ここから本文です

刻々と変化する攻撃に耐える――最新のサイバー攻撃に対応できるエンドポイント対策

10/10(火) 8:00配信

@IT

 本記事では、中堅・中小企業における現実的な高度標的型攻撃(APT)への対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。

高リスクなURLを提供していた国(トップ10)

 今回は、多層防御のうち最後の要である、「エンドポイント対策」について、特に未知のマルウェアに対するリアルタイム防御を中心に解説する。

●現代におけるエンドポイント対策が直面するグローバル化

 セキュリティ対策を考慮する際、米国のドナルド・トランプ大統領の言動に注目せざるを得ない。歴史的には、第二次大戦後70年以上も続いてきた開放経済体制が動揺し、1930年代に見られた内向き経済への転換期と位置付けられるかもしれない。

 しかし貿易立国であり、天然資源に乏しい日本にとって内向き経済は選択肢として取り得ない。大消費国・地域へのさらなる進出、現地化は、企業規模を問わず、日本企業経営者の主たる経営課題になるであろう。そうした各市場で等しく直面する大きな課題の1つが、凶悪化するサイバー攻撃である。

 現代のサイバー攻撃はあらゆるレベルで激化、深化しており、もはや1つのセキュリティソリューションではとても防ぎ切れない水準に達している。「サイバーセキュリティ経営ガイドライン」にある「経営ガイドライン 付録B-2」でも「多層防御措置の実施」を求めている。まさに組織の全ての物理レイヤー、ソフトウェアレイヤー、ネットワークレイヤーで、セキュリティ対策を講じる必要があるということだ。

 では個別のPCなどエンドポイントにおけるサイバー攻撃対策を、どのように設計すべきだろうか? ビジネス領域が飛躍的に増大し、経営組織が地理的に拡大する中、グローバル化を選択せざるを得ない企業はいかにして自社のIP(知的資産)をサイバー攻撃から防御できるだろうか?

●サイバー脅威の実態

 エンドポイント対策を考えるには、最新のサイバー攻撃がどのようなものであるかを把握しなければならない。米Webrootが2017年2月に発表した「2017 Webroot Threat Report(ウェブルート脅威レポート 2017)」に基づき、複雑なサイバー攻撃を「マルウェア」「IPアドレス」「URL」「フィッシング」という4つの側面から切り取ってみよう。

○マルウェア

 さまざまなセキュリティ企業が対策の中心に置いているのはマルウェアだ。2016年にWebrootが発見したマルウェアとPUA(Potentially Unwanted Application:不要と思われるアプリケーション)のうち、実に94%が1回しか観測されなかった。そうしたマルウェアは、「ポリモーフィック(変異)型マルウェア」と総称される。

 このポリモーフィズムのまん延こそ、最新のサイバー攻撃の特徴だ。不正プログラム中の特定のパターンを検知する伝統的なシグニチャ型アンチウイルスを「武装解除」させた原因であり、シマンテック幹部が「アンチウイルスは死んだ(Antivirus software is dead)」と告白した背景となっている。

 2016年から社会的に注目を浴びているランサムウェアは、ポリモーフィック型マルウェアの一種だ。”Angler”または”Neutrino”から始まった攻撃用ツール(エクスプロイト・キット)の流行は、時間の経過とともに進化している。これはランサムウェアが1つの組織の犯行ではなく、複数の組織が相互に(あるいは一方的に)情報交換する状況を反映しているのかもしれない。さらにサービスとしてのランサムウェア「RaaS(Ransomware-as-a-Service)」の登場が、ランサムウェア攻撃の実行犯と元凶をさらに見分けづらくしている。ランサムウェアの脅威がいつかは止まるという期待が持てない状況だ。

○IPアドレス

 マルウェアで観察された現象が、IPアドレスでも起こっている。ブラックリストに載ったIPアドレスの実に88%以上が、新規のものだ。攻撃用のIPアドレス自体が使い捨てにされている。ブラックリストでIPアドレスだけを単にフィルタリングしても、効果が限定的だと分かる。

○URL

 URLはどうだろうか? Webrootでは270億を超えるURLの分析を行い、レーティングを重ねてきた。観察期間を通じて、悪意のある、たちの悪いURLを最も提供した国は米国だった。2016年には実に43%の悪意あるサイトが米国で運用されていた。

 このことは、サイバー攻撃者が米国におけるホスティングを利用(または乗っ取り)していることを示している。IPアドレス単独でのフィルタリングではなく、URLとIPアドレスをセットで管理する必要がある。

○フィッシング

 フィッシングサイトの傾向もよく似ている。800以上のフィッシングサイトを分析した結果、最も存続時間が長いサイトは44時間、最も短いサイトは15分で消滅している。全フィッシングサイトの84%の存続時間が24時間未満だった。フィッシングサイトを使い捨てることで、旧来のフィッシング対策網をすり抜けているのである。

●モバイル端末対策を忘れてはならない

 ここまで主に2つのことを述べてきた。1つは、エンドポイントセキュリティの観点では軽視されてきたグローバル化の影響である。グローバル化は、多言語、多文化主義への積極対応だといえる。

 セキュリティポリシーを守るべき社員も、セキュリティポリシーに影響を受ける顧客やサプライヤーも、もはや日本語を話し、日本文化を理解する日本人だけではないのである。これからのエンドポイント対策は、英語を用いたグローバル化と異文化コミュニケーションを前提とした設計でなければならない。

 もう1つは、脅威への対応可能時間だ。猶予期間が極端に短い。新しいマルウェアを発見し、ワクチンソフトを開発、展開、駆除する時間を合計して1時間も残されていない。しかし、「サイバーセキュリティ経営ガイドライン 技術対策の例」では「OSやアプリケーションソフトウェアなどのタイムリーな更新(自動更新または強制的な更新)の徹底」を求めている。防壁となるアンチウイルス用の定義ファイルの常時更新が必要となり、ごく短い遅延しか許されない。

 さらに、もう1つ重要な変化について指摘したい。業務に利用することも多いモバイル端末のアプリケーションの傾向だ。Android用のアプリケーションが爆発的に増加している。Webrootが2015年に観察した「悪意ある」または「疑わしい」Androidアプケーションの数は200万強であった。それが2016年の観察では1000万近くに達している。

 悪意あるアプリケーションのうち、約60%が「トロイの木馬」によって占められている。アドウェアの増加も著しい。2016年には新規アプリケーションの10%近くがアドウェアである。モバイルエンドポイントの生産性を考慮するとき、こうしたモバイルアプリケーションへの対応、セキュリティ強化が必要だ。

●エンドボイント対策が満たすべき4つの条件

 現在のセキュリティ環境に応じたエンドポイント対策ソリューションに必要な要素をまとめてみよう。

 サイバーワールドからの脅威は絶えず変化している。継続的で広範な頻繁に起こる変化にリアルタイムでレスポンスできなければならない。最良のリアルタイムレスポンスを実現するには、処理時間の短縮が必要である。シグネチャの更新、アプリの更新、スキャンの時間など全ての処理が対象だ。いかに優れたセキュリティアプリケーションであっても、マルウェアスキャンに10分以上もかかるようでは駄目だ。これではトラブル時の対応にも間に合わない。運用時間そのものを含めたリアルタイム(即時)レスポンスを目指すべきである。

 脅威要素を単体で分析しただけでは不足である。マルウェアやIPアドレス、URL、アプリケーションをそれぞれ迅速に関連付けて分析しなくてはならない。

 範囲を日本だけに限ることはできず、グローバルな対応が不可欠である。そもそものサイバー攻撃の発信元が米国や中国、北朝鮮など世界中にまたがるのが実態だ。グローバルレベルでの脅威情報が必要である。

 最後に他種類のデバイスへの対応だ。PCやMac、モバイル、さらにはIoTの全てがカバーされなければならない。結論として次の4つの条件を満たすエンドポイント対策ソリューションが求められている。

1. リアルタイムレスポンス(分析、更新、スキャン全体での時間短縮)
2. グローバル対応(多文化対応、グローバル脅威情報)
3. マルウェア、IPアドレス、URL、アプリケーションの相互連関分析
4. PC、Mac、モバイル、IoTへの対応

●エンドポイント対策をどのように導入するか

 最後に、望ましいエンドポイント対策ソリューションへどのように移行したらよいのかを示す。国内では既にほとんどの企業内PCにアンチウイルスソフトウェアがインストールされている。

 従来のアンチウイルスソフトウェアは最新のサイバー攻撃に対し、実質上、無力である。しかしながらこうしたソフトウェアも、旧式のサイバー攻撃、いわゆる既知の攻撃に対しては有効である。従って新しいサイバー脅威へ対応する場合、既存のアンチウイルスソフトウェアと当面は共存できることが望ましい。

 例えば大組織の場合、まず一部門で試験的に既存のアンチウイルスソフトウェアと新たなエンドポイント対策ソリューションを並行して運用し、現場に対して負の影響がない(少ない)ことを確認した後、全部門への展開を図ることが現実解だと筆者は考える。

 試験期間はできる限り短いことが望ましいものの、かといって実環境での試験プロセスをスキップして新ソリューションに一斉に切り替えることは、新たな運用リスクを生む可能性がある。

 逆に言えば、既存アンチウイルスソフトウェアと共存できるソリューションを選択する必要がある。市販の多くのアンチウイルスソフトウェアは、他のアンチウイルスソフトウェアとは共存できないことが多い。例えばクラウドベースで動作する製品を選択するといった対応が必要だ。

●ベースラインAPT対策コンソーシアム(BAPT)
標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。
参加企業は、ニュートン・コンサルティング、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、PFU、ウェブルート、ベル・データ、フェス、ゾーホージャパン。
http://bapt.zohosites.com/

●筆者プロフィール
○東田 巌秀(ひがしだ としひで)
ウェブルート株式会社マーケティング部シニアマーケティングマネージャー、ITコーディネータ、上級ウェブ解析士
外資系IT企業において、法人/個人/プロダクト/サービスマーケティングに20年以上携わる。現在はウェブルートにて法人向けマーケティングとPR全般を担当。休日には通訳案内士として、外国人向けに日本の魅力をアピールしている。

最終更新:10/10(火) 8:00
@IT

Yahoo!ニュースからのお知らせ