セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策として有効とされています。幾重にも防御壁を設けることで機密情報に到達される確率を下げていくことができます。しかし単に多層防御をしているからといってマルウェアを完全に防御することは不可能です。
今回は徹底的に防御する多層防御のカタチをご紹介していきます。
ページコンテンツ
攻撃段階別 5つのセキュリティ対策とは?
ランサムウェアや標的型攻撃の脅威から、自社や取引先を守るために有効なアプローチとして注目されている「多層防御」。これはインシデントの発生確率を下げることが可能なため、多くの企業が取り入れています。
この多層防御はよく、視点の異なる防御をチーズの穴に見立て、スイスチーズモデルとして表現されています。しかし、裏を返せばスイスチーズモデルは侵入確立を下げることができても完全に防御することはできません。すり抜けが発生するのです。
従来の検知型での対策においては、それぞれの防御ラインで既知のマルウェアの侵入を防げたとしても、未知のマルウェアのすり抜け防ぐことは限界にきているといえます。そこで今回、巧妙化するマルウェアに対し、多層防御におけるそれぞれの特長と弱点をご紹介していきます。
一次防衛ライン:ファイアウォール
まず始めに入り口対策として導入されているファイアウォール。パケットのIPアドレスおよびポートをチェックしてアクセスを制御する仕組みです。「どのようなリクエストに対応するのか」「パケットの発信元や宛先は正しいのか」などを監視することで、不正なパケットを検知して遮断します。
しかし、パケットの中身までは監視していないので、IPアドレスおよびポートがファイアウォールのルールで許可対象であれば、パケットの中身が悪意のあるものであっても通過してしまいます。
二次防衛ライン:不正アクセス対策(IDS / IPS)
そこで中身が悪意のあるものなのかを確認するのがIDS/IPS。IDS(Intrusion Detection System)は侵入を検知するためのシステムです。一方、IPS(Intrusion Prevention System)は、侵入を防止するためのシステムです。
どちらもシステムやネットワークに対する外部からの不正なアクセスを検知するという、似たような役割を持つように見えますが、検知した後のアクションが大きく異なります。
- IDS:不正なアクセスを検知して、管理者にアラートを発する
- IPS:不正なアクセスを検知して、検知した不正なアクセスを防ぐところまでを担う
不正なアクセスを検知した後にトラフィック遮断など、防御措置をするかどうかがIPSとIDSの大きな違いです。また、導入時のネットワーク構成にも違いがあり、IDSでは監視方法によって、ネットワークに設置する「ネットワーク型」と監視対象のサーバーに設置する「ホスト型」がありますが、IPSでは不正なアクセスを遮断することから、防御したいシステムへの通信経路に設置する必要があります。
いわゆる両者はネットワーク通信を検査し、ポートスキャンのような攻撃準備行動や脆弱性を突く攻撃コードが含まれていないかどうかを検査し、警告するシステムとなります。
ただし、IDS/IPSの弱点として、通信の内容を静的に解析しているため、通信の中身にファイルが含まれていても、その動作を検証できません。そのため、マルウェア側で、IDS/IPSを通過するような対策をとられると、検知できないことがあります。
三次防衛ライン:サンドボックス、メール無効化、アンチウイルス
IDS/IPS欠点を解決するために、仮想環境で実際にファイルを開いたり、動かしたりして、アクセスするファイルや通信を見て不正を検知する、いわば“おとり捜査”のような手法が「サンドボックス型セキュリティ」機能です。
実際にファイルを動作させてマルウェアかどうかを観察するため、検知までには少し時間がかかりますが、その分高い精度でマルウェアを検知することができます。このように「攻撃されても問題のない仮想環境」を構築して、その中で怪しいファイルを実行したり 疑わしいメールに記載されているURLをクリックしたりと問題を分析し、セキュリティ対策を行います。
しかしシマンテックによると2016年の時点で20%のマルウェアは標準機能として、仮想マシン環境の存在を検知および識別できるようになっており、サンドボックスを回避したマルウェアの存在に気付けないリスクが高まっています。そのため、いかに迅速かつ正確に脅威を排除できるか?といったインシデントレスポンスの品質が重要になりますが、この部分の運用が負担になっている企業も多く、未知の高度な脅威を防御する(止める)ことへのニーズも非常に高まっています。
四次防衛ライン:エンドポイントセキュリティ
サンドボックスでは解決することが難しい、これらの課題への対応方法として、次世代のエンドポイントセキュリティ対策に注目が集まっています。パターンマッチングに依存した従来のエンドポイントセキュリティに対する、「次世代」のエンドポイントセキュリティとして、「NGAV(Next Generation Anti Virus)」や「EDR(Endpoint Detection and Response)」といったジャンルの製品が続々と登場してきています。
NGAV(Next Generation Anti Virus)
これは機械学習や振る舞い検知といった技術を活用し、パターンマッチングでは検知できないような、未知の高度な脅威を検知・防御することを目的とした製品です。マルウェアを「止める」ことにフォーカスしており、感染を前提とした事後対処(感染範囲の調査や端末隔離など)といった機能は有していないことが多いです。
EDR(Endpoint Detection and Response)
次に、「EDR」ですが、これは検知(Detection)とレスポンス(Response)に主眼を置いた製品であり、パターンマッチングに依存しない形で、未知の高度な脅威を検知・記録(ロギング)し、その情報を元に適切なレスポンス(端末の隔離や、感染範囲の特定・事後分析など)を実現する機能を有しています。基本的には、その名の通り検知(Detection)することが目的であり、マルウェアを「止める」ことに主眼を置いていないことが多いです。
こちらのEDRですが、企業で利用してくためには注意点があります。それは、EDRは「検知」と「記録」がベースになっており、「止める」ことを実施しないため、「どのような脅威なのか」「その脅威に対して何をすべきなのか」を、現在確認できる情報から瞬時に判断し、適切に対応するためのスキルと体制を、企業内に確保しておく必要があることです。これは、これまで企業が行ってきたエンドポイントに対するセキュリティ運用とは全く異なるものとなります。
日本よりもEDRの普及が進んでいる米国などの国では、企業側にスキルを有したセキュリティ担当者やインシデントレスポンス体制が比較的確立されていることから、問題になることは少ないかもしれません。しかし、限られた人員とスキルでいくつものタスクを抱えながら、セキュリティ対応も実施しなければならないような日本企業の場合は、EDRを活用するためには高いハードルがあることも意識する必要があると考えます。
最終防衛ライン:OSプロテクト型セキュリティ
ご紹介してきたように、新種のマルウェアに関しては、従来の「検知型」のセキュリティ対策では、過去の情報に基づいたファイルや振る舞いに対するパターンマッチングによる検知に対する対策しかできず、新種のマルウェアにはリアルタイムで対応することは困難を極めます。
新種のマルウェアが検知される度に検知のしきい値を高く設定すれば誤認知が多くなる傾向にもあります。さらに定期更新をしなければならずユーザーへ継続的に負荷がかかり、都度対応をすれば「検知型」の技術ではイタチごっこ状態にもなってしまいます。
そこで最終防御として新たに必要となるのが、従来のアンチウィルス製品のようにマルウェアを検知し駆除するのではなく「OS」への攻撃を防御する新概念「OSプロテクト型セキュリティ」です。これは、従来のアンチウイルス製品のように、マルウェアを検知して駆除するのではなく、OSへの攻撃を防御し、サイバー攻撃の段階で「未知の脅威」も遮断し、被害を未然に防止することを意味します。
EPP・EDRでは不十分!セキュリティ先進企業が実践「OSプロテクト型」対策とは?
関連記事:https://www.daiko-xtech.co.jp/daiko-plus/security/epp-edr-protect/
サイバーセキュリティは製品間で連携した「多層防御」が必要不可欠
新規のマルウェア対策として多層防御に取り組む企業が多いですが、目先のことしか考えずに多層防御を施すセキュリティ製品を導入しても、各層が十分に統合されず、セキュリティレベルの低下を招くといった事態に陥りがちです。
各セキュリティ製品が単独で動作しているのでは、インシデント対応において製品間で連携できず、最善の対応をとることができません。加えて、各セキュリティ製品の中でのみ対応や情報が完結するため、何が起こっているのか全体を把握することが難しいです。また、規模の小さな企業の場合、多層防御を取り入れるには、コスト面でも運用面でも無理なく導入できるソリューションが不可欠となってきます。
以上から、年々巧妙化する不正アクセスが発覚するたび検知・機会が句集に依存し対策をするといった「いたちごっこ」から脱却し、検知型×OSプロテクトで強靭な多層防御を実現したいとお考えの方は、下記より「App Guard」の詳細をご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
