本記事では、企業のセキュリティシステムご担当者様や経営者様に向けて、「ゼロトラスト」の概念から生まれた次世代のセキュリティシステムの概要や導入のメリットをご紹介します。近年、企業に対するサイバー攻撃は増加しており、またその手法も高度化しています。従来のアンチウイルス型のセキュリティシステムでは守り切れないケースもあるので、この機会にぜひ自社のセキュリティ対策を見直してみてください。
マルウェアは、ユーザーに不利益をもたらす悪意のあるソフトウェアで、1日に数万~数十万件単位で確認され、今も世界中で新しいものが生み出されて増え続けています。その被害の多くは一般企業であり、会社規模を問わず、大手も中小企業も狙われ、その被害は年々拡大しているのです。マルウェアとは何か、どんな種類があるのでしょうか?
マルウェアとは、デバイスやプログラム、ネットワークから情報を抜き取ったり書き換えたりと悪用を目的としてユーザーに害を与えるソフトウェアの総称です。語源は英語のmalicious(悪意のある)にsoftware(ソフトウェア)の2つの単語を組み合わせた造語です。
マルウェアの種類は大きく分けて3つあります。
「ウイルス」とは、スマートフォンやPCに寄生して繁殖するマルウェアです。ウイルス単体では存在することができず、プログラムの一部を書き換えて入り込み、分身を作って自己増殖していきます。このような増殖する形態が病気の感染に似ているために、ウイルスと名付けられています。
「ワーム」とは独立したプログラムで、自身を複製してほかのシステムに感染・拡散するマルウェアです。ウイルスのようにほかのプログラムを必要とせず、単独で存在することが可能なためウイルスではなくワームと呼ばれます。例えば、ダウンロードしたフォルダに「ワーム」が紛れ、感染してしまうと、その感染したPCでファイル共有やメール送信を行うことで相手のPCも感染させてしまいます。ワームはネットワークに接続しただけで感染するものも数多く存在します。
トロイの木馬は、無害に見せかけた、繁殖しない独立型のマルウェアです。一見しただけでは問題のない画像や文書などのファイル、スマートフォンのアプリなどに偽装してデバイス内部へ侵入し、外部からの指令によって、そのデバイスを操ります。起動されると、個人情報の盗難、デバイスのクラッシュ、行動監視、さらには、サイバー攻撃を実行させられるといった可能性があります。
総務省のHPの記載によると、マルウェアの種類は増加傾向にあり、近年発生した情報漏えいや侵害事例の原因としてマルウェア感染の占める割合が高い傾向にあり、サイバー攻撃による脅威はますます深刻化しています。
(出典:総務省|平成25年版 情報通信白書|情報セキュリティに関する脅威の動向 (soumu.go.jp))
従来型のアンチウイルス製品は、メールやファイルなどを経由して侵入してきた怪しいソフトウェアを捕まえ、過去に問題になったマルウェアの特徴と照らし合わせて、悪影響があるとされるものを検出・駆除します。しかし、一見問題のないWindows標準システムのツールを使用していたり、本体となる実行ファイルを持っていなかったりすると、従来型のアンチウイルス製品ではなかなか検知できません。このような攻撃手法を「マルウェアフリー」と言います。
2020年に世界中で猛威を振るった「Emotet」というマルウェアは、なりすましメールを介して急激に拡大し、国内・海外問わず多くの企業が被害にあいました。このとき使われた手法が「マルウェアフリー」です。マルウェアフリーは、アンチウイルス製品が安全だと認識している機能やツール、ブロックされない形式のファイルが使われており、従来のアンチウイルス製品では検知できない仕組みになっていました。実際にEmotetの検体を既存のアンチウイルスソフトで検知できるか実験したところ、そのほとんどが検知できないという結果でした。
マルウェアフリーには、大きく分けて2つのタイプの攻撃手法があります。
主に標的型攻撃でのネットワーク侵入時に用いられる手法です。一般的に安全な正規ツール・ソフトを使うため、アンチウイルスソフトに阻止されることなく内部に入り攻撃を展開します。また攻撃活動の痕跡を残さないことが特徴で、これによって対策側の監視や調査を回避することができます。
ファイルレス攻撃とは、ファイルがない攻撃の総称です。この攻撃は、まずメールなどで拡張子が.lnkや、.rtfなどの形式のデータが送られます。それをクリックするとスクリプトが実行され、攻撃者が用意した遠隔操作サーバーに自動で接続されて、メモリ常駐型のマルウェアをダウンロード。遠隔操作によって、データの改ざんや情報を盗まれるといった被害にあいます。この攻撃の恐ろしい点は、以下の2点です。
・OSに標準搭載されている正規プログラムを用いられるため、ウイルス対策ソフトがマルウェアとして検知することなく素通りさせてしまう点。
攻撃を受けたことに気づかず長期間デバイスが乗っ取られたままというケースもあります。
・攻撃の痕跡が残らない点。
従来型の攻撃は、Windowsの場合、拡張子が.exe形式のマルウェアをハードディスクに保存させ実行させるものでしたが、ファイルレス攻撃では、実行形式(拡張子.exe)のファイルがハードディスク上に残らず、攻撃プログラムはメモリ上に保存された上で実行されます。メモリ上のデータはPCの電源を切ると消えてしまい、痕跡が残りません。
従来のセキュリティ対策は、信頼できる「内側」と信頼できない「外側」に分けて、その境界線で外からの攻撃を守るという考え方でした。このセキュリティでは、保護すべきデータやシステムがネットワークの内側にあることを前提としていましたが、現在はクラウドが普及したことで外側であるインターネット上に保護すべきものがある状態です。そのため、明確な境界がなく、守るべき対象がさまざまな場所に点在するようになりました。こういった状況では、境界線で守るだけでは十分とは言えません。そこで注目されているのが「ゼロトラスト」という考え方です。
ゼロトラストとは、あらゆるトラフィック(通信回線やネットワーク上で送受信される信号やデータによる通信)は「信頼できない」という考え方です。この概念に基づく次世代のセキュリティモデルを「ゼロトラストセキュリティモデル」と呼びます。社内からのアクセスなど、従来は信用できると評価されてきたトラフィックであっても、すべてのトラフィックの信用評価を都度行い、スコアで評価し対策する次世代のセキュリティモデルです。
ゼロトラストには「最小権限の原則」という考え方があり、必要に応じた最小限の権限しか与えないことで、不要な機密情報の閲覧を防ぐことができます。仮に外部から不正に侵入されたとしても、閲覧できる情報は限られているため、データ流出のリスクは最小限に抑えることができるのです。
どんなに優れたセキュリティ対策でも、インシデント(システムやサービス上の問題・出来事)の発生をゼロに抑えることはできません。ゼロトラストのメリットは、発生したインシデントを早期に発見・対処できる点にあります。
ゼロトラストセキュリティでは、ユーザーが情報にアクセスするたびに、都度認証を行います。そのため、リアルタイムでアクセス履歴が残り、何か起こった際には履歴を確認することで問題点を早期に特定することが可能なのです。
従来型の境界型セキュリティモデルでは、アクセスするシステムによって異なるパスワードが必要で、セキュリティ強化のために長く複雑なパスワード設定が推奨されていました。複数の複雑なパスワードの管理は、入力間違いによるアカウントロックや再発行の手続きに時間がかかるなど、時間ロスやストレスなり、利用者の負担になっていました。
ゼロトラストモデルでは、ひとつのパスワードだけでさまざまなシステムに安全にアクセスできるシングルサインオン機能をクラウドベースで提供することで、利用者に負担をかけることなくセキュリティも強固にすることができます。
従来の検知型では対応できないマルウェアにも対応しようと開発されたのがAppGuardというセキュリティシステムです。ゼロトラスト(一切信用しない)の概念に基づき、動作を全て「拒否」し、例外で「許可」します。「許可」したものであっても、権限を最小限にし、起動制御を行い安全な動作のみ起動を許可する仕組みです。
従来品である「検知」タイプのセキュリティ製品は、過去のマルウェアと照合比較する必要があるため、過去にない新しい挙動や未知の攻撃パターンが現れた際に対応できない、また常に最新のマルウェア情報をアップデートする必要がある、という課題があります。
一方AppGuardは、マルウェアの検知ではなく、過去の脅威情報に頼らず攻撃のライフサイクルを断ち切るという独自の仕組みで、未知・既知問わず脅威に対して「発症」も「改ざん」も確実に防止します。
そして起動される全てのプロセスは既に何らかの形で侵害されていると仮定するゼロトラストの概念から、それらを通じた不正アクセスの成立を永続的に防止します。
①定義ファイルやAIエンジンの定期的なダウンロードが不要
②そもそも感染しないので、身代金の心配なし
③インシデントへの発生対応低減
③TCO(Total Cost of Ownership=コンピューターシステム全体の総所有コスト)の削減
日々高度化し、企業の被害も年々増え続けるマルウェアによる攻撃は、もはや他人事ではありません。一度被害にあえば、ランサム(身代金)支払いやシステムの復旧・改善などの対応費用の発生、対応に労力がかかるため、本来の業務の生産性の低下、さらには社会的信頼を失うなど、その被害は甚大です。従来のアンチウイルス型のセキュリティ製品では対応できない攻撃に備えて「ゼロトラスト」の概念から生まれた次世代のセキュリティシステムの導入の検討は必要不可欠といえるでしょう。
ご紹介するAppGuardは、米国政府機関でも利用され、商品化以来破られていません。
また、この機会に、セキュリティの無料診断で自社のセキュリティの状況を再度確認してみませんか?
こちらから無料診断をお申込み頂けます。