特集
» 2019年09月25日 08時00分 公開

無償のWindows Defenderって使っている? エンドポイント対策最前線

シグニチャベースのアンチウイルスソフトが限界を迎えるなか、EDRをはじめとした新たなエンドポイント対策が広がり始めている。無償提供されているWindows Defenderの利用も踏まえ、これからのエンドポイント対策の最適解について考えてみたい。

[登坂恒夫,IDC Japan]

アナリストプロフィール

登坂恒夫(Tsuneo Tosaka):IDC Japan ソフトウェア&セキュリティリサーチマネージャー

国内情報セキュリティ市場(セキュリティソフトウェア市場、セキュリティアプライアンス市場、セキュリティサービス市場)を担当。市場予測、市場シェア、ユーザー調査など同市場に関するレポートの執筆、データベース製品のマネジメントの他、さまざまなマルチクライアント調査、カスタム調査を行う。


シグネチャベースのエンドポイント対策は限界に

 これまでPCをはじめとしたエンドポイント対策は、アンチウイルスソフトウェアがその中心的な役割を果たしてきた。このアンチウイルスソフトウェアは、特定のマルウェア内に共通する特徴をとらえたシグネチャから脅威を特定するソリューションであり、新たなマルウェアが検知された段階でそのパターンを解析し、各クライアント内のファイル更新を行うことで脅威への対策が可能になっている。今ではWindows OS自身にアンチウイルスソフトウェアの機能が実装されるほどで、業務でPCを利用する際には何からのソリューションが実装されていることは間違いないだろう。

 しかし最近では、特定の企業や個人を狙った標的型攻撃が増加しており、これまで有効だったシグネチャベースの検知をすり抜けるような攻撃が増えている。その結果、検知率の低下を招き、マルウェアの脅威から企業の情報資産を守るのが困難な状況となりつつある。これまでシグネチャベースのソリューションを提供してきたセキュリティベンダーもその限界を理解しており、新たな解決策を実装しているところが増えている。もちろん、既知の攻撃から企業を守るという意味では、シグネチャベースのソリューションが無意味なわけではなく、今でも外部からの脅威を防御するための有力な手段の1つであることは疑いようもない。

目次:無償のWindows Defenderって使ってる? エンドポイント対策最前線


事業継続の危機に陥れた「ランサムウェア」のインパクト

 従来に比べて攻撃手法が高度化、複雑化したことで、これまでのセキュリティ対策の根本的な考え方が大きく変化している状況も見て取れる。以前は機密情報など企業が持つ情報資産をどう守るのかという防御の考え方がその中心だった。しかし、標的型攻撃などの登場により、今では完全にマルウェアをシャットアウトすることが難しい時代となっていることから、侵入されることを前提とした“リスクベース”の脅威対策の重要性が大きく叫ばれるようになっている。

 また、そのリスクは企業内の情報資産を守ることだけでなく、事業継続の面でも検討されなければならない状況にある。その1つのきっかけが、感染したPC内のファイルを暗号化することでシステムを使用不能にし、復旧を引き換えに金銭などの身代金を要求するランサムウェアの登場だろう。ランサムウェアに感染してしまうと、例えば製造業では、生産設備を管理する制御PCが停止に追い込まれ、稼働することが困難になるケースも実際に発生している。1つのPC感染がきっかけとなり、ネットワーク接続された端末が次々にランサムウェアに感染するような事態になれば、業務が遂行できなくなり、最悪の場合は復旧できない状況にまで追い込まれてしまう。脅威対策として考えるべきは、単なる情報資産の流出リスクだけでなく、事業継続リスクまで含めて考えていく必要が出てきているのが現在の状況だろう。

サイバーセキュリティの基本となるNISTのフレームワーク

 このリスクベースの考え方として多くの企業が重視しているのが、2014年にNIST(米国立標準技術研究所)が発行した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」であり、今ではサイバーセキュリティフレームワーク(Cyber Security Framework:CSF)と呼ばれている考え方だ。多くの企業がセキュリティ対策におけるフレームワークとして参考にしており、2018年には改訂版であるバージョン1.1が登場している。

 このCSFでは、セキュリティの機能を「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つに分けており、それぞれカテゴリーおよびサブカテゴリーによって構成されている。企業においては、トータルで98あるサブカテゴリーについて、自社における優先度や対応状況などを1つずつ評価していくことで企業全体の情報セキュリティの実態が把握できるようになる。実際にはエンドポイント対策についても、特定から復旧までの各プロセスにおいて必要な機能を洗い出しながら、ソリューションを検討していく必要があるだろう。

非シグネチャベースの脅威対策が台頭

 そんなリスクベースの考え方も踏またうえで、シグネチャベースのソリューションだけでは対処できない部分を補完するものとして、今ではさまざまなエンドポイント対策のソリューションが登場している。そのソリューションの1つがEDR(Endpoint Detection and Response)と呼ばれるもので、実質的には侵入されてもいち早くその状況を検知し、アラートを上げたり対処を実施したりするための仕組みだ。IDCでは、EDRも含めたシグネチャを利用しない非シグネチャ型のセキュリティ製品を「標的型サイバー攻撃向け特化型脅威対策(STAP:Specialized Threat Analysis and Protection)」と定義している。このSTAPには、エンドポイントでの非シグネチャ型マルウェア検出/分析など行う製品をエンドポイント製品、メッセージングセキュリティ、Webセキュリティ、ネットワークセキュリティでの非シグネチャ型マルウェア検出/分析など行う製品のゲートウェイ製品がある。

 このSTAP領域のソリューションのなかでも、エンドポイント製品の比率はゲートウェイ製品に比べて大幅に伸びており、シグネチャベースのエンドポイント対策だけでは企業が求めるセキュリティ要件を十分に満たせていないことの表れともいえる。

 なおSTAPは、サンドボックスエミュレーションやコードエミュレーション、ビッグデータ/アナリティクス、コンテナ化などの非シグネチャベースの技術によってマルウェアを検出・分析し、C&C(Command and Control)サーバとボットネット間の通信を含めたネットワークレベルやエンドポイントレベルでのアノマリをスキャンする製品となっており、検出されたマルウェアのリバースエンジニアリングやフォレンジック分析もこのSTAP市場の調査には含まれている。

セキュリティ対策が前に進まない2つの理由

 STAP製品のような新たなエンドポイント対策が登場しても、実際にはそう簡単に企業への導入が進むわけではない。その要因は2点ある。問題とあその解決策を考えていこう。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。