技業LOG
PCセキュリティ対策の基本
~アンチウイルスソフトの導入~
昨今の企業のICT環境において、情報端末であるPCは、業務に不可欠な存在だ。従業員は、事業運営に必要な情報を、PCを通じて登録・蓄積、編集・分析・公開することで、企業活動が成り立っている。
PC上で扱われる情報は会社の資産そのものであることが大半であり、経営課題である情報セキュリティ対策において、PCは第一に取り組むべき保護対象といえる。
PCのセキュリティ対策は、アンチウイルスソフトの導入によって実現されるのが一般的だ。アンチウイルスソフトは、マルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアやコードの総称)から端末を防御する機能を提供している。その仕組みは、“シグニチャ”や“定義ファイル”と呼ばれる“特定のマルウェア検体に共通する一続きの文字列”を用いたファイルのパターンマッチングによる検知、駆除である。
アンチウイルスソフトベンダーは、世界中で検出されたマルウェア情報を日々分析し、検知・検出できるシグニチャを作成、アンチウイルスソフトが導入されているPCへ展開することで日々発生しているマルウェアによる攻撃からの防御を実現している。
この仕組みは、“警察の指名手配”の手法に例えることができる。検知したいマルウェアを捕まえたい犯人とすると、氏名、顔写真、身長などの情報を“指名手配犯情報”として、全国の警察署に展開し、指名手配犯に一致する人を犯人として検挙する仕組みである。
日々犯罪者は多数発生しており、指名手配犯情報が古いままだと、犯人を捕らえることができないことがある。シグニチャを最新の状態にしておくことが重要でと言われるのは、こういった仕組みであるためだ。
従来のアンチウイルスソフトでは防ぐのが難しい新しい攻撃手法
しかしながら、このセキュリティ対策だけで情報資産の保護が十分であるとはいえないのが実情である。
マルウェアを仕掛ける側の攻撃者は、以前は単なる嫌がらせや知識を披露する愉快犯も多かったが、現在は企業の重要情報の搾取や業務停止につながるシステム障害をなど甚大な被害をもたらすサイバー攻撃をビジネスとして実行している。
こういった状況の中、攻撃の手法も日々進化しており、従来の対策では検知・駆除できない新しい攻撃手法が日々開発されている。
昨今話題となった攻撃手法のいくつかを紹介する。
- 標的型攻撃メール
不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことなどを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメール。 - ランサムウェア
感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムのこと。身代金要求型不正プログラムとも呼ばれる。 - コインマイナー
「仮想通貨発掘プログラム」と呼ばれるマルウェア。「コイン」の名の通り仮想通貨を対象として、「マイナー(採掘者)」として動作する。 - ファイルレス攻撃
標的にしたマシンにソフトウェアをインストールすることなく、Windows等OSに組み込まれているツールをハイジャックして攻撃する手法のこと。シグニチャがないためアンチウイルスソフトでの検出は非常に困難である。 - ゼロデイ攻撃
新たな脆弱性(セキュリティホール)が発見されたときに、問題の公表や修正プログラムが提供される前に行われるサイバー攻撃のこと。対策を取られる日を1日目(ワンデイ)と考え、それより前に行われるので0日目=ゼロデイと呼ばれる。
次世代型エンドポイントセキュリティの登場
これら進化する攻撃手法に対抗するには、これまでにはない新しい手法が求められる。最近では、“次世代型”と呼ばれる新しい手法が開発され、導入効果への注目が高まっている。この次世代型に分類されるセキュリティ対策機能を紹介する。
- AIを活用したマルウェア検知
AI(人工知能)を活用した未知、および既知のマルウェア攻撃を未然に防ぐ技術である。マルウェアは毎日何万件も発生しており、ネットワーク全体に展開されたセキュリティ製品には膨大なデータが蓄積されている。これらデータをAI、特にマシーンラーニングやディープラニングといった技術を用い、マルウェアの特徴をつかみ法則化することで、マルウェアの検出能力が格段の向上している。 - 振る舞い検知
従来型のシグニチャでは対処できない未知のマルウェアについて、その挙動などから悪意のあるプログラムを識別し、検知していく方法である。マルウェアが動作するであろう処理を登録しておき、検査対象と突き合わせて判断する手法や検査対象のプログラムを実際に動かしてその動作から判断する手法が用いられている。 - EDR
EDRとは「Endpoint Detection and Response(エンドポイントでの検出と対応)」の略であり、端末であるPCでの脅威を検知し、対応を支援する機能のことである。高度な技術でマルウェアに感染しないための対策が重要であることに変わりはないが、“不正な挙動の検知およびマルウェアに感染した後の対応を迅速に行うこと”が主目的となっている。
これら最近のセキュリティ対策は、複数の手法や非常に多くの情報を扱うため、これら新しい対策の運用がこれまで以上に重要になる。従来型では、アンチウイルスソフトの導入の管理、シグニチャの最新化の管理が主な運用作業であったが、次世代型ではアラートの判定、影響範囲の特定、事後のオペレーションの管理など、機能・情報が高度化するに伴い、攻撃に応じた対処がセキュリティ管理者自身で行えるようになってきている。最近のセキュリティ対策の機能を導入するだけでなく、その機能を十分に発揮できる運用を実施することが、今できるセキュリティ対策として最も効果的といえる。
先の従来型の対策は “指名手配による容疑者の検挙”と紹介した。たとえ話を交えてこれまでの内容をまとめると次のようになる。
項目 | セキュリティ対策 | たとえ話(犯人逮捕) | |
---|---|---|---|
従来型の対策 | シグニチャでマルウェアを検知・駆除 | 指名手配犯リストで犯人を検挙 | |
従来型の問題点 | シグニチャにないマルウェアは検知できない | 指名手配犯リストにない犯罪者は捕らえられない | |
次世代型の対策 | AI活用 | マルウェアの高度分析 | 変装、整形を見破る! |
振る舞い検知 | プログラム動作の監視 | 不審な動き(下調べ)や危険な動き(武器を出す)で検挙! | |
EDR | 事後の情報収集、対処 |
|
|
運用の重要性 | 誤検知、過検知の対処 アラートは上がるも対処できない |
誤認逮捕や取り逃がし |
NTTPCが提案するエンドポイントセキュリティ
NTTPCコミュニケーションズが提供する“エンドポイントセキュリティ対策サービス”はこれらの次世代型の機能だけでなく、運用まで含めてサービスとして提供している。
“従来型のセキュリティ対策だけでは不安で、次世代型を導入したい”、“次世代型の対策に興味はあるけど、使いこなすノウハウがない”といった情報システム管理者さまにお勧めだ。
また、本サービスは、運用を容易に実行できるクラウド型のコンパネを提供しており、サービス事業者さまが自社のサービスとして提供できるプラットフォームとしてご利用可能だ。
アラート毎の必要な対処や、未対処のケースの管理など、セキュリティ運用に必要な作業を支援する機能を提供している。
想定されるワークフローや各種マニュアルも充実しており、早期にサービス提供を開始した事例も増えつつある。
“自社のサービスラインナップを強化したい”、“運用を取り込んで自社顧客の囲い込みを実施したい”といったサービス事業者さまに大変お勧めだ。
おわりに
最後に“次世代型は検討したけど、ちょっとまだ価格が高くて手が出ない”というシステム管理者さま、サービス事業者さま、当社サービスは、中堅・中小のお客さまにもご利用になれる価格帯となっている。ズバリ価格だけでも構わないので、お気軽にお問合せください。
技業LOG