アンチウイルスは時代遅れか? それでも必要なウイルス対策…進化するエンドポイントセキュリティ


アンチウイルスでは急激に増加を続けるマルウェアは見つけきれないのか? 現在ネット上に流布している脅威の状況を的確に把握し、時代に沿ったエンドポイントセキュリティを構築することが、企業の情報セキュリティを実現していく上で重要なポイントになる。

文/中尾真二


攻撃に利用される脆弱性のほとんどは既知のもの

 セキュリティ系のメディアやネットのニュースを見ていると「もはやウイルス対策ソフトではマルウェア感染は防げない」といったフレーズを目にすることはないだろうか。ウイルス対策ソフト(アンチウイルス)は、一般的に、発見されたマルウェアのパターンファイルをデータベース化し、それと比較することでマルウェア判定を行う。つまり未知のマルウェアは検知できない。

 現在、マルウェアは秒単位で新種(亜種含む)が発見されていると言われている。したがって、PCにインストールしたアンチウイルスソフトでは、検知のためのパターンファイルの更新が追いつかず、検知できないマルウェアが増えている。

 しかし、2015年の調査だが、攻撃に利用される脆弱性の99%は、1年以上前に発見されているものだったと米ベライゾンが報告している。2016年の同じ調査では85%が既知の攻撃だった。マルウェア開発の自動化が進む現在は、その比率はさらに下がっていると思われるが、今でも攻撃の過半数が既知の攻撃であり、アンチウイルスソフトでも検知できる攻撃は存在するということだ。

 アンチウイルスソフトによる対策は、まったく無意味ということではない。

2015年に観測されたマルウェアが利用していた脆弱性の発見年度(CVE採番別)
(The 2016 Data Breach Investigations Reportより
http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf)

進化するエンドポイントセキュリティ

 もちろんアンチウイルスソフトも進化をしている。現在はマルウェアを検知するパターンファイルはクラウドで管理されるものがほとんどだ。パターンファイルのデータベースは、セキュリティベンダーがクラウド側で常に更新しているので、新種への対応が迅速かつ確実になる。

 それ以外にも、OSの動作を監視して不正なファイル操作や通信をブロックしたり、メールに添付された実行ファイルを、ダミーの環境で実行して不審な動作をしないかチェックする(サンドボックスという)機能もある。ブラウザの通信を監視し、フィッシングサイトや攻撃サーバーへのアクセスを遮断する方法もある。USBメモリからの侵入・感染の対策として、USBメモリや外付け記憶装置の読み書きを禁止する機能もある。

 PCやスマートフォンなどITシステムの末端(デバイス)の安全を守ることをエンドポイントセキュリティという。また、このような防御をEDR(Endpoint Detection & Response)ともいう。

 エンドポイントセキュリティは、ファイアウォールを超えて侵入してきた脅威の最後の砦としても重要だ。標的型攻撃メールに添付されたマルウェアは、ファイアウォールでの検知や駆除は難しい。万全の対策をしているつもりでも、現実にはマルウェア感染は防ぎきれていない。デバイスがPCだけでなく、スマートフォンやタブレットなどモバイルデバイスと多様化する中で、複数の侵入経路に対して複数の防御手法を適用するエンドポイントセキュリティの重要性は高まっている。

Window 10での標準的なエンドポイントセキュリティ

 Windows PCにおいて、エンドポイントセキュリティの対策を考える場合、どのようなものがあるだろうか。

 Windowsには「Defender」というセキュリティ機能が標準でインストールされている。もともとはスパイウェアを検知するセキュリティソフトウェアだったものだが、現在では以下のような保護機能が利用できる。

  • ウイルスと脅威の防止
    アンチウイルスソフトと同様な検知・駆除機能(クラウドベース)
  • デバイスのパフォーマンスと正常性
    Windows更新プログラムのチェック、デバイスドライバの状態、バッテリー残量、ストレージ容量の確認
  • ファイアウォールとネットワーク保護
    Windowsファイアウォールとネットワーク接続の状態確認
  • アプリとブラウザ制御
    攻撃サイトへのアクセスや不正アプリの検知と警告
  • ファミリーオプション
    フィルタリング設定などペアレンタルコントロール機能

 Windows 10にバンドルされているDefenderは、一般的なセキュリティソフトと同等な機能が備わっている。

 企業ユーザーなら、Microsoft 365というパッケージを利用すれば、Windows 10 EnterpriseまたはBusiness(どちらもDefenderが含まれる)とOffice 365(クラウド版のOfficeアプリやOutlookなど)、EMS(Enterprise Mobility + Security)をまとめて利用することができる。

 EMSとは、クラウド環境でユーザーのPCやモバイルデバイス(スマートフォンやタブレット)の統合的なID管理(シングルサインオンやActive Directory連携など)、デスクトップの仮想化、クラウドのデータ保護機能を提供するコンポーネントだ。

 Microsoft 365には、ユーザー数などに応じたいくつかのエディションが用意されている。会社の規模や利用形態に合わせてライセンスを選ぶようになっている。

ベンダー特有の機能やサービスが利用できるEDR製品

 一部の専門家にはWindows 10のDefenderを使っていれば、市販のセキュリティソフトをインストールしなくてもいいという人もいるくらいだ。

 しかし、市販のセキュリティソフトやベンダーのサービスは、長年培ってきたプロテクト機能やサービスインフラを持っている。マルウェアを検知するためのデータベースや未知の攻撃の検知方法など、各社が独自の技術や手法を提供している。企業ごとの細かい事情やニーズに合わせた製品やサービスを持っているのも特徴だ。

 例えばトレンドマイクロの「ウイルスバスタービジネスセキュリティサービス」(VBBSS)は、単なるウイルス対策ソフトではなく、エンドポイントセキュリティ対策に有効なEDRと呼べるものだ。なお、VBBSSやその他サードパーティ製のセキュリティソフトを利用する場合は、Microsoft Defenderを停止する必要がある。

 マルウェアやフィッシングサイト、攻撃サイトのURLといった悪意のデータベースは、同社のクラウド型セキュリティ技術基盤(Trend Micro Smart Protection)と連携し、最新の脅威情報に対応する。クラウド型なのでマルチデバイス保護も可能だ。ファイアウォール機能、USBデバイスの制御といった機能も利用可能。

 VBBSSは、企業ユースレベルの保護機能を提供してくれるが、それ自体は、専用の管理サーバーを必要としない。PCやスマートフォンにクライアントソフトウェアをインストールすれば、保護機能やポリシーの管理はクラウド側が面倒をみてくれる。つまり、導入が簡単で大掛かりな投資が必要ないのも特徴だ。さらに、必要なら業務ITシステムとの連携ソリューションもトレンドマイクロがSaaS(サース/サーズ)として用意している。

 企業の包括的なセキュリティシステムを考える場合、業務用のPCやスマートフォンのセキュリティ対策はアンチウイルスソフトの導入だけでは不十分だ。なんらかのEDR製品の導入によって多層的な対策を検討したい。

貴社の「エンドポイントセキュリティ」を実現するソリューションは
「ソリューションファインダー」で見つけられます!

貴社に必要なソリューションを簡単に検索できる「ソリューションファインダー」なら、セキュリティ強化に適したソリューションもたくさん見つけることができます。

筆者プロフィール:中尾 真二(なかおしんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。