エンドポイント・セキュリティの分野で今後出てくるソリューション
~次世代・統合型アプローチ~

エンドポイント2

世の中に数多く存在するセキュリティ対策製品ですが、何をどう利用したら標的型攻撃から身を守れるのでしょうか。セキュリティ対策製品の種類と特徴などについて解説します。

前回記事では、2016年に発生した、標的型攻撃に端を発した大規模なセキュリティインシデントを例に、エンドポイント・セキュリティの重要性についてご説明いたしました。

世の中には、セキュリティ対策のための製品が数多く存在します。
では、何をどう利用したら標的型攻撃から身を守れるのでしょうか。

その答えは、前回記事の結びで、これから求められるエンドポイント・セキュリティの勘所としてご紹介したキーワード「攻撃阻止と異常検出を実現し、さらに追跡可能であること」をヒントに説明していきたいと思います。

「攻撃阻止と異常検出」を実現する製品

攻撃者はまず外部ネットワークから内部ネットワークへの侵入を試みます。ですから、まず攻撃者による侵入を防がなければなりません(攻撃阻止)。そのためには、異常な挙動を検知する必要があります(異常検出)。

【攻撃阻止・異常検出を実現する製品の種類と特徴】

図1

ここで挙げた製品は、多くの組織では、既にゲートウェイ(外部ネットワークと内部ネットワークの境界)やエンドポイント(主にパソコン等のネットワークの末端)に、セキュリティ対策として導入・設置されているものかと思います。標的型攻撃の防御のためには、これらの製品の特徴を正しく理解・設定し、攻撃阻止・異常検出をする必要があります。

「追跡」を実現する製品

万が一、攻撃阻止・不正検出を目的とした製品が標的型攻撃を防御することができなかった場合、つまり、攻撃者に不正侵入を許してしまった場合、取るべき対策は「原因の特定」と「被害拡大の阻止」になるでしょう。

そのために必要なソリューションは、先述の「攻撃阻止・異常検出を実現する製品」が兼ね備えています。攻撃阻止・異常検出を実現する製品は、外部から内部に向けての攻撃を防ぐためのものと思われがちですが、設定次第では内部から外部に向けての不正な通信を検知・遮断することが可能なのです。

加えて、フォレンジック(「法医学」「科学捜査」と言った意味を持ち、コンピューターに残る記録を収集・分析してその法的な証拠性を明らかにする、手段・技術のことを指します)の観点から、「統合ログ管理」製品が有用です。統合ログ管理製品を導入していると、コンピューターで操作された記録が日々蓄積されていきます。そのため、不正侵入を許してしまったとしても、その侵入された事実自体や攻撃者による操作の記録も含め、すべてをログとして保存しておけるため、ログを解析することで事実を正確に把握することができるようになります。

進化を続けるエンドポイント・セキュリティ対策製品

先述の通り、攻撃阻止・異常検出については、従来から用いられてきたセキュリティ対策製品でカバーすることも理論的には可能です。標的型攻撃の攻撃者は、内部ネットワークに侵入するために不正なソフトウェアをエンドポイントに送り込もうとしますが、こうした攻撃の準備段階となる攻撃者の行動を、ゲートウェイに設置したセキュリティ対策のみで防いでいくには、高度な知識と経験が必要となり、IT非専業であるユーザーが自ら運用していくのは、とても難しいと思います。

そこで、現場の運用負荷を出来る限り削減しつつ、ゲートウェイでのセキュリティ対策に加えて、エンドポイントを保護していくためのエンドポイント・セキュリティ製品が登場し、普及と進化を続けています。

【マルウェア対策製品のカバー範囲】

マルウェア対策製品のカバー範囲

2017年2月24日に開催した、「 エンドポイントセキュリティセミナー 」 で紹介した、次世代型マルウェア対策製品の一つ「SentinelOne」を使った、ランサムウェアの被害 から復旧までのデモンストレーションをしました。

ぜひこちらもご覧ください。

 

 

編集:ビジネスon IT運営事務局(セキュリティ班)
Pocket

コメント