世の中に数多く存在するセキュリティ対策製品ですが、何をどう利用したら標的型攻撃から身を守れるのでしょうか。

　その答えの 1 つとして、本記事では「攻撃阻止と異常検出、追跡」について解説します。

▼ 目次
・「攻撃阻止と異常検出」を実現する製品
・「追跡」を実現する製品
・進化を続けるエンドポイント・セキュリティ対策製品
・最新エンドポイント・セキュリティ対策製品

1. 「攻撃阻止と異常検出」を実現する製品

　攻撃者は、まず外部ネットワークから内部ネットワークへの侵入を試みます。

　ですから、まず攻撃者による侵入を防がなければなりません（攻撃阻止）。そのためには、異常な挙動を検知する必要があります（異常検出）。

表 1. 攻撃阻止・異常検出を実現する製品の種類と特徴

　ここで挙げた製品は、多くの組織では、既にゲートウェイ（外部ネットワークと内部ネットワークの境界）やエンドポイント（主にパソコン等のネットワークの末端）に、セキュリティ対策として導入・設置されているものかと思います。

　標的型攻撃の防御のためには、これらの製品の特徴を正しく理解・設定し、攻撃阻止・異常検出をする必要があります。

2. 「追跡」を実現する製品

　万が一、攻撃阻止・不正検出を目的とした製品が標的型攻撃を防御することができなかった場合、つまり、攻撃者に不正侵入を許してしまった場合、取るべき対策は「原因の特定」と「被害拡大の阻止」になるでしょう。

　そのために必要なソリューションは、先述の「攻撃阻止・異常検出を実現する製品」が兼ね備えています。

　攻撃阻止・異常検出を実現する製品は、外部から内部に向けての攻撃を防ぐためのものと思われがちですが、設定次第では内部から外部に向けての不正な通信を検知・遮断することが可能なのです。

　加えて、フォレンジック（「法医学」「科学捜査」と言った意味を持ち、コンピューターに残る記録を収集・分析してその法的な証拠性を明らかにする、手段・技術のことを指します）の観点から、「統合ログ管理」製品が有用です。

　統合ログ管理製品を導入していると、コンピューターで操作された記録が日々蓄積されていきます。

　そのため、不正侵入を許してしまったとしても、その侵入された事実自体や攻撃者による操作の記録も含め、すべてをログとして保存しておけるため、ログを解析することで事実を正確に把握することができるようになります。

3. 進化を続けるエンドポイント・セキュリティ対策製品

　先述の通り、攻撃阻止・異常検出については、従来から用いられてきたセキュリティ対策製品でカバーすることも理論的には可能です。

　標的型攻撃の攻撃者は、内部ネットワークに侵入するために不正なソフトウェアをエンドポイントに送り込もうとしますが、こうした攻撃の準備段階となる攻撃者の行動を、ゲートウェイに設置したセキュリティ対策のみで防いでいくには、高度な知識と経験が必要となり、IT非専業であるユーザーが自ら運用していくのは、とても難しいと思います。

　そこで、現場の運用負荷を出来る限り削減しつつ、ゲートウェイでのセキュリティ対策に加えて、エンドポイントを保護していくためのエンドポイント・セキュリティ製品が登場し、普及と進化を続けています。

表 2. マルウェア対策製品のカバー範囲

4. 最新エンドポイント・セキュリティ対策製品

　本記事にて解説した「攻撃阻止と異常検出、追跡」を可能とする製品が、エンドポイント・セキュリティ対策製品の一つ「Cybereason EDR」だ。

　Cybereason EDR の概要については、以下よりご覧いただけます。

　エンドポイントのセキュリティについてお悩みの方は、是非ご相談ください。