最後の砦となるエンドポイントセキュリティ
前半で保護するべきデータに注目してセキュリティを考える必要があると述べましたが、一般的にデータが保存されている内部サーバへの直接攻撃は難しいため、日本年金機構と同様に、攻撃しやすくデータの取り扱いが可能なエンドポイント端末が狙われることがほとんどです。
そのため、組織や企業の多くは、まずはエンドポイントをいかに保護するかに注力します。エンドポイントのセキュリティというと、一般的にはOSやソフトウェアのアップデート、ソフトウェア型のアンチウイルス製品の導入、仮想デスクトップ(VDI)を用いたデータ紛失の回避などの方法がとられますが、未知の脆弱性攻撃や未知のマルウェアを用いたサイバー攻撃の被害を防ぐことは難しく、エンドポイントでもより未知の脅威への対策が求められています。
脆弱性攻撃では、ファイルやウェブなどを閲覧する中で、ユーザーが気付かないうちに攻撃を受けて、端末上のセキュリティ機能を停止され、マルウェアを自由にインストールできるようにされてしまうケースがあります。既知の脆弱性に対してはネットワーク上のIPSや端末上のセキュリティ機能により止めることもできましたが、未知の脆弱性を防ぐことは難く、シグネチャなどに頼らない新しい検知ロジックを持ったエンドポイントセキュリティが必要になります。
加えて、各セキュリティ機能を回避して侵入する未知のマルウェアに対しても端末上で実行を防ぐ必要があります。そのため、端末セキュリティにおいても先ほど例に挙げたようなサンドボックスセキュリティの連携などで、未知のファイルの分析を行うことが不可欠になります。
エンドポイントセキュリティは感染前の最後の砦となるため、未知のファイルを分析できるだけでなく、分析中は未知のファイルを実行させない機能があると、さらに感染端末を生み出すリスクを大幅に減らすことができ、セキュリティの強化につながります。
- 羽生 信弘
- パロアルトネットワークス合同会社 システムズ エンジニア。海外製品を取り扱う販売代理店のエンジニアとして経験後、情報セキュリティの専門企業のSOCにてサイバー攻撃の分析及び、セキュリティ対策の提案に従事する。2014年よりパロアルトネットワークスに参画。