AntiVirusソフト入れてるから大丈夫・・ではない、「多層防御」の必要性
Microsoftのセキュリティ
INTERNET Watchの以下の記事に、Microsoft社内のマルウェア検知/感染/対策方法について紹介されています。
Microsoftでは、100カ国で約15万人の社員が約60万台のデバイスを利用しているが、2015年下半期には約200万件のウイルスが検出され、41件の感染が確認されたという。Microsoftは7日に日本のセキュリティチーム公式ブログでこれを公表するとともに、対策方法について解説を行っている。
あのMicrosoftでも41件の感染をしています。
100%防げていませんが、セキュリティ対策について以下のコメントをしています。
「60万台を抱える組織で、常に100%を目指すのは、コストや現実的な運用を鑑みると実現不可能」とした上で、Microsoftの社内IT環境におけるセキュリティ対策のゴールは、「マルウェアが添付された標的型メールの開封率をゼロにしたり、マルウェア対策ソフトの稼働率を100%にしてウイルス感染率をゼロにすることではない」としている。
特定の企業を狙った標的型攻撃や、未知の攻撃・マルウェアなどにより、100%感染を防ぐことはほぼ不可能です。
記事の中でも記載されていますが、重要なのは攻撃者の目的を達成させないことです。
目的とは、社内のデータを盗んだり、暗号化をして金銭を要求することです。
そのために、多層で防御することが必要です。
多層防御
Malware対策には、記事に記載されている、ソフトウェアのインストール制限や、端末のポリシー管理、最新パッチの適用など様々な観点での防御の仕組みが有効です。
記事に記載されている多層防御については、Microsoft製品を使っての仕組みが紹介されていますが、 もう少し一般的な例では以下のものがあります。
一般的に、外部からの攻撃やMalwareから身を守る手段としては、Firewall(UTM)やIPS/IDSがあります。
これはシグネチャベースでの検知/防御(図①)が一般的です。
未知のMalwareについては、Sandboxに検体を送り、Malwareか否かを判断する技術もあります(図②)。
また、暗号化された通信に含まれるMalwareは検知できない場合が多いので(※)、端末までダウンロードされたMalwareについては、エンドポイント製品で検出/駆除する事が可能です(図③)。
※暗号化通信を復号化して検知する機能を有している製品もあります
上記図を表にまとめたものがこちらです。(リンク先参照)
まとめ
各種セキュリティ製品には、カバーできる攻撃とできない攻撃があります。 それぞれの特徴を抑えて、適切な製品を選定、設置することが求められます。
Firewallを入れてるから大丈夫、AntiVirusソフトを入れてるから大丈夫…
ではなく、攻撃/感染する想定での多層での対策が重要です。
重要なのは攻撃者の目的を達成させないことです。
Originally published at blog.naitwo.me on September 10, 2016.
