セキュリティ対策は「ウイルス検知」だけで済むと思ったら大間違いだ脱「“事前対策”ばかりのセキュリティ」

多くの組織がさまざまなセキュリティ対策を実施していながらも、標的型攻撃をはじめとする攻撃の被害は後を絶たない。脅威の発見だけで終わらせず、被害の復旧に注力するようなセキュリティ対策が求められる。

2015年12月10日 10時00分 公開
[ITmedia]

 日本年金機構が標的型攻撃を受け、約125万件の個人情報が流出した事件が報じられてからというもの、セキュリティの緊急点検に追われた企業は少なくないのではないだろうか。事実、この事件後、複数の企業や組織が「ネットワーク内部から不審な通信が発生していた」ことを明らかにし、対処を進めている。

 しかし日本年金機構にせよ、その他の企業や組織にせよ、これまで全くセキュリティ対策を講じていなかったわけではない。ウイルス対策ソフトの導入やファイアウォール、不正侵入防止システム(IPS)といったさまざまなテクノロジーを導入し、相応の対策に取り組んでいたはずだ。にもかかわらず、多くの企業や組織では標的型攻撃を防ぐことはできず、内部への侵入を許してしまっている。一体、これまでの対策の何が間違っていたのだろうか。

 そもそもサイバーセキュリティの世界において、攻撃と防御はいたちごっこだ。例えばシグネチャベースのウイルス対策ソフトの導入が進んだ結果、攻撃者は準備段階であらかじめ、既存のウイルス対策ソフトをすり抜けられるかどうか試した上でマルウェアを送り込んでくるようになった。そこで防御側でもこうした手口に対抗し、疑わしいファイルを仮想環境で実行させ、その挙動を基に未知のマルウェアを検出する「サンドボックス」技術が注目を集めるようになった。しかし、現在既に攻撃者は、仮想環境では自身の動作を隠蔽(いんぺい)するロジックを組み込んで、サンドボックスをすり抜けるマルウェアを作成するようになっている。

 また、近年の標的型攻撃は非常に早いスピードで発生している。脆弱性が公表されてからパッチが適用されるまでに要する日数は長い。その間にも攻撃者が手を休めることはない。

 シグネチャベースのセキュリティやパッチ運用だけで、実質的にはセキュリティが守れないことに、皆が気付き始めている。

 こうしたパラダイムシフトに備え、新しいアプローチが求められている。それは一体どんなものだろうか。


提供:株式会社シマンテック
アイティメディア営業企画/制作:TechTargetジャパン編集部