情報セキュリティのプロが解説「サイバー攻撃最新動向」(第3回)

マルウェアに対抗、エンドポイントセキュリティとは

posted by NTT東日本 サイバーセキュリティチーム 渡邉 貴文、佐藤 慎也、海野 大地

テレワークの増加に伴うサイバー攻撃のリスク増大

 サイバー攻撃に対する防御の仕組みについて、その手法や長所・短所をお伝えしてきたいと思います。第3回のテーマは、マルウェアの脅威に対抗するための『エンドポイントセキュリティ』です。

 機密情報を窃取する、あるいは損害を与える悪意のあるプログラム(マルウェア)が日々あなたの端末に侵入しようと試みています。

 コロナ禍により、セキュリティ対策が不十分でマルウェア感染の可能性がある端末からVPNを通して会社の情報を保持したサーバにアクセスするなどのやり取りが増えたことで、ますますマルウェア感染のリスクが増えました。実際にテレワークで利用している自宅の端末にマルウェアが感染し、VPNなどを経由して社内ネットワークに感染が拡大したことにより個人情報のほか、サーバの設定情報が流出した事例が新聞でも報道されています。

 これらのマルウェアに対し、検知、削除などの対策を行うものを総称してエンドポイントセキュリティと呼んでいます。

 この記事では、エンドポイントセキュリティのEPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)という手法を取り上げていきます。

マルウェアの怪しいふるまいを検知・自動駆除するEPP(Endpoint Protection Platform)

 エンドポイントセキュリティ手法のひとつであるEPP(Endpoint Protection Platform)は、マルウェアの侵入を検知・自動駆除する機能を持っています。EPPは更にシグネチャ型とノン・シグネチャ型の2種類に分かれています。

 シグネチャ型は、従来のウイルス対策ソフトが一例に挙げられます。マルウェアに含まれる特徴的なコードをあらかじめリスト化しておき、PC内に侵入した同様のコード(=マルウェア)検知を行います。特徴として、既知のマルウェアに対し検知率が高い反面、未知のマルウェアに対しての検知が困難です。

 シグネチャ型の弱点である未知のマルウェアに対する欠点を克服するためにノン・シグネチャ型という手法が登場しています。ノン・シグネチャ型では、ヒューリスティック検知やふるまい検知を行うことで未知のマルウェアを発見することができます。ヒューリスティック検知とは、検査対象プログラムのコードを分析し、特徴的な処理パターンの有無から判断する方法です。正常なプログラムが行わないような処理を判定し、検知します。

 一方、ふるまい検知は任意のプログラムを実際に実行させて、その挙動を見てマルウェアかどうか判定することが特徴です。

 ふるまい検知の場合、実環境で不明なプログラムを実行させるとマルウェア感染の可能性があるため、一例として、隔離された仮想環境上でそのプログラムを実行して“ふるまい”を見つつ、実環境への影響が無いように危険性を調査する手法があります。

 このようにエンドポイントセキュリティの手法であるEPPはシグネチャ型とノン・シグネチャ型に分類され、既知のマルウェアだけでなく新たなマルウェアを防ぐ役割を果たします。

被害拡大を抑えるEDR(Endpoint Detection and Response)

 しかし、サイバー攻撃は巧妙化・多様化してきており、完全に対策することは困難です。 例えばファイルレスマルウェアという、端末のOSに元々備わっている機能を悪用して行われる攻撃などへの対策は充分とは言えません。

 そこで考えられたのが、感染を防ぐEPPに対して、感染後の被害拡大を抑えるEDRという手法です。EDRではマルウェアによる被害を検知する為、ログやプロセスの情報を収集し分析をします。この中で不審な挙動の痕跡を確認した場合、システム管理者へ通知を行い、その通知を受けてシステム管理者が調査・対処を行う流れになります。そのためEDRは、システム管理者が行う検知・調査・対処(切り離し・復旧)などの作業をサポートする機能を持っていると言えます。

 迅速な検知・調査・対処をするために重要な点は、影響が出た際に事象を瞬時に把握できる点と、影響の深刻化を抑える為に迅速に端末を切り離す事ができるという点です。そのため多くのEDRではログやプロセスの可視化、自動切り離しの機能を持っています。また、EDRはセキュリティ運用が重要であるため、セキュリティ運用を提供するMSS(Managed Security Service)を利用するユーザも存在します。

多様化するマルウェアに対抗するには

 マルウェアによる攻撃は多様化してきており、全てを検知することはできません。また、マルウェアによる影響も利用者が気づけないように工夫されており、気づいた時には大きな被害を受けていた、という事態に陥ってしまいます。EPPをすり抜けてくる事を想定した、EDRを用いた対策が重要となります。最近ではEPPとEDRの両方を備えた製品も出てきていることから、迅速な検知・調査・対処に必要な機能を見極め、選定していきましょう。

NTT東日本 サイバーセキュリティチーム 渡邉 貴文、佐藤 慎也、海野 大地

NTT東日本 サイバーセキュリティチーム 渡邉 貴文、佐藤 慎也、海野 大地

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る