【情シス基礎知識】次世代のセキュリティ対策とエンドポイントセキュリティの最新動向
サイバー攻撃の複雑化・巧妙化から、求められるセキュリティ対策も変化しています。IT活用が当たり前になった現代で、会社ごとに適したセキュリティ環境を築くことはもはや必須です。そこで今回は次世代セキュリティ対策と、その重要度がますます高まるエンドポイントセキュリティの最新動向をお伝えしましょう!
この記事の目次 [hide]
【サイバー攻撃】増大するサイバー攻撃の頻度と脅威
いつも気がかりな情報セキュリティ。社内PCやノートPCばかりか、タブレットもスマホも当たり前に使うようになって、「いつか万が一の事態が起こるのでは?」と、頭を抱える情シスも多いはず。
実際、サイバー攻撃は近年で右肩上がり。情報通信研究機構(NICT)が観測したグローバルなサイバー攻撃状況によれば、2016年に観測されたサイバー攻撃回数は「1,281億パケット」。対して、2013年は「128.8億パケット」と10分の一のであり、いかに倍増してきたかがわかります。加えて、東京オリンピック/パラリンピックまであと2年を切りましたが、開催時期にはサイバー攻撃の集中が予想され、危機感は増すばかりです。
さらに、不安をあおるのが、サイバー攻撃の「複雑化・巧妙化」。現在では、「ふるまい検知」や「サンドボックス」に引っからないマルウェアや、そもそも攻撃されていることにすら気づかない攻撃手法も登場しています。
【対策】これまでのセキュリティ対策では感染は防げない
管理すべき端末の増加、サイバー攻撃の増加、マルウェアなどの複雑化・巧妙化。この“負の三重奏”は、これからのIoT時代でも、大きなセキュリティリスクとなることは明白。かつ、サイバー攻撃のさらなる高度化も予想されます。これを考えれば、従来の環境型セキュリティでは、太刀打ちできないといっても過言ではありません。
次世代のセキュリティ対策として現在推奨されているのが「多層防御」です。レイヤーごと、つまり「ゲートウェイ」「ネットワーク」「エンドポイント(端末)」「人材や運用プロセス」などにそれぞれの対策を施し、マルウェアや不正アクセスを未然に防ぐ従来の対策ではなく、「内部侵入をあらかじめ想定した対策」を講じていくことが重要視されています。
<画像出典:https://www.skyseaclientview.net/skyseanews/vol48_2/02.html>
しかし−−
内部侵入を想定した多層防御といっても、「エンドポイントへのセキュリティ対策」の重要度が低くなるというわけではありません。現に、オーストラリア政府の情報機関のASDは「アプリのホワイトリスト化/パッチ適用」「最新OSの利用/パッチ適用」「ドメイン/ローカル管理権限を持つユーザーの最小化」で、サイバー攻撃の85%を防御可能としています。つまり、サイバー攻撃の“玄関”となるエンドポイントセキュリティへの熟慮が欠かせないのです。
そこで、最新「エンドポイントセキュリティ動向と対策」を紹介しましょう。
【EDR製品】エンドポイントセキュリティは、「感染防御」から「感染後の対応」をキーにする時代へ
昨今、エンドポイントセキュリティで注目を集めているのが「EDR製品」です。
EDRとは「Endpoint Detection and Response」の略で、日本語でいえば、「検知と対応」。ここからわかるように、従来の「感染防御」を主眼としたセキュリティソフトとは違い、「感染後の迅速な対応のサポート」を主眼にしてます。
では、なぜEDRが注目を集めているのでしょうか?
これまでのセキュリティソフトは、マルウェア検体の採取からシグニチャを生成し、検知・対応に生かすという仕組みで防御機能を発揮していました。しかし、広く知られるように今やマルウェアは多種多様な亜種が続々と登場。セキュリティベンダーがあらゆる検体を採取できているわけではありません。つまり、「すべてのマルウェアを防御」できるわけではないのです。この背景から登場したのがEDRであり、以下の主な機能を持っています。
<画像出典:https://www.cybereason.co.jp/blog/products/541/>
・マルウェアなどの感染検索
ファイルやハッシュ値の検索から既知のマルウェアやウイルスのファイル/プログラムがないかを調べる
・監視と停止
ログまたはプロセスを監視し、不正な動作をシャットダウンさせる
・バージョンやパッチ情報の特定
OSのバージョンやアプリのセキュリティパッチの情報を取得し、リスクのあるPCを特定する
このように、常時「PCの状態を見える化」することで、万が一マルウェアに感染しても、管理者が迅速に対応できる環境を整えるのがEDRなのです。最近では、クラウド型や従来型セキュリティソフトにEDR機能を搭載したものもあり、今後もますますニーズを伸ばしていくことでしょう。
<製品例>
・「Cybereason EDR」(Cybereason社)
https://www.cybereason.co.jp/products/edr/
・「FALCON INSIGHT」(CrowdStrike社)
https://www.crowdstrike.com/sites/wp-content/brochures/jp/CS-Pub-Insight-JP1712.pdf
・「Kaspersky Endpoint Detection and Response」(カスペルスキー社)
https://www.kaspersky.co.jp/about/press-releases/2018_pro31052018
【AppGuard】今もなお、ハッカーに破られていない技術を使った、日本発エンドポイントセキュリティ
従来のセキュリティソフトにはなかった「感染以後のサポート」をEDRが持つ一方で、「侵入されても感染しない」といった革新的なセキュリティソフトも存在します。それが「AppGuard」です。
先述のとおり、従来のセキュリティソフトの防御機能は「検知と反応」によるものでした。既知のマルウェアを検知しそれに反応することでシャットダウンを行う。つまり、「未知」のマルウェアに対しては、どのようなソフトでも100%の防御は理論上不可能であり、リスクをはらみます。
一方、AppGuardは検知を行いません。すべてのアプリを「コンテナ化」し正しく動作しているかどうかを判断するのが最大の特徴で、「適正ではない動作」の場合、既知・未知に限らず動作をシャットダウンします。
このような手法は「要塞化」とよばれ、18年以上ハッカーに破られたことがなく、今もなおその実績を継続中しているといいます。
AppGuardは、日本のサイバーセキュリティ企業「Blue Planet-works社」により開発されました。ベースになったAppGuard技術は、アメリカのBlue Ridg Networks社が保有していたもので、この事業をバイアウトし開発に至りました。同技術は、アメリカの政府内で長年の実績を持ち、国土安全保障分野で優秀なセキュリティ製品に贈られる「GSN(Global Security News) Homeland Security Award」を三年連続受賞。加えて、アメリカ陸軍および国防省の高水準なセキュリティを満たす「CoN(Certificate of Networthiness)認証」も受けています。
未知のランサムウェアやファイルレス・マルウェアも防ぐというAppGuard。2017年6月に欧州で発生した大規模サイバー攻撃のランサムウェアを防御することが確認されているそうです。
このような強固な防御性能に加え、さらに、「定期的なアップデートが不要」「ソフトの容量は1MB以下」「ネットワーク非接続環境でも動作可能」「サイバー攻撃対策のための技術要因が必要ない」など、導入メリットも数多く存在しています。
ひとり情シスやゼロ情シスの増加、IoTデバイスが増える今後を考えれば、まさに次世代に求められるセキュリティソフトだといえます。
・「AppGuard」(Blue Planet-works社)
https://www.blueplanet-works.com/solution/enterprise.html
【セキュリティ対策の最適化】これからのセキュリティは情シスの目利き次第
今後も、セキュリティ対策は、サイバー攻撃の高度化に伴い、多様化していくことでしょう。また、昨今ではWindowsのセキュリティ機能「WindowsDefender」が発展していて、一部では「セキュリティソフトは不要になる」という声もあります。
このように、現代は 「とりあえずセキュリティソフトを入れておけばよい時代」ではないのです。世の中のセキュリティ動向を知り、企業セキュリティのベストプラクティスをめざす。会社の安全は、情シスの知識にかかっています。
【執筆:編集Gp 坂本 嶺】