サイバー攻撃の今と昔の違いの一つが、その目的です。今までは「愉快犯」的ないたずらのようなものだった攻撃が、最近では明らかな「金銭目当て」の攻撃や、「悪意」を持った機密情報の取得へと変わってきています。
2000年には官公庁Webサイトにて、わずか2週間以内で20以上のWebページが改ざんされるという事件が発生しましたが、ユーザーを不正Webサイトに誘導して個人情報を搾取するような被害はありませんでした。
また、2003年には当時のWindowsの脆弱性を利用した不正プログラムに「MSBlast(エムエスブラスト)」が流行しました。ネットワーク経由で次々と組織内部に侵入し、基幹システムのダウンやパスワードの不正取得といった被害が相次ぎました。しかし、この攻撃でも深刻な情報漏えいに至ったケースは確認されませんでした。
当時不正プログラムを開発した者やWebページを改ざんした攻撃者は、事件が報道され世間が騒がしくなることで自己顕示欲を満たしていたのです。このように昔のサイバー攻撃はそれによって「目立つこと」に重点を置いていました。
しかし、現在のサイバー攻撃は違います。金銭目的や妨害目的など明らかに「悪意」のあるものになっています。攻撃手法は日々高度化・巧妙化し、その痕跡すら残さないものも増えています。こういった状況においては、もはや「100%のセキュリティ対策は不可能」とまで言われているのが現実です。
そんな中で注目されているセキュリティ対策の一つが「エンドポイントセキュリティ」です。エンドポイント(終端)、つまり組織で使用しているパソコンやサーバー、あるいはスマートフォンといった端末をサイバー攻撃から守るためのセキュリティ対策です。
日々深刻になっていく情報セキュリティの中で、皆さんはどういったセキュリティ対策を講じているでしょうか?ここでは、今後対応必須とも言うべきエンドポイントセキュリティについてご紹介します。
エンドポイントセキュリティって何?ウイルス対策だけじゃダメなの?
そもそもエンドポイントセキュリティとは、エンドポイントに対するセキュリティ対策の総称です。その中でウイルス対策ソフトとは、ウェブサイトやメールを介してパソコン内に侵入した悪意のあるプログラム(マルウェアやウイルス)を検出し、必要に応じて隔離や駆除を行うソフトウェアです。セキュリティ対策としては最もスタンダードなものであるため、ウイルス対策ソフトを導入しているという企業がほとんどでしょう。ウイルス対策ソフトの中には迷惑メールを検知して専用フォルダへ自動的に移動したり、ユーザーがアクセスしようとしているWebサイトに脅威が無いかをスキャンするといった機能を提供しているものもあります。
実際に企業のエンドポイントセキュリティ状況についてうかがうと、「我が社は全端末にウイルス対策ソフトをインストールしているから大丈夫」というお話を聞くことがあります。つまり「エンドポイントセキュリティはウイルス対策ソフトで十分」と考えていらっしゃる企業が多いのが実情です。
しかしながら、前述したような高度なサイバー攻撃の数々に対抗するためのエンドポイントセキュリティとして、ウイルス対策ソフトだけでは十分な対策を行なっていると言えなくなっているのが現状です。
「標的型攻撃」という種類のサイバー攻撃をご存知でしょうか?これは、攻撃者が特定のターゲットに対し、攻撃が成功するまで様々な最新の攻撃を試み、機密情報の収集や妨害などを行う攻撃です。
具体的な事例として、2015年に発生した日本年金機構での情報漏えい事件が挙げられます。この事件では同機構の職員が受信したメールにウイルスを組み込んだファイルが添付されており、このファイルを実行したことで端末がウイルスに感染しネットワーク経由で個人情報が漏えいしてしまいました。漏えいした個人情報は125万件にのぼり、同年度に国民年金未納者への徴収対策ができなかったことなどによる影響額は120億円以上、対策費用として10億円以上がかかり被害総額は130億円以上にのぼったと試算されています。
国民の個人情報を大量に取り扱う日本年金機構では、当然のことながらウイルス対策ソフトを導入していました。にもかかわらず重大な情報漏えい事件が発生しました。同事件は「ウイルス対策ソフトだけでは十分なサイバー攻撃対策になり得ない」という事実をすべての企業に突きつけるきっかけになりました。
もしも自社のエンドポイントセキュリティに対し、ウイルス対策ソフトの導入だけで満足しているようであれば、改めて昨今のサイバー攻撃の危険性を知り、エンドポイントセキュリティを見つめ直す必要があります。
[RELATED_POSTS]ウイルス対策以外のエンドポイントセキュリティには何がある?
では、今まで利用しているようなウイルス対策ソフト以外にどのようなエンドポイントセキュリティ対策があるのでしょうか。ここでは今注目されている2つの対策、次世代アンチウイルスとEDRについて紹介します。
そもそもウイルス対策ソフトは前述のように悪意のあるプログラム(マルウェアやウイルス)を検出し、必要に応じて隔離や駆除を行います。検知方式は一般的に「パターンマッチング」と呼ばれる方式です。「シグネチャ」という複数のウイルスパターンを記録したファイルを端末上に保持し、そのシグネチャと照らし合わせる形で検出します。
これに対し、サイバー攻撃の高度化・巧妙化に対抗するために新たな手法で防御を行うのが、「次世代アンチウイルス(Next Generation Anti-Virus : NGAV)」です。
AIや学習エンジンを活用した手法や、ファイルを持たずにメモリ上に展開するだけの「非マルウェア攻撃」を検知するために「IoC (Indicators of Compromise)」や「IoA (Indicators of Attack)」と呼ばれる攻撃の徴候や痕跡の振る舞いパターンを用いる手法などがあります。他にも独自の手法を持つものもあり、たとえばCarbon Black社の「CB Defense」ではストリーミングプリベンションによる端末上の全アクティビティを監視・記録・収集し、このアクティビティに対するリアルタイムの特徴(タグ)付けと解析から、未知のマルウェアや非マルウェア攻撃の検知や防御を行います。
しかし、日々高度化・巧妙化するサイバー攻撃に対して次世代アンチウイルスでも100%の防御を行うことはできません。この「攻撃を防げない」ということを前提にし、より迅速な攻撃の検出と、その後の対応を支援するのがEDR (Endpoint Detection and Response) です。
収集した端末の全アクティビティログを日々解析し、発生時点では検出できなかった攻撃を見つけ出します。感染経路の分析や感染範囲の把握、感染端末の特定を迅速かつ効率的に行うことも可能です。進行している攻撃を食い止めるため、ネットワーク隔離やファイルの起動制御を提供し、端末へのリアルタイムのリモート操作による調査や復旧を支援するような機能を持つものもあります。
エンドポイントセキュリティには、システムをロックダウンし許可されたアプリケーションのみの利用を許可する「アプリケーションコントロール」や、悪意のあるサイトへのアクセスを制限する「Webフィルタ」、機密情報漏洩対策の「DLP (Data Loss Prevention)」、など他にも様々な対策があります。
[SMART_CONTENT]まとめ
本稿の内容を踏まえて、皆さんの会社では適切なエンドポイントセキュリティが講じられているかどうか?改めて考えていただきたいと思います。エンドポイントセキュリティについて不安がある、問題を抱えている、どうすればよいか分からない。そうした際はネットワークバリューコンポネンツまでご相談ください。世界でトップシェアを誇るCarbon Black を含め、貴社のセキュリティ状況に応じて最適なソリューションをご提案いたします。
この記事に関するサービスのご紹介
VMware Carbon Black App Control
VMware Carbon Black App Controlは、単一のプラットフォームでアプリケーションコントロールとリアルタイムのシステム可視化、包括的なコンプライ アンスルールセットのポートフォリオを提供する初のエンドポイント脅威防御ソリューションです。
詳細はこちら