入口をしっかりとガードしながら、万が一のマルウェア侵入に備える──。これは、シスコシステムズ(以下、シスコ)が提供するセキュリティ・ソリューションの大きな特色だ。しかも、マルウェア防御の革新技術によって、マルウェアの侵入阻止と侵入後の対策がともに大幅に強化されるという。


侵入阻止と侵入後の施策に万全を期す
企業には、外部への流出や盗難を是が非でも阻止すべき資産がある。ゆえに、通常のオフィスでは、不審者の侵入を防ぐために入口のガードをしっかりと固める。ただし、プロの窃盗犯に重要資産が狙われた場合、予期せぬかたちで厳重なガードが破られ、重要資産が抜き取られるリスクがある。そうした万が一の事態に備えて、入口や重要資産の周辺に監視カメラを設置し、仮に、犯罪者の侵入を許したとしても、監視カメラの映像をたどって犯人や犯行内容・侵入経路などを特定できるようにしている向きもある。
こうした資産保護の考え方は、今日のサイバー攻撃対策についても同様に当てはまる。

シスコシステムズ合同会社
セキュリティ事業 部長
桜田 仁隆氏
そもそも、企業の情報資産を狙ってサイバー攻撃を仕掛けてくるのはプロの犯罪者である場合がほとんどだ。そのため、サイバー攻撃によるマルウェア侵入を防ぐ難度は極めて高いとされ、侵入阻止の施策をさまざまに講じていたはずの大企業がマルウェアの侵入を許し、重要情報を盗まれるケースも珍しくなくなっている。しかも、サイバー攻撃用のマルウェアはいったん侵入を許すと発見に手間取ることが少なくなく、外部から指摘によって初めて攻撃を受けている事実に気づくことも多い。
「そこで重要になるのが、マルウェアの侵入を許したあとの対策強化です」と、シスコの桜田 仁隆 セキュリティ事業部長は語り、こう続ける。
「サイバー攻撃への備えに万全を期すうえでは、マルウェアの侵入口のガードを固めるのは当然の施策で、それを怠ることはできません。ただし、ガードをいかに固めようとも、攻撃によるマルウェア侵入を100%阻止できるとは言い切れないのが現実です。ですから、万が一のマルウェア侵入に備えることも大切で、それがマイナンバーなどの重要情報の漏えいリスクを引き下げる一手となりうるのです」
侵入阻止の革新技術
では、マルウェアの侵入阻止と侵入後の対策を強化するには、具体的にどのような施策を講じればいいのだろうか。
現在、大多数のサイバー攻撃(外部からサイバー攻撃)が、以下の2つの手口を通じて攻撃用のマルウェアを標的企業・組織に送り込もうとしている。
①標的企業の従業者を不正なWebサイトに誘導し、マルウェアをダウンロードさせる
②メールを介してマルウェアの実行ファイルや、不正サイトのURLを標的企業の従業者に送り付ける
したがって、上記2つの手口を通じたマルウェアの侵入を阻止することが必須と言える。
そうした観点から、シスコは現在、メール経由でのマルウェア侵入を阻止するための「Email Security Appliance(ESA)」や、Web経由でのマルウェア侵入を阻止するための「Web Security Appliance(WSA)」/「Cloud Web Security(CWS)」といった製品を提供している。これらの製品は、マルウェア感染の元になる不適切なメールやWebサイトに対する受信/アクセスを遮断する機能を持つほか、高度なマルウェア防御の仕組み「Cisco AMP (Advanced Malware Protection)」の機能も備えている。
Cisco AMPは、巨大な脅威情報ネットワークであるシスコのクラウド(セキュリティインテリジェンスネットワーク)を活用したソフトウェアだ。ESA/WSA/CWSなどで用いられるCisco AMPは、このクラウドとの連携によって組織内ネットワークに入ろうとする不審なファイルに検疫をかけ、マルウェアを高精度に検知する。さらに革新的なのは、検疫の結果として「白(=非マルウェア)」と判定したファイルについても、検疫情報を(クラウド上に)記録し、のちの参照を可能にしていることだ。
ここで記録される検疫情報には、検疫したファイルが、「どこから送られてきたか、どんな名称で、いつ検疫を通過したか」といった情報が含まれる。
これにより、例えば、検疫を通過させた「ファイルA」が、数日後にマルウェアと断定された場合も、検疫記録を追跡調査することでファイルAの「送信元」を即座に突き止め、その送信元との通信を遮断することができる。結果として、同じ経路を通じたマルウェア侵入を阻止することが可能になるのだ。
ちなみに、Cisco AMPが検疫で通過させたファイルについて、マルウェアか否かのチェックを継続的にかける処理はクラウド側で行われ、チェックによってマルウェアと断定された際には、Cisco AMPに「クラウドリコール」が自動的にかけられる。つまり、「通過させたファイルはマルウェアである」との知らせが、クラウドからCisco AMPへと自動的に届けられるというわけだ。