naisanpo

デジタルガジェットから写真/カメラ/旅、セキュリティのことまで。

AntiVirusソフト入れてるから大丈夫・・ではない、「多層防御」の必要性

Microsoftのセキュリティ

INTERNET Watchの以下の記事に、Microsoft社内のマルウェア検知/感染/対策方法について紹介されています。

internet.watch.impress.co.jp

Microsoftでは、100カ国で約15万人の社員が約60万台のデバイスを利用しているが、2015年下半期には約200万件のウイルスが検出され、41件の感染が確認されたという。Microsoftは7日に日本のセキュリティチーム公式ブログでこれを公表するとともに、対策方法について解説を行っている。


あのMicrosoftでも41件の感染をしています。
100%防げていませんが、セキュリティ対策について以下のコメントをしています。

「60万台を抱える組織で、常に100%を目指すのは、コストや現実的な運用を鑑みると実現不可能」とした上で、Microsoftの社内IT環境におけるセキュリティ対策のゴールは、「マルウェアが添付された標的型メールの開封率をゼロにしたり、マルウェア対策ソフトの稼働率を100%にしてウイルス感染率をゼロにすることではない」としている。

特定の企業を狙った標的型攻撃や、未知の攻撃・マルウェアなどにより、100%感染を防ぐことはほぼ不可能です。
記事の中でも記載されていますが、重要なのは攻撃者の目的を達成させないことです。

目的とは、社内のデータを盗んだり、暗号化をして金銭を要求することです。

そのために、多層で防御することが必要です。

多層防御

Malware対策には、記事に記載されている、ソフトウェアのインストール制限や、端末のポリシー管理、最新パッチの適用など様々な観点での防御の仕組みが有効です。

記事に記載されている多層防御については、Microsoft製品を使っての仕組みが紹介されていますが、 もう少し一般的な例では以下のものがあります。

一般的に、外部からの攻撃やMalwareから身を守る手段としては、Firewall(UTM)やIPS/IDSがあります。
これはシグネチャベースでの検知/防御(図①)が一般的です。
未知のMalwareについては、Sandboxに検体を送り、Malwareか否かを判断する技術もあります(図②)。

また、暗号化された通信に含まれるMalwareは検知できない場合が多いので(※)、端末までダウンロードされたMalwareについては、エンドポイント製品で検出/駆除する事が可能です(図③)。
※暗号化通信を復号化して検知する機能を有している製品もあります

上記図を表にまとめたものが以下になります。
それぞれの機器で、対処可能、対処不可能な攻撃/Malwareの種類についてまとめています。
1つの製品では100%防げないことがお分かりになると思います。

※スペースが小さく見難いと思うので、こちらに大きい表を用意しています

No, 機器と検知/防御手法 対処可能 対処不可
1 Firewall(UTM)/IPS/IDSのシグネチャベースでの外部攻撃/Malware侵入ブロック 既知の攻撃/Malwareは対処可能 シグネチャベースなので、未知の攻撃/Malwareは対処不可
2 Sandboxでの検体検査、Malwareと判定された場合はシグネチャ作成、配信 既知の攻撃/Malwareは対処可能※単体では不可  一般的にNo,1と併用される Sandboxでアップロードした検体を検査するため、対処可能 ただし、シグネチャが作成されるまでは検知不可 ※設定により検査結果が出るまでダウンロード不可にできる製品もある
3 エンドポイント製品(AntiVirus)でのシグネチャベースでのブロック 既知の攻撃/Malwareは対処可能 シグネチャベースなので、未知の攻撃/Malwareは対処不可 ※未知の攻撃/Malwareに対処可能な製品もあるが、一般的に普及しているものはシグネチャベースの製品
4 Firewall(UTM)/IPS/IDSの感染端末からのC&C(攻撃者司令サーバ)への通信のブロック ※Malwareに感染した端末は、攻撃者からの司令をリモートで受け行動を開始します また、外部サーバへ感染端末の情報(個人情報、機密ファイルなど)を送信します 既知の攻撃/Malwareは対処可能 ※IPレピュテーション、ドメインレピュテーション、URLフィルタリング シグネチャベース(ThreatDBを参照)なので、未知の攻撃/Malwareは対処不可製品によっては通信の振る舞い検知を行い、検知/ブロック可能なものもある

まとめ

各種セキュリティ製品には、カバーできる攻撃とできない攻撃があります。 それぞれの特徴を抑えて、適切な製品を選定、設置することが求められます。

Firewallを入れてるから大丈夫、AntiVirusソフトを入れてるから大丈夫…
ではなく、攻撃/感染する想定での多層での対策が重要です。
重要なのは攻撃者の目的を達成させないことです。