日々進化する攻撃に対する対応
現在のサイバー攻撃は、既知の脅威と未知の脅威を組み合わせて行われます。未知の脅威には、マルウェアの配布サイトが頻繁に変更されたり、アンチウイルス製品で検出困難なゼロデイマルウェアが用いられたり、感染後のC&C通信のアクセス先サーバや通信パターンが変化したりと、従来のように未知の脅威への対応速度が十分でないセキュリティ製品では不十分です。
また、日本年金機構の報告書によると、不正なサイトのURLフィルタ追加や未知のマルウェアに対応するための検体確保とベンダー提供、シグネチャの適応を手動で対応しています。これらの対応は未知の脅威に対して必要な行為ですが、今回の事件では不正サイトやマルウェア対応に数日を要しており、手動ならでは課題も見えています。
加えて、攻撃者が行うサイバー攻撃の手法には、攻撃量を増やすことによってセキュリティ担当者のオーバーフローを狙ったものがあります。そのため、現在のサイバー攻撃への対策には、セキュリティ担当者に即時対応を求めるだけでなく、未知の攻撃の対応をシステム側で自動化することが非常に重要です。
セキュリティの自動化の例として挙げられるのが、サンドボックスセキュリティと各セキュリティ機能を連携して多重的に防御する仕組みです。サンドボックスセキュリティは未知のマルウェアの検出が可能で、加えて、仮想環境でマルウェアを実行するため、マルウェアに感染した端末が発信する不正な通信も把握することができます。
サンドボックスセキュリティが見つけた未知のマルウェアの情報を各セキュリティ機能に共有することで、マルウェア本体の侵入を防ぐだけでなく、感染端末が発するDNSやURL通信、C&C通信などの不正な通信を防ぐことが可能なります。