マルウェア(メール)への対策事例
標的型攻撃のメールも早期に検知・駆除します

設計概要

メールボックスに着信する前にウイルスメールやスパムメールを検知し、必要に応じて対応することを基本構成とします。
また、複数の異なるベンダの製品を導入することにより、多段でマルウェア検査を実施します。
送信元アドレスがフリーメールの場合はカスタム条件により、注意喚起文の挿入を行い、不審メールへの注意を促がします。同時に、振る舞い型マルウェアの検査も実施し、該当メールを隔離又は削除を行います(自動隔離し、問題無い場合は管理者が手動リリース)。

構築概要

インターネット接続セグメントにメール中継サーバとして、「Cisco Email Security Appliance」(ESA)を2台(クラスタ)、同様にインターネット中継サーバ管理装置「Cisco Security Management Appliance」(SMA)も2台(ホットススタンバイ)配置しました。
ESAを通過したメールは標的型攻撃対策メールサーバ「FireEye EX8400」(FireEye EX)2台(クラスタ)でさらに解析を行います(サンドボックス解析)。
送受信メールは同一の経路を通過する仕組みとし、常に多段でのマルウェア検査を実施する仕組みとしました。
また、送信ドメイン認証(DKIM/SPF)、NDR、迷惑メール、ZIP暗号化ファイルの検査などは、ESAのフィルタルールで対応しています。

導入効果

ESAは、要件に合わせてフィルタルールを作成し、迷惑メールをブロックできています。また、2種類のアンチウイルスエンジン(McAfee・Sophos)での厳重なウイルスチェックを実施しています。
しかし、それでも通過してしまう場合(未知の脅威等)を想定し、後続のメールサーバやデスクトップ・ストレージ等でも別途ウイルスチェックを実施している為、最小限のリスクでご利用いただけています。
標的型攻撃のメールに関しても、FireEye EXのサンドボックス解析によりユーザーへの配信前に検知し、不審メールを受信することを防いでいます。
上記の構成に加え、お客様のセキュリティ意識向上のため社内教育を実施し、不用意なメールの開封や誤送信による情報漏洩などのセキュリティインシデントの発生を限りなく抑制できています。

導入効果