Skip to main content
このトピックでは、Shieldの脅威検出アラートを識別および管理するためのプロセスとベストプラクティスの概要を説明します。 悪意のあるコンテンツのルールは、ファイル内の脅威から保護するルールのため、このトピックではこのルールの種類に焦点を当てます。 このトピックのセクションは以下のとおりです。 皆さんは、CISO (情報セキュリティ最高責任者) が率いるセキュリティ専門家で構成される大企業チームの一員、BoxのShieldツールを使用して会社の安全を保つ任務を負う小規模な会社のIT (情報技術) チームのメンバー、または社内でBoxの全面的な管理を担当するただ1人の管理者であるかもしれません。 このトピックでは、特定のツールを推奨することはありません (できません) が、必要なセキュリティの基礎について説明します。

脅威検出アラート

Shieldの脅威検出アラートを受信したら、実際の脅威を表しているアラート、脅威を表していないアラート、2つの中間に位置づけられるアラートなのかを判断する必要があります。 脅威のケースは4つありますが、脅威検出アラートがトリガーされるケースは2つだけです。
  • 脅威なし、アラートなし: 常にこのケースになることが期待されますが、 残念ながら、現実世界でこのケースは多くありません。
  • 脅威あり、アラートなし: これは、どういうわけかセキュリティ対策をすり抜けた脅威を意味するため、決して発生してほしくないケースです。
  • 脅威なし、アラートあり: これは誤検出のため、検出した場合は、組織に対する脅威のリスクが増加しないようにしつつ、誤検出を減らすための措置を講じる必要があります。 また、誤検出への対応にかかる時間を最小限に抑える必要もあります。 Shieldの脅威検出では、この作業にかかる時間を短縮するのに役立つ情報が提供されます。
  • 脅威あり、アラートあり: これは、企業で検出された脅威で、分析および是正する必要があります。 Shieldの脅威検出では、分析および是正プロセスで役立つ情報が提供され、セキュリティの効率が高まります。

誤検出

誤検出には、主に2つの問題があります。
  • ITセキュリティ部門がアラートの調査に時間を費やす必要がある。
    • 組織の生産性に影響する。これは、ファイルに脅威が含まれていないのに、明確に解放するまでアクセスできなくなるためです。
特に絶えず進化する脅威の環境では、Shieldの脅威検出などのセキュリティソフトウェアの現行の課題の1つとして、誤検出と実際の脅威の区別が挙げられます。Shieldの脅威検出などのセキュリティソフトウェアの調整は、以下のような、さまざまなテクノロジを使用して行われます。
  • 人工知能 (AI)
  • 機械学習 (ML)
  • 評価ベースのスキャン
  • 人間による脅威インテリジェンスの収集
誤検出が存在する根本的な理由は、脅威検出が絶対的なものではなく確率的なものであるためです。 マルウェア検出の場合、ディープスキャンでファイル内の脅威を探す方法の一環で、いわゆる脅威インジケータが使用されます。 ただし、ファイルの種類によっては、これらの脅威インジケータは明白ではありません。 以下に例を示します。
  • Microsoft Officeドキュメントには、操作 (マクロや関係のあるオブジェクトなど) が含まれている場合やOLE (Object Linking and Embedding) 機能が使用されている場合があります。 この機能は、これらのドキュメントをホストするアプリケーションに対する権限を追加するよう設計されています (Excelには、特定の数式を入力することでアクティブ化できるフライトシミュレータもあります) が、大きな権限には大きな責任が伴い、脅威アクターはその権限を悪用します。 OLEやその他のテクノロジを使用すると、Officeドキュメントは、外部リソース (制御できない、存在を把握していないリソース) からインポートできます。
  • 望ましくない可能性のあるアプリケーション (PUA) とは、別のアプリケーションをインストールしようとしたときにインストールされるアプリケーションのことです。 一部のインストーラでは、このような「付随」アプリケーションを制御することもできません。
  • デュアルユースツールは、善と悪のいずれの用途にも使用できるアプリケーションです。 正規のアプリケーションが悪用される可能性があります。つまり、アプリケーションがブロックされている場合、名前のみで正規であると推測することはできず、その用途を調査しなければなりません。
脅威を調査する際は上記すべてを考慮する必要がありますが、誤検出はまれであるという傾向に変わりありません。 セキュリティソフトウェア (ShieldやShieldの脅威検出など) は、通常、絶えず変化する脅威の状況に対応するのに役立っています。 ただし、まれであっても可能性が低くても、誤検出は起こり得ることを意識する必要はあります。

脅威の優先順位付け

優先順位付けプロセスでは、重要で攻撃を示す脅威アラート、まったく脅威ではないアラート (誤検出を含む)、2つの中間に位置づけられるアラートを判断します。 また、優先順位付けでは、脅威を調査する順序も決定します。 マルウェア検出アラートの重大度を判定する際の考慮事項を以下に示します。
  • 脅威が評価スキャン、ディープスキャン、またはその両方で報告されているかどうか
  • 報告された優先順位
  • ファイルの種類
  • ファイルをどこから取得したか
  • ユーザーがファイルを入手しようとしていたかどうか
  • ファイルの送信者を知っているかどうか

脅威の調査

Shieldの脅威検出で提供される情報は、マルウェア検出アラートの調査に役立ちます。 評価スキャンまたはディープスキャンで脅威が報告された場合、その脅威の詳細は、アラートの詳細ページの各セクションに表示されます。 この情報には以下の内容が含まれます。
  • 暗号化SHA-1 (セキュアハッシュアルゴリズム) によるファイルのハッシュ値。これにより、ファイルのコンテンツに基づいて理論的に一意の値が生成されます。
  • 検出されたファイルの異常な特性 (スクリプト、マクロ、OLEオブジェクト、ActiveXオブジェクトなど)。
  • 脅威のマルウェアファミリ。
アラートのサンプルを次に示します。
malware-alert-example-annotated2-png
このマルウェアアラートの例の構成要素:
  1. 調査により脅威がないことが判明した場合は、[安全なファイルとしてマーク] をクリックします。 この操作により、ファイルに対する制限が解除されます。
  2. アラートをトリガーしたルールの種類 (この場合は、悪意のあるコンテンツのルール)。
  3. アラート優先度。アラートの優先順位付けに役立ちます。
  4. 脅威が検出されたファイルのアップローダー。
  5. [プレビュー] をクリックすると、ファイルを安全に表示できます。 プレビューでは、ファイルに含まれるマクロやその他のアクティブなコードが実行されることはありませんが、ファイルのコンテンツを確認できます。
  6. 脅威が検出されたファイルの名前。 ファイルのバージョンが複数ある場合は、脅威が検出されたバージョンを示すためにバージョンインジケータが表示されることもあります。
  7. ファイルのハッシュ値 (ファイルに生成された一意の値)。
  8. 検出されたマルウェアのファミリタイプ (ファミリが判明している場合)。
  9. スキャンの詳細。ファイルで検出された脅威の詳細が含まれる場合があります。
この情報は、脅威への対処方法を決定する際に役立ちます。 Boxのレポートで、ファイル、ユーザー、およびその他のアクティビティに関する情報を確認できるほか、コンテンツマネージャを使用して、不審なファイルをさらに分析するためにサンドボックス環境にダウンロードすることもできます。 例えば、[ユーザーアクティビティ] レポートには、[悪意があると判定されたファイル] という操作の種類 (イベント) があります。 このレポートでは、1人以上のユーザーと日付範囲を選択して、レポートのデータにフィルタをかけることができます。

脅威の是正

脅威の是正により、使用環境から脅威を取り除きます。 Shieldの脅威検出は、特に脅威を是正するためのツールではありません。特定の脅威の是正に使用するツールは、調査プロセスでその脅威について習得した内容によって決まります。 Boxには、使用環境の潜在的な脅威を管理できる、次のような機能が用意されています。
  • ダウンロードをブロックするShieldの機能
  • 管理者が管理対象ユーザーとしてログインし、脅威が含まれていると特定されたファイルをごみ箱に移動する機能
  • ファイルについてBox内で管理対象ユーザーと直接やり取りする機能