このページの本文へ

ESET/マルウェア情報局

エンドポイントにおける「本当に有益な」セキュリティ対策を解説

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「ビッグイベントで狙われるサーバー、スマホ、IoT機器――2020年最新セキュリティリスクと対策」を再編集したものです。

ネットワークもエンドポイントもカバーするセキュリティのスペシャリストが登壇

 みなさん、おはようございます。ただいまご紹介いただきました、キヤノンマーケティングジャパンの植松と申します。本日は、「実は被害は増加している? エンドポイントにおける『本当に有益な』セキュリティ対策とは」と題しまして、少しみなさまと情報を共有させていただければと思います。

 始めさせていただく前に、私、先ほどご紹介いただいたセキュリティソリューションの企画という立場で、みなさまへの情報発信・情報提供やソリューションのご提供などをさせていただいています。実は前職はIDS・IPSのベンダーにおりまして、セキュリティはネットワークからエンドポイントから、いろいろと触ってきているような者でございます。

 今日はタイトルにもありましたエンドポイントに関してです。

 ご存じのとおり、我々が操作するような身近な端末、クライアントPCとかサーバーとかスマートフォン。狭い意味だとこれらがエンドポイントとされますし、もう少し広く取りますと、いわゆるIoT機器も入ってくるかと思います。これらのセキュリティに関するお話ということになります。

「5G」「東京で行われる国際競技大会」にまつわるセキュリティリスク

 今年、大きなトピックスが2つあるかと思います。1つは「5G」で、この春から商用化が開始されます。一部では、次の6Gなんていうのも少しずつ国内で情報が出たりしているところだと思うんですけれども。これがまずトピックスの1つ。

 そしてもう1つは、東京で行われる国際競技大会ですね。7月の開会式を経て9月まで、ということで開催される。そんな年になるかと思います。

 5Gに関しては、みなさんいろんなところで情報を見聞きされているかと思います。特徴の1つは超高速ということで、現状の4Gに比べると100倍ぐらいスピードが速くなる。いわゆる大容量のデータが、非常に短時間でやり取りできるということであったり、もう1つは超低遅延ということで、いわゆるタイムラグがなくなるというものです。遅延が1ミリ秒以下になることで、リアルタイムでいろんな処理ができる。例えば遠隔医療や自動運転などに使われるように、さまざまな産業で活用が期待されるようなものになっています。

 もう1つ、セキュリティに関しては意識しておかなければいけないことがあります。多数同時接続で、1つの基地局あたりにつなげられるデバイスが10倍とか100倍とか、非常にたくさんつながっていくことも5Gの特徴です。

 いろいろなデバイスがつながって、IoTの普及・活用が広がっていくことになるかと思いますが、IoTはまだまだネットとつながっている感覚がもちにくいということもあり、デフォルトのパスワードを利用したり、そもそもパッチを当てないで運用していたりということがあります。かなり脆弱性をもった状態で運用してしまっているのではないかと(思います)。

 爆発的な普及にともなって、無防備につながるIoTも増えていくということも気を付けなければならない。そうなるとサイバー攻撃など、リスクとして捉えなきゃいけないものも増えてきてしまう、ということがあるかと思います。

 そしてもう1つ。昨今の「クラウドシフト」と照らし合わせたときにも、考えなければいけないことがあります。いわゆる「Office 365」とか「G Suite」とか、クラウドから提供されるアプリケーションが最近非常に増えているかと思います。

 いろいろなデータがクラウド上にあって、IaaSとかSaaSでいろんな機能が提供されて、だんだん変わっていく中で、5G含め通信の性能が非常に上がると、ダイレクトにつながっていく動きがより一層増えていくのだろうと思います。

企業における重要情報の取り扱い方の変化

 以前だと、こういう重要な情報やアプリケーションは、社内における真ん中のあたりにファイルサーバーやアプリケーションサーバーがあって、そこで提供されていた機能になるかと思うんですけれども。そうしたものが基本的にはクラウド、上のほうに上がっていくと。そして、そことダイレクトにつながるエンドポイントですね。こういったところが重要な情報を扱っていくことになっていくかと思います。

 重要な情報が真ん中の層になくなってしまって、一番上とエンドポイントの両端に広がっていく。こういうことが、進んでいくかと思います。とくに昨今の働き方改革で、テレワークが普及すると、より一層このエンドポイントの中における情報の重要性も高まってくるので、そこにおけるサイバー攻撃のリスクも気を付けなきゃいけないといえます。

 そしてもう1つ、大規模国際イベントにおけるサイバー攻撃です。ご承知のとおり、過去にも大規模イベントにおいてはさまざまなサイバー攻撃が発生してきました。

 2018年の平昌で行われた国際競技大会に関しては公式ホームページがダウンしたり、チケットが発行できなくなったり。あるいはメディア向けに提供されるはずのWi-Fiネットワークが使えなくなってしまったりと、サイバー攻撃を原因とする事案がいろいろと起きていました。

 東京での開催に向けては、もう半年を切っていることもありますので、総務省さんも先週、「(東京での国際競技大会に向けて)より一層対策を強化していきましょう」という緊急提言を出されています。

「うちは大規模イベントと直接関係ないから大丈夫」が誤解である理由

 ただ「大規模イベントと直接関わってないよ、うちは関係ないかな」という向きもあるかと思うんですが、決してそうではないということは、ちょっと触れたいと思います。

 1つは先ほど5Gのところでも申し上げました、働き方改革、テレワークです。私も実は昨日、自宅で在宅勤務していたんですけれども。まさに会社にいなくても、どこでも仕事ができるようになっているような状況です。

 そうなってくると、先ほどのクラウドシフトも踏まえて、社内LAN以外の環境から重大な情報にアクセスすることができる。いろいろな経路が増えてくる。そうするとそこが1つ、サイバー攻撃の侵入の糸口になる恐れがあるということで、意識しなければならないかと思います。

 それから2つ目ですね、サプライチェーン攻撃。ご自身、自社は大規模なイベントなどとは関係はないかもしれませんが、例えばスポンサーの企業さんであったり、インフラ事業者さん、あるいは自治体。こういったところと取り引きをされることはないでしょうか。

 昨今、こうした標的となるような大企業とかですね。こういったところに直接アプローチをするのではなくて、一旦取引先を攻略してから、そこから侵入していこうというサプライチェーン攻撃。これも非常に増えているということがありますので、御社も無関係ではなくなっているといえます。

 3点目として、そうして一旦狙われた自社の環境・資産が、次の攻撃の呼び水になるということ。踏み台になってしまって、攻撃者に変わってしまう。「使われてしまう」といったことも気を付けなければならない状況かと思います。

脆弱性もそれを悪用するマルウェアも、右肩上がりで増え続けている

 こうした環境も踏まえて、昨今のサイバー脅威がどういった動向なのかを、みなさんと共有させていただければと思います。まず1点目、なんといっても「脆弱性」です。

 今(スライドに)映しているのは、折れ線が脆弱性の新規登録件数で、IPAさんが出されているデータになります。直近、2019年上半期においては1万件弱ぐらい脆弱性が登録されていて、右肩上がりで増えていっているのがご覧いただけるかと思います。

 もう1つ棒グラフも表示しているんですけれども、弊社が扱っているセキュリティ製品「ESET」によって、脆弱性を悪用するようなマルウェアを検出した数になります。

 こちらは、2017年の上半期を100%とした相対値で表しているんですけれども、同じように右肩上がりであることがご覧いただけるかと思います。2019年上半期においては182%と2倍ぐらいですね。2017年上半期に比べると非常に増えています。

 登録されている脆弱性も、それを悪用するようなマルウェアも、右肩上がりで増えていっているということは、気を付けなければならないところかなと思います。

 しかもこの脆弱性の件数って、いわゆるホワイトハッカーが発見して、正しく登録した件数のみになります。クラッカーがその次の攻撃に備えて、密かに隠し持っているような脆弱性は含まれていないということからすると、本来はもっと多いはずです。

 そうなってくると脆弱性を悪用してのゼロデイ攻撃とか、標的型攻撃などに使われることも大いに懸念しなければならない、といえます。

更新性と機能拡張が特徴のマルウェア「Emotet」

 そして脆弱性ということでちょっと触れておきたいのは、みなさまご存知「Emotet」です。国内においては去年の秋ぐらいに、メディアにも非常に盛んに取り上げられて、みなさまいろいろなところで見聞きされたかと思います。

 Emotet自体、古くは2014年ぐらいから確認されているものなので、かなり息の長いマルウェアです。

 (スライドに)「3つの特徴」と真ん中に書いていますけれども、やはり特徴的なのは、更新と機能拡張ですね。いわゆるバージョンアップをひっきりなしに行っていくということがあって、今でも懸念すべき攻撃になっています。

 昨日、JPCERTコーディネーションセンターさんもチェックツールを公開されました。あと先週は、保健所を騙って新型コロナウィルスの注意喚起をするようなメールを出して、添付ファイルを開くとEmotetに感染する、なんていうのもありました。まさに昨今の社会問題に紐づけて拡散するような手法を使われたりして、まだまだ油断できない攻撃になっています。

 そういうメールとか機能拡張とかがよく特徴として報告されているんですが、実は社内で拡散する手法においては、「SMBの脆弱性を悪用して自身を展開する」という特徴ももっています。先ほど脆弱性への懸念を申し上げましたけれども、この点においても注意しなければいけません。

ランサムウェアに狙われ始めているオンラインストレージ

 それから2つ目の脅威としては、ランサムウェアです。みなさまランサムウェアというと、いわゆるクライアントPCが暗号化されて、「それを復号するためにはお金を払え、ビットコインを払え」ということをイメージされるかと思うんですが、ここで挙げているのはオンラインストレージを狙うようなランサムウェアです。

 オンラインストレージをつくる「NextCloud」というソフトですね。レンタルサーバーなどを借りてそこにインストールすることによって、プライベートのオンラインストレージをつくれるようなサーバーソフトがあるんですけれども、こちらを狙ったランサムウェアです。

 実行環境として必要なPHP-FPMにおける脆弱性をもとに侵入して、オンラインストレージ上のデータを暗号化する。「復号化してほしければビットコインを払いなさい」というものです。

 これに関しては2つほどポイントがあるかなと思っています。1つはクライアントPCではなくて、オンラインストレージなんかもランサムウェアのターゲットになってきているという変化ですね。「(データは)オンラインストレージに置いておけば安全だ」ということではなくなってきているのは、ぜひ共有させていただければと思います。

 もう1点はここに書いているとおりですけれども、脆弱性とその修正パッチが公開されてからわずか10日で、実際に攻撃に使われたということがあります。公開から悪用までが非常に短期間になっているということも、注意しなければならないポイントです。

 こういういろいろな攻撃が増えている背景としては、ダークウェブとCrime as a Serviceも関係しています。

 「Crime as a Service」、訳すと「サービスとしての犯罪」ということで、サイバー攻撃をサービスとして提供するような機能がダークウェブ上にはあるということですね。

 脆弱性を悪用するようなツール、あるいは脆弱性そのものがダークウェブ上で売買されていて、たやすく攻撃ツールにアクセスできるようになってきているといえます。

 今画面上に映しているキャプチャーは、Microsoft Officeの脆弱性を悪用するWord形式のマルウェアをつくるサービスです。実行させたいファイルをWeb上で指定してアップロードすると、脆弱性を悪用するプログラムを組み込んだWordファイルをつくってくれる。なんとも便利なというか、そういうサービスになっています。

 こうしたサービスが1ファイルあたり数十円とか数百円ぐらいの、非常に安い金額で利用できてしまうということもあり、このような攻撃が増えている温床になっているわけです。

「情報セキュリティ10大脅威」のトップは“標的型攻撃”

 そして最後は、やはり標的型攻撃というところになるかと思います。みなさまもご覧になっていらっしゃるかと思いますが、IPAさんが「情報セキュリティ10大脅威」というのを毎年発行されてらっしゃいます。ちょうど先週も2020年版を公開されていましたが、第1位が「標的型攻撃に対する脅威」でした。

 ここ5年、この「10大脅威」のトップが標的型攻撃です。ここ数年にわたって、ずっと懸念しなければいけないものになっているという状況です。

 そして、先ほどご紹介したサプライチェーン攻撃。こちらは実は去年、4位に初めてランクインしまして、最新の2020年版においても同じく4位にそのままいるということで、同じく気をつけなければならないものになります。

 図にあるとおり、標的となるような組織がさまざまな対策をしっかりとしている中で、直接ではなくて取引先とか工場、関係会社をまず一旦攻めて。そこから例えばなりすましたり踏み台にしたりして、侵入の糸口として本来の標的組織に入っていくようなやり口ですね。

 あるいはオープンな性質がある教育機関、こういったところに1回侵入してしまって、そこから本来の標的に入っていくような攻撃も増えています。

サイバー被害によるビジネスへの悪影響

 ちょうど先月の後半、某電機メーカーさんの情報漏えいの件がニュースで非常に取り上げられましたけれども、あれも中国の関連会社がまずマルウェア感染を受けて、そこから国内に侵入してきたといわれています。このとおり、国内を代表するような企業さんであっても、そういったことが起こり得るという点では、身近なものとして捉えなければいけないのかなと思います。

 取引先が仮に被害にあったとき、自社への影響はどうなのかというところでは、こちらの大阪商工会議所さんの調査ですね。

 「取引先がサイバー攻撃を受けて、それが自分のところに被害として及んだことがありますか」という質問です。全118社の回答の中で30社、だいたい4分の1ぐらいの組織・企業さんが「取引先さんが被害にあった、それが自社にも影響があった」と回答されていらっしゃいます。

 どんな影響かということでは、標的型メールが届くとか、詐欺的なメールが届くとか。こういったものが上位に挙げられているんですけれども、実際に取引先さんが被害に遭うと、自社にも標的型メールが来るということでは、気をつけなければならないと思います。

 グラフは載せていないんですけれども、「実際に取引先さんが被害に遭って、それが自社にも及んだ場合どうしますか」という質問については、47%の企業さんが「損害賠償を請求する」と。29%の企業さんは「取引停止する」というような回答もされています。

 サイバー攻撃が、実際のビジネスにも大きな影響があるということは、注意しなければいけないのかなと思います。

関心が高まる、エンドポイントへの脅威

 さて、そんな中ですね。いろいろな脅威がある中で、ユーザーさんがこういった脅威に対してどう捉えているかということも、みなさまと共有させていただければと思います。

 こちら、IDCさんという調査会社さんが昨年実施されたユーザー調査になります。

 あまり公開されていないデータなので、ぜひ共有できればと思うんですけれども。「どんな脅威を懸念していますか」というアンケート調査になります。

 こちらに関してはちょっと小さいので、トップ5を拡大しているんですけれども、一番多いのは「既知のマルウェア」に対する脅威ですね。次は「未知のマルウェア」とか、「ゼロデイ攻撃」に対する脅威。それから4位に「ランサムウェア」と挙げられています。

 今回のテーマになっているエンドポイントに対する脅威、マルウェア、ゼロデイ、ランサムウェア、こういったものが上位に挙げられている。みなさん、やはりエンドポイントにおける脅威としては、こういったものに非常に懸念を抱いていらっしゃるということがいえます。

対策への投資増加も、“新しい脅威”の対策が不充分で被害増加

 そういう脅威に対して、対策、セキュリティに対する投資はみなさんどうお考えなのか。こちら、「前年の投資額に対して今年の投資額を増やしますか、減らしますか」という質問に対して、「増やす」と答えた割合から「減らす」と答えた割合を引き算した数値です。右肩上がりになっています。

 さまざまな新しい脅威が出てくる中で「投資を増やすよ」と回答されていらっしゃるので、「情報セキュリティへの投資は確実に増やしていく、しっかり対策をしていこう」とお考えになっているのは見て取れるかと思います。

 じゃあ何に投資をしますか、ということで「新規導入・強化計画をしているような項目は何ですか」。

 こちらもちょっと小さいのでトップ5を拡大しますけれども、一番多いのは「ウイルス対策」。エンドポイント、それからサーバーに対するウイルス対策というものが高い位置になっています。これがだいたい百数十件ぐらいですかね。

 挙がっている中で「EDR製品、またはMDRサービス」、いわゆる事後対策のものが第2位。それから「標的型攻撃対策」、サンドボックスなどの対策が第5位に取り上げられています。順位でいえばこれらは上位5位に入っているんですが、グラフをご覧いただいておわかりのとおり、ウイルス対策に関しては100件超という回答に対して、これら新しい対策に関しては50~60件、半分ぐらいとなっています。

 なので「投資自体は増やす」という回答がありながらも、その方向としては既存の対策が中心であって、新たな脅威に対する対策が充分なされているかどうかは少し気になるところかなと思います。

 この1年間、どのような資産でサイバー攻撃の被害にあったかというデータです。

 (スライド中の)2017年、18年、19年と、1年ずつの経年で取っています。赤い矢印を付けているクライアントPC、データベースサーバー、それから業務アプリケーションサーバー。重要情報が集まるこれらエンドポイントに関しては、被害が増えているという状況になっています。

 いろいろな脅威が増えています。それに対して、サイバー攻撃対策への投資は「増やしていこう」と。ただそれは既存の対策が中心であって、結果、エンドポイントに関しては被害が増えている。こういうことからすると、今なされている対策が本当に適切なのか、あるいは正しいところに向けているか、そのへんはちょっと考えなければいけないのかなと思います。

 これを踏まえて、私どもの提供していく「包括的なエンドポイントセキュリティ対策」ということで、少し対策を共有させていただければと思います。

予防的な対策を打つためのインテリジェンスサービス

 先ほど申し上げたとおり、弊社では「ESET」というセキュリティツールを提供しているんですけれども、そちらを使って脅威の予知、いわゆる攻撃が発生しそうな段階で兆候として捉えようという動き。そして実際に攻撃が起きた場合には、速やかにその攻撃をブロックするという流れですね。

 それでも侵入を100%防ぐことはできないかもしれない。「万が一」という観点に立って、侵入をいち早く検知して抑え込む、抑制という流れ。こういったところをぐるっと回していきましょう、というのが、私どもがご提案するコンセプトになっています。

 それぞれ、簡単にご紹介をさせていただければと思います。まずは脅威の予知というところからです。これは脅威インテリジェンスサービスの、「ESET Threat Intelligence」というものになります。

 インテリジェンスサービス、最近少しずつ話題になってきていますね。脅威の情報をいろいろなところで集めて、分析・加工して提供するような情報提供サービスで、こちらのソリューションの場合には全世界で1億台以上のセンサーからESET社が集めた脅威情報をまとめて、加工、分析して提供していくようなものになります。

 例えば、「自社のドメインが文字として含まれたマルウェアがグローバルで見つかったよ」なんていった場合にレポートしてくれる。標的型攻撃が起きるんじゃないか、標的型攻撃に使われるんじゃないか、みたいな情報をレポートしてくれるサービスであったりとか。あるいは「悪質なファイルがどこで流行しているよ」「不正なURLとかドメインが見つかり始めているよ」といった情報を提供してくれるサービスになります。

 ですので、まだ直接自社には攻撃が届いていない、攻撃されている状況にない中で、グローバルでいろいろな情報を集めると将来攻撃され得るかもしれない、ということを予兆として捉えて、「次の予防的な対策を打つために使っていく」のがいいのではないかと思います。

多層防御が可能なエンドポイント保護プラットフォーム

 そして次ですね、実際起きた攻撃に対する防御が2つあるんですけれども。1つはエンドポイント保護プラットフォームの「ESET Endpoint Protection」というもの。ESET製品をご存じの方が、イメージされるのがこちらになるかと思います。いわゆるアンチウイルス・アンチマルウェアの機能を中心としたエンドポイント保護の基盤ということですね。

 昨今いろいろなセキュリティベンダーが出てきて、とくにエンドポイントにおいては「アンチウイルスはパターンマッチングだから対応できない」なんて主張されるベンダーもあるかと思うんですが語弊があって。たぶんESET社も含めて、パターンマッチングだけをやっているようなアンチウイルスツールとかベンダーっておそらくないはずです。いろいろな多層的な機能をもって検知に取り組んでいると思います。

 このESET製品に関しても、数十年前から機械学習やヒューリスティックの技術を用いて、新たな脅威にも対応できるような機能を用意してきました。かつ最近では、先ほどもご紹介したようなランサムウェア、あるいはUEFI、以前のBIOSのようなハードに近いところを狙った攻撃も増えている中で、そういう特異な攻撃を検知するような機能も年々増やしています。ツールとしては、単体の中で多層の防御ができるのも1つ特徴です。

 あとは、最近は潜入してしばらく時間が経ってから活動を開始するような攻撃もある中では、実行前・実行時・実行後、さまざまなタイミングでそれらを検知していく機能も備わっているソリューションです。

2〜3分で解析完了・データ可視化 クラウド型のゼロデイ攻撃対策ツール

 そして防御、もう1つご紹介したいのが、とくに未知・ゼロデイですね。こういったものに対するプラスアルファの防御ということで、クラウド型のゼロデイ攻撃対策「ESET Dynamic Threat Defense」をご紹介したいと思います。

 エンドポイントにおける防御機能をプラスアルファするという位置づけの製品ですので、世の中的にいうところのNGAV、次世代型アンチウイルスに非常に近い立ち位置になってくるかと思います。

 エンドポイントの中で見つけた不審なファイルで、(安全かどうかの)白黒100%判断つかなかった場合にはそれをクラウド上に自動で送信して、機械学習とかサンドボックスとか、さまざまな解析を複数・多段階に行うことによってしっかりと判断をつけて、悪質なファイルは自動でブロックする。怪しいファイルを見逃すことがないようにしよう、というようなソリューションになります。

 いわゆるインフラというか、解析のステップ的なものは全部クラウド側に持つことができるので、高度な分析を、エンドポイント側のリソースはなるべく使わずにできるということが特徴です。解析もおおむね2〜3分で対応できるので、未知の脅威に関しても非常に迅速に対処できていくというソリューションです。

 あとはその解析結果ですね、クラウドで解析をした結果がレポートとして可視化できるのも、ポイントかなと思います。いわゆるエンドポイントの対策ということですと、守れたか守れなかったかというところにいきがちなんですけれども、解析したものが実際どういうものだったかというところを見ていくのは、今後の標的型とかさまざまな攻撃が増えていく中では非常に重要かなと思います。

多段階解析によってウイルスの妨害工作を突破し、発見できた事例

 そして、今ご紹介したゼロデイ攻撃対策のツールを活用した防御の例ということで、ちょっとご紹介したいと思います。日本語環境を狙ったマルウェア「DOC/Agent.DZ」というもので、去年の6月17日に見つかったものでして、国内の6月のマルウェア検出件数で第5位。半月ぐらいで第5位までぐっと上ってきたというような、非常に多くのところで散見されたマルウェアになります。

 検出されたケースの99%は日本で、ほかの国ではほぼ見つからなかった、明らかに何らかの意図をもって、(悪さ)しようとしているものになっていました。ちょうど画面にあるとおり、メールに「Re:請求書の送付」なんていうタイトルでExcelのファイルが付いていまして、このExcelファイルを開くことで次の攻撃がだんだんと進んでいくというものになっているんですけれども。

 弊社には「サイバーセキュリティラボ」という研究機関がありまして、そこのアナリストが解析した結果をここに書いています。いわゆるアンチウイルス・アンチマルウェアの検出を逃れようと、いろいろな妨害策が備わっていることがわかりました。

 1つはVBA(Visual Basic for Applications)のコードをロックして、何をされているのかわかりにくく、見つかりにくくする。あとは日本語環境でない場合、そこで実行を止めてしまう、みたいなものが備わっていたりとか。

 PowerShell関係では、コマンドを多重に難読化して一見文字化けしてわかりにくくしていたりとか。あとはPowerShellの3.0以降がインストールされている環境でないと動かない。この3.0はWindows 8から搭載されているバージョンで、なんらかの意図をもってWindows 8以降のマシンを狙う意図があったというようなことがいえるかと思います。

 あとは、こういった攻撃のデータを画像ファイルに隠す技術ですね。ステガノグラフィーと呼ばれる技術ですけれども、こういう隠蔽工作をして見つからないような処置をしていたということもありました。

 こうしたいろいろな妨害工作をするものも、先ほどのような多段階の解析をすることによってしっかりと見つけて、防御できたという例になります。ちょっとご紹介をさせていただきました。

“面の攻撃”が増える中、ログの統合解析が重要になってくる

 それから最後、検知・対応ということで「EDR」ですね。侵入してしまった脅威に対する検知をしつつ、いろいろな調査をするツールです。何が原因だったか、影響範囲はどこなのか、そういったものを行なえるようなものです。

 最近は攻撃が点ではなくて、攻撃ツールが次の攻撃ツールをどんどん呼び込んでいくような、線、あるいは面のような攻撃が増えている中では、こういうツールを使っていち早く検知をしていくことも重要になってくるかと思います。

 そして、万が一インシデントがあった場合には隔離とか、不正なプロセスを切ってしまうということで、被害を抑制することもできるものになっています。最近いろいろなところでいろいろなベンダーさんが、EDRを提供していらっしゃるかと思いますけれども、やはりアンチウイルス・アンチマルウェアと別物のソリューションというのが多いのかなと思います。

 そうなってくると、なにかインシデントがあった場合、EDRのログを見ながらアンチウイルスのログを見て……みたいなかたちで行ったり来たりしないと総合的な判断ができない。いろいろな解析をするにはかなり不便なところがあるかと思うんですが、そのへんは先ほどご紹介したエンドポイント保護の製品と統合管理ができるので、分析・管理・運用がスムーズにしやすいのも特徴になっています。

新たな脅威から守るための効果的なアプローチ

 これらのご紹介したソリューションをもってして、効果的にエンドポイントを保護していくということに関して、アプローチをちょっとお伝えしたいと思います。

 まずは一番のベーシックなところとしては、やはり基本の防御。マルウェアをしっかり防御していきましょう、というところになるかと思います。

 その上で先ほどご紹介したようなゼロデイとか、未知のものですね。最近の巧妙な攻撃に関しては、次のプラスアルファの防御をしていくというような流れ。

 そして、いろいろな対策をしても侵入してきてしまうものに関しては、しっかりとそれを前提とした事後対策を行いましょう。

 1、2、3というステップでご紹介したんですが、2を飛ばして1から3という考え方もあるのかなと思います。防御ではなくて、より事後対策にシフトしていく。投資をそこに集中していくというのも、考え方としてはいいかなと思います。

 そしてしっかり防御とか対応までできた段階、次のステップとして、予防的な対策を行なっていこうということで。いわゆる予兆の段階からの情報収集をして、それを社内で注意喚起や教育・啓蒙をしていくということが必要かなと思います。

「万が一は起こってしまう」を前提に対策を立てることが重要

 まとめてまいります。「本当に有益なセキュリティ対策」としては、既知のマルウェアなどを中心にして基本的な防御をしっかりと備えましょう。その上で、昨今の新たな攻撃に対して、プラスアルファの防御を高めていきましょう、ということ。

 それでも「万が一は起こり得ない」ということではなくて、「起こってしまう」という観点に立っての事後対策。侵入の検知と被害を抑制していくということ、ここが大事になるかと思います。

 さらにもう一歩進めることができるのであれば、潜在的な段階で攻撃への予兆を把握する、というところですね。ここでもって注意喚起や社内教育・啓蒙を進められていくと、ツールではないところでセキュリティ対策を高めていくことができるかなと思います。

 今少しソリューションのご紹介ということになってしまったんですが、とはいっても製品を入れればいいという話ではないというのは、もちろんみなさんご承知かと思います。まずはしっかりと情報を収集して、それを社内関係各所、従業員に共有していくことが必要だと思います。

 今日もいくつか挙げさせていただきましたけれども、ああいう脆弱性の情報も的確に、スピードよく入手していくことも重要になってくるかと思います。

 それをもって組織内での教育・啓蒙をしていくということ。万が一という観点から、なにかあったときの迅速な対応、方向性と体制をしっかりと整えていきましょう、というところが次かなと思います。

 そして最初のほうにご紹介した脆弱性に対する対応というところでは、しっかりとパッチ等の管理を行っていきましょう、ということになります。

 最後、今回ご紹介したようなセキュリティ製品を適切に利用していくと。最新の状態、そして複数の層、多層で守っていくということが重要になってくるかなと思います。

 今ご紹介した「情報の収集と共有」、1点目の一番大事なところです。ここに関しては弊社、「マルウェア情報局」という情報提供のポータルをご用意しています。国内外のトレンドや脅威の動向をご紹介しているほか、月1回「マルウェアレポート」という、前月のマルウェアの動向・トレンドを解説したレポートも公開させていただいています。

 ちょうど先週の金曜日、31日にも去年の12月の動向をまとめて発信させていただいていますので、ぜひご覧いただければと思います。「マルウェア情報局」と検索していただければ見つけられるかと思います。

 以上で私からの説明とさせていただきます。

(提供元「ログミー株式会社」)

カテゴリートップへ