CASでDropboxのセキュリティを強化してみる

SCSK 吉田です。

今回はTrend Micro Cloud App Security（CAS）を用いたDropboxのセキュリティ強化について説明します。

クラウドストレージのセキュリティ問題
Dropbox標準のセキュリティ機能
1. Dropboxセキュリティアラート
2. ファイルダウンロード時のマルウェアチェック
Trend Micro Cloud App Securityとは
CASを用いたDropboxセキュリティ強化
高度な脅威対策ポリシー検証
まとめ

クラウドストレージのセキュリティ問題

クラウドストレージとは

クラウドストレージはWeb上へのファイルアップロードや、アップロードしたファイルの共有、管理ができるサービスです。クラウドストレージの導入メリットとして以下が挙げられます。

複数のデバイスや様々なロケーションからアクセス可能
社内の全ファイルを一元管理可能
データをバックアップし、データの紛失を防ぐことが可能
他社とのファイル共有が可能

クラウドストレージを導入することによるメリットは多数ありますが、十分なセキュリティ対策を講じずに利用すると、様々なリスクが顕在化する恐れがあります。

マルウェア拡散のリスク

クライアントPCを経由することなく、ファイルの交換をクラウド上のみで共有する場面が増えています。
そのため、クライアントPCにセキュリティ対策ソフトを入れていても、クラウドを経由したマルウェアの拡散が容易になっています。また、クラウドストレージをクライアントPCと連携させることにより、意図せずマルウェアに感染したファイルをクライアントPCにダウンロードしてしまい感染するといったリスクがあります。

機密情報漏洩のリスク

クラウドストレージを業務で利用する際に、意図せず個人情報が記載されたファイルをアップロードしてしまうリスクがあります。
クラウドストレージに個人情報をアップロードしてしまうと、意図しないユーザに個人情報が共有されしまうリスクがありますが、個人情報が記載されたファイルがアップロードされているかの確認は、各ユーザに任せるしかありません。

Dropbox標準のセキュリティ機能

Dropbox標準では以下のセキュリティ機能があります。
これらの機能によりマルウェアの拡散対策にはなりますが、マルウェアに感染したファイルをアップロード前に検出、分析することはできません。そのため、ウイルス対策を講じるためには別途セキュリティソリューションが必須になります。

Dropboxセキュリティアラート

Dropboxには標準で、疑わしいアクティビティ（データの大量一括削除や頻繁なログイン試行等）を早期に検出し、悪意のあるランサムウェア攻撃が拡散するのを検知、アラートする機能が搭載されています。

データの一括削除や頻繁なログイン試行、機密性コンテンツの外部共有を検知し、管理者にアラートします。アラートが届いた管理者は、削除されたファイルの復元やアラートの原因となったユーザの使用停止といった対策をとることが可能です。

ファイルダウンロード時のマルウェアチェック

Dropboxは共有リンクにアクセスしたタイミングで、マルウェア感染のチェックが行われます。共有されたファイルがマルウェアに感染していた場合、そのファイルにはアクセス不可になります。この機能により、マルウェアに感染されたファイルをクライアントPCにダウンロードしてしまう危険性が下がります。

Trend Micro Cloud App Securityとは

Dropbox等のクラウドストレージ、Microsoft Office 365等のクラウドアプリケーションは標準でセキュリティを搭載しています。しかし、今日の巧妙化した攻撃においては、高度な検知能力が必要になります。Trend Micro Cloud App Security（CAS）はサンドボックス技術を使用し、パターンファイル（既知のコンピュータウイルスの特徴を記載したファイル）との比較では検出できない不正プログラムからメールやファイルを保護するサービスです。

また、CASはクラウド to クラウドのAPI連携を使用するため簡単に導入が可能です。

構成イメージ

クラウドストレージ利用におけるリスクのうち、社外クラウドストレージや社外デバイスからのマルウェアが混入されてしまうリスクと、社内デバイスからの社内セキュリティポリシーに違反する機密情報がアップロードされてしまうリスクに対して、CASで対策することが可能です。

クラウド上でのファイル交換対策

CASでは下記機能を利用することにより、クラウドストレージに標準搭載されているセキュリティ機能を強化し、クラウドストレージによるマルウェアの拡散リスクを軽減します。

パターンマッチングファイル検索
- 既知の不正プログラムに加えて、未知の脅威の検出に対応した不正プログラム検索
サンドボックス動的解析
- クラウド型サンドボックスを用いた疑わしいファイルの分析による未知の脅威検索及び分析
ドキュメント脆弱性検索
- 情報追加時と更新時にDLPが動作し、情報漏洩対策が可能です。
ファイル内不正URL検索
- Webレピュテーションにより、ファイル内に含まれる不審なURLを検出することが可能です

機密情報保護対策

ファイル内の情報を検索（キーワード/正規表現を利用）することで、個人情報やマイナンバー等が記載されたファイルの利用状況を可視化可能です。クレジットカードや個人情報、マイナンバー等を検出する検索テンプレートが標準で200以上用意されており、個別にテンプレートの追加も可能です。

管理機能

管理コンソールから検出したログを確認、エクスポートが可能です。また、レポート機能により定期的に管理者へのメール通知が可能です。Microsoft 365の管理者アカウント情報を入力するだけですぐに利用可能です。

CASを用いたDropboxセキュリティ強化

ここからはCASの管理コンソール画面を用いて、CASで実現可能なセキュリティ効果の確認と検証を行っていきます。

ダッシュボード

CASの管理コンソール画面ダッシュボードです。CASと連携しているサービスから検出された脅威の数を確認可能です。今回の検証ではDropboxのみを利用しますが、以下のサービスと連携できます。

Exchange Online
OneDrive
SharePoint Online
Microsoft Teams
Gmail
Googleドライブ
Box
Salesforce Sandbox

各サービスを選択することでサービスごとの脅威検出数を確認できます。

高度な脅威対策ポリシー

高度な脅威対策ポリシー追加画面です。ここではマルウェアや特定の拡張子のファイルをクラウドストレージにアップロードされることを防ぐ機能、脅威と検知されたファイルを解析する機能を設定可能です。設定された機能は「✔」、未設定の機能は「×」が表示されます。

不正プログラム検索
- 検索対象のファイルが既知の脅威の対象になるかを判断した後に、未知の脅威を含んでいるかどうかを判断できます。ファイルの普及度や正常なファイルのホワイトリストを確認した上での検知も行うため、過検知・誤検知を抑えつつ検出力の向上を実現可能です。
ファイルブロック
- 拡張子を選択し、特定の拡張子を持つファイルのアップロードをブロック可能です。
Webレピュテーション
- ファイル内に含まれる不審なURLを検出することが可能です。設定することで、URLクリックで感染する標的型メールのような脅威への対策を強化することが可能です。
仮想アナライザ
- 不正プログラム検索、Webレピュテーションでスキャンされた脅威は、仮想アナライザ（クラウドサンドボックス）で動的な解析が必要になるケースがあります。設定すると、検知された脅威をリスク高/中/低/なしで評価可能です。