このページの本文へ

ESET/マルウェア情報局

PCやスマホに必要なセキュリティー対策とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載されたエンドポイントセキュリティに求められる対策とは?を再編集したものです。

エンドポイントセキュリティとは?

 企業におけるセキュリティ対策はこれまで、エンドポイントセキュリティとゲートウェイセキュリティの大きくふたつに分けて対策が講じられてきた。エンドポイントセキュリティとは、パソコンやサーバーなど、そして最近ではスマートフォンまで含めた末端機器に対し、アンチウイルスソフトを常駐させることでマルウェアの侵入を予防するというものである。

 そしてより強固な対策として、エンドポイントの前、すなわちゲートウェイにIPS(Intrusion Prevention System:不正侵入防止システム)やIDS(Intrusion Detection System:不正侵入検知システム)、ファイアウォールなどを設置するのがゲートウェイセキュリティである。これらの対策は「既知のマルウェア」を前提に、それぞれ適切な対策を施すことで防衛をするという考え方に基づいている。

エンドポイントセキュリティ、何を誰からどのように守るのか

 エンドポイントセキュリティ対策を考えていくにあたり、サイバーセキュリティの基本的な考え方である「どのような情報をどうやって守るのかを」を明確にすることが重要となる。企業によって事業ドメインも異なり、事業の取り組みも異なる。そして当然ながら社員のリテラシーやスキルも異なる。すなわち、企業によって事情がそれぞれ異なるということであり、それぞれ違う対策が必要となる。

何を守るのか
 iPhoneであればiCloud、Android端末であればGoogleアカウントを経由してデータを移行する方法だ。キャリアごとに提供しているバックアップサービスを利用することもある。この方法を利用する場合、クラウド上にデータ容量の空きがありバックアップデータが格納されていれば、自動的に通信をしてデータ移行が完了する。手軽で簡単だが、GB単位でデータの送受信がされるため、スマホの回線を経由する場合、通信コストには注意したい。極力、自宅などのWi-Fi環境を利用し、開放されている公衆Wi-Fiなどは避けたほうがよい。場合によっては、悪意のある第三者にバックアップデータを取得されるおそれがあるからだ。

 例)特許に関連する技術資料、社外秘となっている社内懲罰の情報など

誰から守るのか
企業からの情報漏えいは外部からの攻撃によるものが多いと思われがちだが、実際は異なる。多くの場合で、悪意の有無はさておき、企業内部の人間に起因している。エンドポイントセキュリティの場合、内部の人間にどう持ち出させないようにするかということだが、内部不正対策と共通する部分が多いのでこの点は本稿では割愛する。

 例)特許に関する情報を狙う外部組織、持ち出して外部に流出させようとする中の人など

 「マルウェア情報局」に掲載された参考:組織の内部不正はどう防ぐ?内部不正対策のポイントを専門家に聞く

どのように守るのか
 エンドポイントセキュリティの対象となるのはパソコン、サーバー、スマートフォンなどの端末となる。これらに対する攻撃でまず挙がるのはマルウェアだろう。ただ、マルウェアの挙動は年々高度化する一方で、動作自体だけでなく、活動のタイミングなども予測がしづらくなってきている。そのため、マルウェアの最新動向をキャッチアップして活動のパターンなどを把握しておきたい。

 例)パソコンにセキュリティソフトのインストール、重要情報送付時の二重チェック義務化など

 ビジネスモデルのライフサイクルが短期化したことで、企業も事業もその形態が時間経過とともにダイナミックに変化する時代。新規事業の立ち上げやM&A、事業の統合・整理なども珍しくない。このような状況において、エンドポイントセキュリティも常にアップデートが欠かせない。企業の新たな動きにセキュリティ対策も連動するような、スピード感ある対応が求められている。

これからの時代のエンドポイントセキュリティ

 一日に100万種以上も産み出されているとされるマルウェアの増殖に対し、いわゆる「定義データベース」は追いつけなくなってきている。このような状況を受け、登場してきたのが新しいエンドポイントセキュリティの考え方である。

NGEPP(Next Generation EndPoint Protection)
 これまでのエンドポイントセキュリティの延長線上にある考え方で、機械学習を用いてこれまでの定義ファイルをベースに未知のマルウェアを類推し、検出するというものである。いわゆる「入口対策」であり、「従来の対策の延長線上」にあるとするのはこのためだ。

EDR(Endpoint Detection and Response)
 未知のマルウェアの中には、侵入のタイミングで過去の定義ファイルからの類推では検出が難しいものも一定の割合で生じる。特に最近は防御側の対策を考慮してマルウェアも設計されるようになってきており、侵入時に危険な兆候を示さないものも多い。未知のマルウェアが危険な行動もとらなければ、侵入後一定の時間が経過してから活動を始めても、その攻撃を防ぐことが極めて困難となる。EDRの考え方はマルウェアと思しきファイルが危険な活動を始めた際に、すみかに察知・検出し、隔離をおこなうというものである。

 考え方としては、NGEPPで防ぎきれないものをEDRで補完するというものであり、合わせて採用することにより、セキュリティリスクを一層軽減できるようになる。要するに、これまでのエンドポイントセキュリティ対策やファイアウォールなどによるゲートウェイセキュリティでは、セキュリティリスクを完全に排除することは難しくなってきている。そのため、侵入された場合でも、被害を最小なものにとどめることを前提に対策を講じるのが最近のエンドポイントセキュリティの主流となりつつあるのだ。

手口は高度化し続けるという前提で対策を

 クラウドの普及によるサーバー関連費用の低下、ハイスペックなマシンの低価格化、機械学習の進化などデジタルテクノロジーを巡る環境の進歩は、結果的にサイバー攻撃の手口が高度化する状況を招いている。一般の人々に紛れ込んで犯罪をおこなうサイバー攻撃者を判別し、悪意のある用途には利用させないというのは残念ながら現実としては難しい。今後もテクノロジーの発展と足並みを揃えるかのように手口はより高度になっていくことだろう。

 そうした攻撃からの被害を最小限に防ぐためには、防衛側もテクノロジーの恩恵に頼るしかない。今回紹介した、NGEPPやEDRはまさに新しいテクノロジーを前提として産み出された概念・手法である。攻撃サイドと防衛サイドによる「イタチごっこ」が終焉の時を迎える未来は残念ながらまだ見えない。だからこそ、防衛サイドとしては対策時点での最善を尽くしていくしかないだろう。