Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

新時代へと突入したエンドポイントセキュリティ――振る舞いから未知の不正プログラムを検知、攻撃の実行を防ぐ

edited by Security Online   2018/10/18 06:30

 充実したセキュリティ機能がデフォルトで搭載されているWindows 10への移行が進み、これまで定番であったエンドポイントセキュリティ技術は新時代を迎えようとしている。さらに、昨今では既存の対策をすり抜ける未知のマルウェアも登場。株式会社FFRI 取締役 事業推進本部長 川原一郎氏は「Security Online Day 2018」(主催:翔泳社)において、未知の脅威への対策を強化するために、ソフトウェアの疑わしい振る舞いを検知する『先読み技術』の重要性を語った。

Windows 10への移行でエンドポイントセキュリティは新時代へ

株式会社FFRI 取締役 事業推進本部長 川原 一郎 氏

 「現在企業で多く使われているWindows 7の無償延長サポートが、2020年1月14日を以て終了します。サポートが切れたOSを使い続けると、OSの脆弱性を修正するプログラムが提供されなくなり、マルウェアに感染する確率が高くなります。従って、今後Windows 7からWindows 10へ移行する企業が増えてくることでしょう。Windows 10はセキュリティ技術が充実しているため、セキュリティの観点からは歓迎すべき動きだといえます」

 川原氏は冒頭、昨今よく話題にされているWindows 7のサポート終了に伴うセキュリティ課題に言及。Windows 10には、「Windows Defender」と呼ばれるアンチウイルス機能がデフォルトで備わっており、これまでのエンドポイントセキュリティ対策の定番であった「アンチウイルス製品の導入」が不要になる。これにより、エンドポイントセキュリティに対する考え方もおのずと変わってくると川原氏は指摘する。

 「Windows 10におけるエンドポイントセキュリティの考え方は、これまでのように『どのアンチウイルスソフトを選ぶか』ではなく、既にOSに標準搭載されているアンチウイルスソフトでは対応できない『未知の脅威への対策をいかに行うか』へと重点が移ってきます。アンチウイルスソフトは既知の脅威、いわば『指名手配犯』を捕まえるのは得意です。一方、指名手配されていない犯人、つまり未知の脅威をとらえることはできません。そこで、監視カメラで怪しい挙動をする人物を監視・検知するように、疑わしいソフトウェアの“振る舞い”を検知する技術が必要になってきます」

 近年ではサイバー攻撃が高度に組織化・産業化されており、攻撃ツールやプラットフォームをアンダーグランド・マーケットで容易に入手、利用できるようになった。中には、サイバー攻撃をSaaS型サービスとして提供するような手口も現れている。こうした背景から、未知の脅威を使ったサイバー攻撃が今後ますます増えることが予想される。

出典:FFRI作成[画像クリックで拡大表示]

 またこれまで未知の脅威を使って特定の企業を狙い撃ちにする標的型攻撃は、主に大企業が直接ターゲットとして狙われていたが、近年ではセキュリティ対策が十分ではないグループ会社や取引先を経由して大企業への侵入を図る手口も増え、企業規模を問わず未知の脅威への対策が急務となっている。

【解説資料】Windows 10移行に備えよ!全てのIT担当者が移行前に考えるサイバーセキュリティ対策を解説!

本ホワイトペーパーは『外部脅威・マルウェア対策』といった 「Windows 10」搭載の機能性を振り返り、「Windows Defender」の利用と次世代エンドポイントセキュリティを組み合わせて活用する価値をご紹介します。本資料をご一読いただき、自社のサイバーセキュリティ対策や最新の脅威動向に対する情報収集にお役立てください。

  • 資料名:『Windows 10移行前に確認しておくべき、「次世代セキュリティ」とは』
  • 目次:
    -「Windows 10」に移行してセキュリティ強化!? 
    -Windows 10が提供する防御・保護機能
    -Windows 10を真に保護する「FFRI yarai」
    -Windows 10移行後の継続的なセキュリティ運用に向けて
  • 仕様:A4、5ページ、無料PDF
  • 提供:株式会社FFRI

詳細&資料ダウンロードはこちら!

 

既存のエンドポイントセキュリティ対策をすり抜ける未知の脅威

 加えて最近は、不特定多数のユーザーを対象に攻撃を仕掛ける「無差別型攻撃」の被害も急増している。中でも広く知られているのが、2017年に世界中で被害が拡大したWannaCryに代表されるランサムウェア。端末内のファイルを暗号化し、暗号解除にために身の代金を要求するという手口を用いる。このほかにも、オンラインバンキングを利用しているユーザーの情報を詐取し、送金先を変えてしまうバンキングマルウェアや、PCを乗っ取って仮想通貨の発掘を行うマルウェアによる被害も急増している。

 こうした攻撃は、まずマルウェアの感染を狙うメールを不特定多数のユーザーに送り付けるところからスタートする。かつてこの手のメールは、一目見て「怪しい」と判断できるものが多かったが、川原氏によれば近年の無差別型攻撃メールは極めて巧妙にできているという。

 「件名や文面は極めて自然な日本語で書かれていますし、添付ファイルも実行形式ではなく圧縮ファイルになっていて、一見すると通常のメールと見分けが付きません。そのためスパムメール対策やメールセキュリティ製品によるチェックをすり抜けて、ユーザーの手元まで届いてしまいます。そしていったん添付ファイルを開けば未知のマルウェアが動き出すため、アンチウイルスでも検知できません。結果として、既存の対策をすべてすり抜けてしまうのです」

 また、特定の企業にターゲットを絞った標的型攻撃による被害も相変わらず後を絶たない。無差別型攻撃と同様、未知の脅威を使った攻撃はネットワークの入り口で検知できないため、多くの場合PCやサーバーなどのエンドポイントまで到達してしまう。従って、「実際の犯行現場であるエンドポイント上で怪しい特徴や振舞いを検知して被害を発生させないのが、標的型攻撃対策としては最も効果的だ」と川原氏は述べる。

出典:FFRI作成[画像クリックで拡大表示]

 「近年では、攻撃が成立してしまった後の事後対策を強化する必要性が叫ばれていますが、攻撃成立件数が多くなってくれば対策の手が回らなくなり、被害は拡大する一方です。そこで、未然に攻撃成立のリスクを極小化できるエンドポイント対策を施しておけば、被害発生や事後対応コスト増大のリスクを最小限に抑えることができます」

「先読み技術」で未知の脅威をエンドポイント上で検出する「FFRI yarai」

 こうしたエンドポイント防御を実現するためにFFRIが開発・提供しているのが、次世代エンドポイントセキュリティ「FFRI yarai」だ。従来のエンドポイントセキュリティ製品とFFRI yaraiの違いについて、川原氏は次のように説明する。

 「従来のアンチウイルスソフトは、定義ファイルを用いたパターンマッチングで既知のマルウェアを検知する、いわば“後追い”の技術でしたが、FFRI yaraiは定義ファイルに依存しない『振る舞い防御』による先読み技術で、未知のマルウェアも防御可能となっています」

 また同製品は、5つの振る舞い検知エンジンを実装することで、様々な手法を組み合わせた多角的なエンドポイント防御を実現しているという。具体的には、アプリケーションを脆弱性攻撃から守る「ZDPエンジン」、マルウェアの侵入を検知する「Static分析エンジン」「Sandboxエンジン」、マルウェアの活動を検知する「HIPSエンジン」「機械学習エンジン」という5つのエンジンを組み合わせることで、エンドポイント上の多層防御を実現する。

出典:FFRI作成[画像クリックで拡大表示]

 同製品は2009年の発売以来、ユーザー数を伸ばし続けており、2018年3月時点で総契約ライセンス数は約75万に達する。特にセキュリティ要件の厳しい中央省庁や官公庁、金融サービスにおいて多くの導入実績を持つ。2018年11月には、これまでの機能に加えて、新たに「EDR(Endpoint Detection and Response)」の機能も加わり、更に強固にエンドポイントを守れるようになる予定だという。

 加えて今後は、FFRI yaraiをIT資産管理ソフトウェアと組み合わせた「DIY型のセキュリティ対策」を提唱していきたいと川原氏は話す。

 最後に川原氏は「サイバーセキュリティ基本法の統一基準群が改正され、端末・サーバーにおける『未知の不正プログラムの検知/実行の防止機能の導入』と、ソフトウェア等の情報を自動的に収集する『IT資産管理ソフトウェアの導入』に関する記述が加わりました。FFRI yaraiとIT資産管理ソフトウェアを組み合わせればこの2つをカバーできるともに、脅威の調査や感染端末の隔離などを自動化・省力化し、内製できるようになります。こうした『外部に頼らずDIYで実現するセキュリティ対策』を実現する上でも、FFRI yaraiは極めて有効だと考えています」と締めくくった。

著者プロフィール

  • 吉村 哲樹(ヨシムラ テツキ)

    早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5