ゼロデイ攻撃対策にも繫がる Client Reputation

以前寄稿した「AKAMAI と SIEM と CLOUD SECURITY」でも述べさせていただきましたが、近年のサイバーセキュリティは高度化、迅速化がより重要なキーワードとなっております。
迅速化の一例として、2018年の Apache Struts2の脆弱性に対しての攻撃では、弊社観測情報として脆弱性の情報公開から2日未満でその脆弱性を突いた攻撃が行われ、その1日後には大規模な攻撃キャンペーンに至った、という例もございます。こちらはあくまで公開できる情報からの参考となりますので、ボットネットが攻撃プラットフォームとして容易に利用できるようになってしまっている昨今では、例えバーチャルパッチの位置付けであるWAFソリューションを導入していたとしても攻撃への迅速な対処という観点では万全であると言えない状況となっております。
本稿でご説明する AKAMAI の Client Reputation は既に別の投稿でも説明がある通り、この 「Apache Struts2 の脆弱性に対しての攻撃=ゼロデイ攻撃を未然に防御する」という大きな効果を発揮した AKAMAI の Cloud Security ソリューションとなります。当時の状況については「APACHE STRUTS2脆弱性攻撃のゼロデイ防御に成功!」の投稿をご参照いただくとして、その中で活躍した Client Reputation について掘り下げてご説明させていただきます。
AKAMAI Client Reputation とは
AKAMAI は Cloud Security Solution としてフラッグシップである Kona Site Defender(以下、KSD) を中核に Bot Manager や API Protection など、より高度な攻撃に対応できるよう多層防御機能を強化し、順次リリースしておりますが、Client Reputation は KSD および Bot Manager をご導入済みのお客様はスイッチをオンにするぐらいの感覚で容易に導入いただくことが可能なソリューションとなっております。
Reputation は日本語訳すると、評判やうわさ≒格付け、という訳となりますが、AKAMAI の Client Reputation を一言で説明すると「膨大な脅威インテリジェンス情報を有するAKAMAIが全世界のIPアドレスに対して格付けを行い、危険なIPアドレスからのアクセスを検知・防御する」という機能となります。その脅威に対する効果としては、私はよく例えとして「指名手配犯情報を持った監視カメラが玄関先を監視し、指名手配犯が現れるとアラートをあげ、犯行に及ぶ前に対処ができる(不正アクセスの未然防止)」という言い方で説明させていただいております。
AKAMAI Client Reputation の特徴であり冒頭で述べた大活躍を可能にしたポイントは、Reputation 情報の質と検知・ブロック設定の柔軟性という2つが挙げられます。
Reputation 情報の質:網羅性
情報の質を考える場合、網羅的であるか(母数がどれくらいか)、そこから導きされた内容が正確・精密であるか(アキュラシー)というところがポイントになります。
Akamai Intelligent Platform では、日々、世界中の様々な不正・攻撃トラフィックを検知・防御しており、その中で膨大な情報を収集し「脅威インテリジェンス情報」として、製品、サービスへの活用を行なっております。その「脅威インテリジェンス情報」を基に クライアントIPアドレスのスコアリングも行なっており、以下のように「世界中のクライアント IP の脅威測定情報」として公開しております。
<世界中のクライアンIPの脅威測定情報のイメージ>

※こちらのリンクをクリックいただくことにより、実際の公開ページをご覧いただけます。
Reputation 情報の質:アキュラシー
アキュラシーという観点では、顧客最適化と時間軸というところが挙げられます。
現在世の中で提供されている多くの IP Reputation ソリューションは、クライアントまたは IP アドレスごとにスコアを 1 つのみ、しかもどのお客様に対しても同じスコアを提供するモデルが一般的です。
AKAMAI の Client Reputation では自社開発による最先端のリスク分析エンジンを使用して、ソース IP アドレスごとにインダストリ特性、地域特性、それらとお客様の相関関係などを踏まえてリスクスコアを計算し、そちらを導入するお客様ごとに最適化した形で提供します。
<Client Reputation Details(管理ポータル上のClient Reputation 用ダッシュボードの1つ)>

AKAMAI Client Reputation では、
- Web Scrapers:悪意のあるスクレイピングに対してのカテゴリ。例えば Phishing Site 構築に繫がるようなアクセス。
- Scanning Tools:Web Site の脆弱性をスキャンするようなアクセスに対してのカテゴリ。
- Web Attackers:SQL Injection など不正リクエストを送出しているIPアドレスに対してのカテゴリ。
- DoS Attackers:GET Flood などアプリケーションレイヤーに対しての DoS攻撃を行なっているIPアドレスに対してのカテゴリ。
上記の4つのカテゴリに分類しつつ、それぞれのお客様に最適化されたリスクスコアを算出、提供いたします。
次に時間軸という観点では同様に「クライアントIPアドレスのスコアリング情報を見る画面」で解説させていただきます。
上の図版の折れ線グラフでも表されている通り、スコアリングについてはイベントをトリガーに再算出されニアリアルタイムで提供がなされます。
また下の図版の通り、何のイベントがトリガーとなってスコアが増加したのか、低下したのかについても可視化され情報提供がなされます。

こちらの解説に用いた図では、とあるIPアドレスが定期的に様々なサイトにスキャニングを行いつつ、あるタイミングで不正なリクエストを送りつける攻撃を行い出したことが時系列で追って見れます。折れ線グラフのオレンジ色(Web Attackers)の最後の部分と Scoope Event の強調した部分に着目いただくと、攻撃が開始されたタイミングで一気にスコアが増加し、危険なIPアドレスである判定がなされております。
まさしくこの部分が「APACHE STRUTS2脆弱性攻撃のゼロデイ防御に成功!」で大活躍をした理由の部分であり、ゼロデイ攻撃やその横展開に対して、攻撃リクエスト自体を検知するWAFモデルではなく、攻撃元をマークすることによりお客様サイトに攻撃が行われる前から不正アクセスをブロックする、という Client Reputation の効果をご理解いただけるポイントとなります。
検知・ブロック設定の柔軟性
ここまで AKAMAI Client Reputation の「Reputation 情報の質」について述べてきましたが、セキュリティソリューションを導入する上で重要なポイントが「検知率と誤検知率」のバランスであり、誤検知への対応となります。
AKAMAI Client Reputation ではこれまでの説明の通り、高いアキュラシーを持ち「高い検知率と低い誤検知率」を非常に高いバランスで提供できるソリューションではありますが「それでも正規ユーザーのアクセスを止める可能性があるかもしれない」という懸念により、導入及び利用促進をためらうケースも存在いたします。
AKAMAI Client Reputation は各カテゴリ毎に検知するスコア、ブロックするスコアを定義することが可能であり、例えば Web Attackers の判定をされているIPアドレスからのアクセスで、スコアが4以上だと検知し、スコアが7以上だとブロックする、一方、Web Scrapers はスコアが7以上で検知し、スコアが9以上のものをブロックする、といった検知とブロックの組み合わせ設定が可能です。
更に以下の設定画面のように、国内からのアクセスか否か、どのURLパスへのアクセスか、といったよりきめ細やかな条件を設定することも可能となっております。
<AKAMAI Client Reputation 設定画面>

上記は、www.client-reputation.com/jp 配下に海外からスコア 7 以上の Wet Attackers 判定のIPアドレスからアクセスがきたらブロック、という設定を行なった例となります。
このように、スコアを一律に適用するのではなく、ある条件の場合はシビアにブロック設定を行い、それ以外ではリスクヘッジの為に緩やかなブロック設定や検知のみとする、というような柔軟な設定が可能となっています。
また、弊社セキュリティエキスパートにより定期的に現状の設定及びトラフィックログ分析を踏まえたレビューをさせていただき、設定の推奨やチューニングを行わせてもいただきます。
上記の通り「検知・ブロック設定が柔軟に可能」なことと「セキュリティエキスパートの推奨」による導入・運用により、安全に且つお客様毎に最適な防御設定をご提供させていただきます。
AKAMAI Client Reputation まとめ
本稿では AKAMAI Client Reputation についてその機能であり特徴を解説させていただきました。
「セキュリティに100%はない」という言葉がありますが、昨今のより高度化・迅速化するサイバー攻撃に対しては、WAFを始めとする現行犯逮捕的なソリューションだけでは十分であると言えない状況となっており、重要サイト、アプリケーション、APIに対してはより強固な多層防御網を構築していく必要に迫られております。
AKAMAI の Client Reputation は犯行が行われる前の悪意を向けられたタイミングで検知・ブロックを精度高く行なっていくことが可能であり、一般的に対策が困難と言われていた「ゼロデイ攻撃に対しての防御」に対して有効なソリューションとなります。また、その効果についてはコンセプトだけでなく、既に実績として表れており、Client Reputation を含めた AKAMAI Cloud Security ソリューションは Gartner や Forrester Wave などの第三者評価機関からいずれもトップレベルの評価を受けております。
Webセキュリティの向上をご検討されておられる皆様方の一助となればと、今回の寄稿をさせていただきましたが、AKAMAI ソリューションを導入済みの方も、まだ導入をされていない方も、ご興味を持たれた方は弊社営業担当、または弊社パートナー様へお気軽にお問い合わせいただけますと誠に幸いです。