　2011年に情報処理推進機構（IPA）が刊行した「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」では、ネットワーク型マルウェア対策、侵入防御システム（IPS）、ファイアウォールでの入口対策に加え、プロキシサーバとファイアウォールを駆使した出口対策という組み合わせを推奨していた。当時はこのガイドの内容を受けて、複数の異なるセキュリティ機能を1つのハードウェアに収めた「統合脅威管理」（UTM）、UTMの性能を改良して新たにアプリケーションの可視化と制御を可能にした「次世代ファイアウォール」の導入が、セキュリティ対策の主流となった。

　一方、当時のエンドポイントセキュリティについては、ノートPCやUSBメモリ紛失による情報漏えいに加え、従業員のセキュリティモラルに起因する事件・事故を受けた対策が急務とされていた。ただし具体的な対策については、ネットワーク型マルウェア対策やIPSなどと同じく、シグネチャのパターンマッチング（シグネチャマッチング）による検知を中心とした、従来通りのエンドポイント型マルウェア対策が主流だった。

「ゼロデイ」「暗号化通信」でゲートウェイ／シグネチャベース対策が限界に

　ゲートウェイセキュリティとシグネチャマッチングによるこうした対策は、「ゼロデイ攻撃」をはじめとする未知の攻撃の普及とともに不十分だと言われ始めた。ゼロデイ攻撃とは、OSやWebブラウザ、ソフトウェアなどに含まれる脆弱（ぜいじゃく）性を悪用し、セキュリティパッチが提供される前にデバイスをマルウェア感染させる手法である。国内でも2013年前後、急激に被害件数が増加。ジャストシステムのワープロソフト「一太郎」の脆弱性を狙ったゼロデイ攻撃など、明確に国内企業をターゲットとした攻撃も増えてきた。

　ゼロデイ攻撃が厄介なのは、シグネチャマッチングによる検出が困難なことだ。これは従来のIPSやネットワーク型／エンドポイント型マルウェア対策などの検査をすり抜けてしまうことを意味する。実際、ここ数年は攻撃の6割以上が、シグネチャマッチングをすり抜ける未知の攻撃であるといわれている。主要なマルウェア対策ベンダーであるMcAfeeやSymantecでさえも、シグネチャマッチングに基づく検査には限界があると認めている。

　こうしたゼロデイ攻撃に対して、有効な対策だと考えられたのが「サンドボックス」だった。サンドボックスは、エンドユーザーが自分のクライアントPCでファイルを起動する前に、クラウドまたはセキュリティ装置の仮想環境でファイルを実行し、その振る舞いを確認することで、悪質なプログラムか否かを検知できるようにする仕組みである。

　サンドボックス専用製品でセキュリティ市場に名乗りを上げたFireEyeを筆頭に、多くのセキュリティベンダーがこぞって自社製品にサンドボックス機能を取り入れた。だが、これにも抜け道があることが知られてきた。マルウェアがサンドボックスの中で起動したことを検知すると悪意のある行動を抑制するといった「サンドボックス回避テクニック」が、攻撃者の間で知られてきたのである。

　ゼロデイ攻撃に加えて悩ましいのが、暗号化通信技術「SSL／TLS」で暗号化された通信の増加だ。本来はセキュリティを高めるための暗号化通信だが、その中にマルウェアを隠して送り込む手法が増えている。これにより、どんなに優れたIPSやマルウェア対策、サンドボックスを導入していても、SSL復号という負荷の掛かる処理をしない限り、検知処理の多くが迂回（うかい）されてしまう。

　未知の脅威と暗号化通信の背後に潜む脅威については、現在の最新の技術をもってしても、ゲートウェイセキュリティで完全に防御することは難しく、サーバやクライアント端末まで到達する可能性が高い。データの破壊や流出といった被害を食い止めたり、感染の拡散を防いだりするためには、エンドポイント側でも何らかの対処をすべきなのではないか――。そのことに着目したセキュリティベンダーを中心に、エンドポイント側での感染予防や感染後の対処を目的とする新しいエンドポイントセキュリティ技術が生まれつつあるのだ。