロケーションからアクセス可能
- 社内の全ファイルを一元管理可能
- データをバックアップし、データの紛失を防ぐことが可能
- 他社とのファイル共有が可能
クラウドストレージを導入することによるメリットは多数ありますが、十分なセキュリティ対策を講じずに利用すると、様々なリスクが顕在化する恐れがあります。
マルウェア拡散のリスク
クライアントPCを経由することなく、ファイルの交換をクラウド上のみで共有する場面が増えています。
そのため、クライアントPCにセキュリティ対策ソフトを入れていても、クラウドを経由したマルウェアの拡散が容易になっています。また、クラウドストレージをクライアントPCと連携させることにより、意図せずマルウェアに感染したファイルをクライアントPCにダウンロードしてしまい感染するといったリスクがあります。
機密情報漏洩のリスク
クラウドストレージを業務で利用する際に、意図せず個人情報が記載されたファイルをアップロードしてしまうリスクがあります。
クラウドストレージに個人情報をアップロードしてしまうと、意図しないユーザに個人情報が共有されしまうリスクがありますが、個人情報が記載されたファイルがアップロードされているかの確認は、各ユーザに任せるしかありません。
Dropbox標準のセキュリティ機能
Dropbox標準では以下のセキュリティ機能があります。
これらの機能によりマルウェアの拡散対策にはなりますが、マルウェアに感染したファイルをアップロード前に検出、分析することはできません。そのため、ウイルス対策を講じるためには別途セキュリティソリューションが必須になります。
Dropboxセキュリティアラート
Dropboxには標準で、疑わしいアクティビティ(データの大量一括削除や頻繁なログイン試行等)を早期に検出し、悪意のあるランサムウェア攻撃が拡散するのを検知、アラートする機能が搭載されています。
データの一括削除や頻繁なログイン試行、機密性コンテンツの外部共有を検知し、管理者にアラートします。アラートが届いた管理者は、削除されたファイルの復元やアラートの原因となったユーザの使用停止といった対策をとることが可能です。
ファイルダウンロード時のマルウェアチェック
Dropboxは共有リンクにアクセスしたタイミングで、マルウェア感染のチェックが行われます。共有されたファイルがマルウェアに感染していた場合、そのファイルにはアクセス不可になります。この機能により、マルウェアに感染されたファイルをクライアントPCにダウンロードしてしまう危険性が下がります。
Trend Micro Cloud App Securityとは
Dropbox等のクラウドストレージ、Microsoft Office 365等のクラウドアプリケーションは標準でセキュリティを搭載しています。しかし、今日の巧妙化した攻撃においては、高度な検知能力が必要になります。Trend Micro Cloud App Security(CAS)はサンドボックス技術を使用し、パターンファイル(既知のコンピュータウイルスの特徴を記載したファイル)との比較では検出できない不正プログラムからメールやファイルを保護するサービスです。
また、CASはクラウド to クラウドのAPI連携を使用するため簡単に導入が可能です。
構成イメージ
クラウドストレージ利用におけるリスクのうち、社外クラウドストレージや社外デバイスからのマルウェアが混入されてしまうリスクと、社内デバイスからの社内セキュリティポリシーに違反する機密情報がアップロードされてしまうリスクに対して、CASで対策することが可能です。
クラウド上でのファイル交換対策
CASでは下記機能を利用することにより、クラウドストレージに標準搭載されているセキュリティ機能を強化し、クラウドストレージによるマルウェアの拡散リスクを軽減します。
- パターンマッチングファイル検索
- 既知の不正プログラムに加えて、未知の脅威の検出に対応した不正プログラム検索
- サンドボックス動的解析
- クラウド型サンドボックスを用いた疑わしいファイルの分析による未知の脅威検索及び分析
- ドキュメント脆弱性検索
- 情報追加時と更新時にDLPが動作し、情報漏洩対策が可能です。
- ファイル内不正URL検索
- Webレピュテーションにより、ファイル内に含まれる不審なURLを検出することが可能です
機密情報保護対策
ファイル内の情報を検索(キーワード/正規表現を利用)することで、個人情報やマイナンバー等が記載されたファイルの利用状況を可視化可能です。クレジットカードや個人情報、マイナンバー等を検出する検索テンプレートが標準で200以上用意されており、個別にテンプレートの追加も可能です。
管理機能
管理コンソールから検出したログを確認、エクスポートが可能です。また、レポート機能により定期的に管理者へのメール通知が可能です。Microsoft 365の管理者アカウント情報を入力するだけですぐに利用可能です。
CASを用いたDropboxセキュリティ強化
ここからはCASの管理コンソール画面を用いて、CASで実現可能なセキュリティ効果の確認と検証を行っていきます。
ダッシュボード
CASの管理コンソール画面ダッシュボードです。CASと連携しているサービスから検出された脅威の数を確認可能です。今回の検証ではDropboxのみを利用しますが、以下のサービスと連携できます。
- Exchange Online
- OneDrive
- SharePoint Online
- Microsoft Teams
- Gmail
- Googleドライブ
- Box
- Salesforce Sandbox
各サービスを選択することでサービスごとの脅威検出数を確認できます。
高度な脅威対策ポリシー
高度な脅威対策ポリシー追加画面です。ここではマルウェアや特定の拡張子のファイルをクラウドストレージにアップロードされることを防ぐ機能、脅威と検知されたファイルを解析する機能を設定可能です。設定された機能は「✔」、未設定の機能は「×」が表示されます。
- 不正プログラム検索
- 検索対象のファイルが既知の脅威の対象になるかを判断した後に、未知の脅威を含んでいるかどうかを判断できます。ファイルの普及度や正常なファイルのホワイトリストを確認した上での検知も行うため、過検知・誤検知を抑えつつ検出力の向上を実現可能です。
- ファイルブロック
- 拡張子を選択し、特定の拡張子を持つファイルのアップロードをブロック可能です。
- Webレピュテーション
- ファイル内に含まれる不審なURLを検出することが可能です。設定することで、URLクリックで感染する標的型メールのような脅威への対策を強化することが可能です。
- 仮想アナライザ
- 不正プログラム検索、Webレピュテーションでスキャンされた脅威は、仮想アナライザ(クラウドサンドボックス)で動的な解析が必要になるケースがあります。設定すると、検知された脅威をリスク高/中/低/なしで評価可能です。
情報漏えい対策ポリシー
情報漏えい対策ポリシー追加画面です。ここでは、社内のセキュリティポリシーに違反する機密情報がアップロードされることを防ぐ設定ができます。
- 情報漏えい対策
- 事前定義済みのキーワードとパターンの組み合わせによって構成されているコンプライアンステンプレートが用意されており、クレジットカード番号・個人情報・マイナンバー番号などが記入されたファイルの検出を行うことが可能です。
高度な脅威対策ポリシー検証
初期設定で用意されている「初期設定のDropboxポリシー – 高度な脅威対策」を利用して、マルウェアが検出された場合の隔離処理と検出ログを確認します。
「初期設定のDropboxポリシー – 高度な脅威対策」を「オン」にします。
Dropbox上に検証用フォルダを作成します。ここに、検証用のテストウイルスをアップロードします。
隔離された脅威がここに表示されます。
現在は脅威が検知されていないため、「隔離」タブを選択しても何も表示されていません。
検証用テストウィルス「EICAR」をアップロードしました。
CASによって脅威が検知され、検証用テストウィルスは隔離されました。
隔離されたファイルはCASによって作成された隔離用フォルダに格納され、元フォルダ配下には隔離されたことを示すテキストファイルが保存されています。
「eicar.com_policy_violated.txt」を開いてみます。
セキュリティポリシーに基づきファイルが隔離されたことが記載されています。
Dropboxトップ階層に「trendmicro_cas_quarantine__dont_change_or_delete」フォルダが作成されています。
ここに隔離されたファイルが安全な形式に変換されて格納されます。
脅威が検出されたログが記載されています。
上記画像では、ウイルス対策ソフトでブロックされ、検証用テストファイルをアップロードできず、「隔離できません」と表示されているログも残っています。
ウイルス対策を検証する際は、ウイルス対策ソフトを一時停止する必要があります。
まとめ
CASを用いたクラウドストレージのセキュリティ対策と、CASとDropboxを連携したセキュリティ対策の検証を行いました。
クラウドストレージを利用する際に発生するリスクである、ファイルアップロードでマルウェアが混入、拡散してしまうリスクに対して、CASで対策することができました。