横断的アプローチ
何年もの間、企業はポートベースのファイアウォールに欠けている機能を、ホストベースのソリューションや別のアプライアンス製品など、さまざまな補助セキュリティデバイスを追加することで穴埋めしようとしてきた。
・ネットワークアプローチ vs.ホストベースアプローチ
伝統的に、企業はマルウェア対策の時間やリソースのほとんどを、エンドユーザーのデスクトップ、たとえばアンチウイルスのインストール、パーソナルファイアウォールのインストールなどに費やしてきた。しかし、マルウェアは、単独で感染することで終結するものから、協調動作するマルウェアネットワークに変化したため、企業はセキュリティの視野を企業ネットワークレベルに広げ、エンドポイント型セキュリティを補完する必要に迫られた。ネットワークアプローチはユニークな利点を持っている。ボットネットとそれ以前のマルウェアの違いつまりボットネットがネットに依存していることに注目し、そちらを重点的に見張ればいいからだ。
しかし、ネットワークセキュリティのメカニズムでは、モニタリングと制御を行う独立したレイヤを提供するが、それ自身もマルウェアの脅威にさらされている。ボットネットやモダンマルウェアは、ルート権限でのアクセスを可能とするルートキットを備えることができ、ターゲットマシンのアンチウイルスプロテクションやその他のセキュリティメカニズムを打倒する。このことは、セキュリティチームにパラドックスを引き起こす。危険にさらされたホストで動いているセキュリティソフトウェアは、すべて信用できないことになってしまうからだ。
だからと言って、ホストベースのセキュリティが時代遅れであると言っているわけではなく、むしろ、ホストとネットワーク両方にまたがるセキュリティ対策が求められていることを示している。
・複数の手法を統合する
モダンマルウェアからの保護には、統合された、複数の手法を取り入れたアプローチによって不審なトラフィック、関連するイベントを検出し、企業のネットワークで適切な応答をする必要がある。
多くの組織が、従来のポートベースのファイアウォールに加えて、Intrusion Prevention System(IPS)、プロキシサーバ、ウェブコンテンツフィルタリング、アンチウイルスゲートウェイ、アプリケーション固有のソリューションインスタントメッセージングや電子メールセキュリティ(スパム対策)アプライアンスなどを展開している。これらによって、モダンマルウェアの脅威から防御する能力を高めようと努力している。
しかしながら、このような複数の手法を取り入れたアプローチによって構成されたセキュリティインフラストラクチャには次のような問題がある。
まず、これらのソリューションは、検査すべきトラフィックのすべてを網羅していない。なぜならば、ポートベースのファイアウォールとして、ポートとプロトコルベースの分類スキームに依存しているからだ。次に、対応可能なアプリケーションが限られていて、すべてのアプリケーションを監視できない。加えてポリシーマネージメント、アクセスコントロール規則、閲覧の必要性などのルールが複数のデバイスとコンソールに広がるため、開発と、一貫したエンタープライズセキュリティポリシーによる強制が困難になる。
さらに、同じトラフィックを複数のデバイスでスキャンし解析するのでパフォーマンスが低下する。最後に、複数のデバイスで収集した情報の解析を行うのは容易ではない。複数の異なるフォーマットを持つ膨大な生データは、セキュリティアナリストをお手上げにしてしまう。
このように、セキュリティアプライアンスを追加することは、必ずしも環境がよりセキュアになることを意味するわけではない。実際、このようなアプローチの複雑性と不整合性は、組織のセキュリティにとって有害にもなりうる。セキュリティチームに、複数の発信元から簡単には関連づけや分析ができないデータを送りつけてみればわかるだろう。
この連載の記事
-
第6回
TECH
最新セキュリティ技術WildFireとは? -
第5回
TECH
モダンマルウェア対策の基本方針とは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第2回
TECH
ボット、ボットネット、ボットハーダーについて知る -
第1回
TECH
セキュリティにおける最新の脅威とは? -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ