敵は内部にもあり! エンドポイントセキュリティの果たす役割:特集:セキュリティソリューションマップ(2)(2/2 ページ)
ウイルス対策ソフト/エンドポイントセキュリティ
あらゆるセキュリティ対策の中で、最も広く浸透しているのが「ウイルス対策ソフトの導入」だろう。先日グーグルが「エキスパートたちのセキュリティ対策」と題するブログ投稿で明らかにした調査結果でも、一般インターネットユーザーが行っていると答えたセキュリティ対策の一位は「アンチウイルスソフトを使う」だった。
ITにはあまり詳しくないユーザーの多くが想像するアンチウイルスソフトは、「定義ファイルを元にウイルスを見つけ、駆除してくれるもの」というイメージだろう。しかしご存じの通り、最近のサイバー攻撃では、シグネチャベースの対策ソフトだけでは検知できないマルウェアが使われることは珍しくない。攻撃者側もあらかじめセキュリティ製品を用意し、作成したマルウェアが検知の網をすり抜けられることを確認した上で送り込んでくるからだ。
こうした変化を踏まえ、PC向けのウイルス対策ソフトにはさまざまな機能が追加され、包括的な「エンドポイントセキュリティ」製品へと進化しつつある。境界セキュリティを担うファイアウォールが、不正侵入検知システム(IDS)やVPN、Webフィルタリングといったさまざまな機能を統合し、提供するようになったのと同じように、エンドポイントセキュリティもまた進化しているのだ。
具体例を挙げると、まだシグネチャが作成されていない未知の脅威を検出する「振るまい検知」や「ホスト型IDS」「サンドボックス」の統合、明らかに「黒」と判断できるスパムメールを排除する「メールフィルタリング」、不審なWebサイトへのアクセスを制御する「URLフィルタリング」などの搭載が挙げられる。また、端末単位で通信を制御する「パーソナルファイアウォール」機能の搭載もその一例だろう。さらには後述する「脆弱性対策」や「バックアップ」までサポートする製品も登場している。
参考記事
エンタープライズ向けアンチウイルス・ソフトウェア10製品(2009年4月の記事)
http://www.atmarkit.co.jp/fwin2k/competition/002avend/002avend01.html
またインフラの変化を反映し、サーバ向けの製品では、仮想環境への導入を想定した保護ソフトも登場している。
最近ではシグネチャに頼らず、マルウェアがOSの脆弱性を悪用しようとする攻撃コードそのものを検出する、新しいタイプのエンドポイントセキュリティ製品も登場してきた。また適用領域は限られるが、制御システムや、絶対に外部に流出させてはならない機密情報・個人情報を扱う端末向けに、あらかじめ許可したアプリケーション以外の動作を許さない「ホワイトリスト型」のエンドポイントセキュリティ製品も用意されている。
脆弱性管理/システム管理/資産管理
先のグーグルの調査では、セキュリティエキスパートらが挙げる第一の対策が「ソフトウェアアップデートをインストールする」、つまり脆弱性を修正することだった。脆弱性を修正することによって、安易にマルウェアに感染してしまう可能性を減らすことができる。それゆえにベンダーもセキュリティ関連組織も、常々、最新のソフトウェアへのアップデートを呼び掛けている。
だが「常に最新の状態に保ってください」と言うのは簡単だが、実際にはなかなか面倒な作業だ。Microsoft Update/Windows Updateで更新が可能なWindows OSやInternet Explorerだけならばともかく、Webブラウザやそこで動作するJava、Flashといったプラグイン、その他のアプリケーションまで含めると、アップデートのタイミングもまちまちになる。管理が非常に複雑な上、ユーザー任せでは更新を徹底できない可能性が高い。しかも、企業システムで利用する場合は、アプリケーション動作の互換性も確認しなくてはならない。
そこでこうした部分を支援するツールとして、各端末にインストールされているソフトウェアのバージョンを把握し、パッチ適用状況を管理し、必要に応じてパッケージを配布する脆弱性管理ソフトウェアが提供されている。マイクロソフトが無償で提供するシステム管理ツール「Windows Server Update Services」が手軽だろうが、後述する資産管理システムの一機能として脆弱性管理を統合しているものも存在する。
参考記事
Windows Server 2012クラウドジェネレーション:第12回 更新プログラム配布プラットフォームWSUS 4.0
http://www.atmarkit.co.jp/ait/articles/1306/13/news107.html
広義の資産管理ツールには、「JP1」や「SystemWalker」「HP OpenView」といったエンタープライズ向けの運用管理ツールも含まれるが、セキュリティの観点からは、クライアントPCのインベントリ情報——CPUやメモリ、ディスク容量といったハードウェアリソースに関する情報の他、IPアドレスやインストールされているプログラムの情報、利用状況などを収集・管理するツールと表現できる。その一環として、必要なセキュリティパッチを配布し、脆弱性を管理する機能が含まれている。
個人情報保護法対策がブームとなった時期には、インベントリ管理や脆弱性管理に加え、クライアントPC上でどのような操作が行われたかを逐一記録する、クライアントログ取得機能を備えたツールが相次いで登場した。クライアントの操作を「監視カメラ」のように記録し、情報の外部持ち出しやUSBメモリへのコピーといった操作が行われていないか、監視と抑止の機能を提供する。
なお、こうした資産管理ツール/クライアントログ取得ツールは、オンプレミス環境にクライアント・サーバ型で導入するケースが多かったが、近年、情報をクラウド側に集約するバージョンが増えている。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| インターコム | MaLion | http://www.intercom.co.jp/malion/ |
| エムオーテックス | LanScope Cat | http://www.lanscope.jp/cat/ |
| クオリティソフト | QND | http://www.quality.co.jp/products/QND/ |
| Sky | SKYSEA Client View | http://www.skyseaclientview.net |
| ハンモック | AssetView | http://www.hammock.jp/assetview/ |
| 脆弱性対策/資産管理ツール | ||
さらに脆弱性対策に関連し、企業が推奨するパッチを適用せず、脆弱性が残ったままの端末をネットワークから強制的に切り離す「検疫ネットワーク」というソリューションも存在する。これは、脆弱性を突いて爆発的に拡散するワームの流行を踏まえ、その予防策として注目されたものだ。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| シスコシステムズ | Cisco NAC アプライアンス | http://www.cisco.com/web/JP/product/hs/security/cca/index.html |
| ソリトンシステムズ | NetAttest SecurityFilter | http://www.soliton.co.jp/products/category/product/network/netattest_securityfilter/ |
| 検疫ネットワーク製品 | ||
DLP(Data Loss Prevention)
「情報漏えい防止」という直訳が示す通り、機密情報が外部に送信されたり、USBメモリへのコピーや印刷といった禁止された処理が行われようとすると、警告すると同時に、ポリシーに従って操作を制限するソリューションだ。あらかじめ、機密扱いとするファイルやデータに「フィンガープリント」と呼ばれる識別子を付け、ポリシーと照らし合わせることによってさまざまな制御を行う。実装方法は、サーバやPCに専用エージェントをインストールする「ホスト型」と、専用アプライアンスでネットワークトラフィックを監視する「ネットワーク型」に大別できる。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| シマンテック | Symantec Data Loss Prevention | http://www.symantec.com/ja/jp/data-loss-prevention/ |
| 日立ソリューションズ | 秘文 | http://www.hitachi-solutions.co.jp/products/search_k/dlp.html |
| マカフィー | McAfee Complete Data Protection | http://www.mcafee.com/jp/products/data-protection/index.aspx |
| DLP製品 | ||
暗号化
ここまで紹介してきたエンドポイント向けセキュリティソリューションは、脅威への感染を「防止」するという観点からの対策だった。しかし、繰り返しになるが、どれだけ防止策を講じても、マルウェアに感染したり、操作ミスや紛失・盗難が起こる可能性をゼロにすることはできない。そうした万一の事態に備えた対策が「暗号化」で、仮に外部に流出しても鍵がなければ意味のないデータとすることで、悪用を防ぐ。主に紛失・盗難に備えたディスク全体の暗号化と、ファイル単位の暗号化があり、運用形態やニーズに応じて選択できる。
ただし、暗号化の場合にはその「鍵」の管理が重要になる。鍵にアクセスするための「パスフレーズ」や「認証」が甘ければ、せっかく暗号化しても意味がない。このため、後述する認証の仕組みも合わせて検討することが重要だ。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| アルプスシステムインテグレーション | InteSafe IRM | http://www.alsi.co.jp/security/isirm/ |
| NEC | InfoCage | http://jpn.nec.com/infocage/file_a/function.html |
| チェック・ポイント・ソフトウェア・テクノロジーズ | Check Point Full Disk Encryption | http://www.checkpoint.co.jp/products/full-disk-encryption/ |
| デジタルアーツ | FinalCode | http://www.finalcode.com/jp/ |
| ハンモック | AssetView K | http://www.hammock.jp/assetview/k/ |
| 日立ソリューションズ | 秘文 Data Encryption | http://www.hitachi-solutions.co.jp/hibun/sp/product/de/ |
| マカフィー | McAfee Complete Data Protection | http://www.mcafee.com/jp/products/complete-data-protection.aspx |
| 暗号化製品 | ||
認証・シングルサインオン
そのユーザーが誰であるかを確認し(Authentication:認証)、どんなリソースを利用できる権限を持っているかを管理する(Authorization:認可)処理は、まとめて「認証」と呼ばれることが多い。Windowsへのログオン、ファイルサーバへのアクセス、VPNを介したリモートアクセス、業務アプリケーションや社内ポータルへのログインなどさまざまなシーンで使われる。この認証こそ基本的なセキュリティ対策の一つであり、破られてしまうとなりすましによって被害が広がる恐れがある。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| SCSK | RADIUS GUARD S | http://www.scsk.jp/sp/radius/ |
| ソリトンシステムズ | NetAttest EPS | http://www.soliton.co.jp/products/category/product/network/netattest_eps/ |
| ネットワールド | SECUREMATRIX | http://www.networld.co.jp/product/secure_matrix/overview/ |
| 日立電線ネットワークス | Account@Adapter + | http://www.hitachi-cnet.com/products/network/auth/ |
| 認証サーバ製品 | ||
一般にはパスワードの入力によって本人を確認することが多い。だが、なりすましや不正ログインの多発を受け、ワンタイムパスワードや指紋をはじめとする生体認証、PKIに基づく電子証明書を用いた認証など、より強固な方式が提供されている。守るべきシステムに応じて使い分けることが望ましい。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| RSA | RSA SecurID | http://japan.emc.com/security/rsa-securid/index.htm |
| シマンテック | Symantec User Authentication Solutions | http://www.symantec.com/ja/jp/products-solutions/families/?fid=user-authentication |
| ジェムアルト | SafeNet Authentication Manager | http://www.safenet-inc.jp/multi-factor-authentication/ |
| 多要素認証製品 | ||
一方で、認証が求められるシステムが増えるにつれ、ユーザーがIDとパスワードを覚えきれず、使い回しによってリスクを増大させる恐れが生じてきた。ユーザーの利便性とセキュリティを両立させる仕組みとして、一度の認証で複数のシステムへのログインを可能にする「シングルサインオン」と呼ばれる仕組みも提供されている。
社内システム、特にWindowsをベースとしたシステムでは、その根幹をActive Directoryが担うケースも多い。また、データベースのように重要な情報を格納するサーバについては、管理者権限を持つアカウントを対象に、厳密に管理・監査する仕組みを導入することが望ましい。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| CA Technologies | CA Privileged Identity Manager | http://www.ca.com/jp/securecenter/ca-privileged-identity-manager.aspx |
| CA Technologies | CA Single Sign-On | http://www.ca.com/jp/securecenter/ca-single-sign-on.aspx |
| HPE | HP IceWall SSO | http://h50146.www5.hp.com/products/software/security/icewall/sso/ |
| 特権管理/シングルサインオン製品 | ||
バックアップ
違和感を覚えるかもしれないが、広義の「データ保護」という意味合いからは、バックアップもまた、セキュリティの一機能として捉え直すことができるだろう。特に、PCやファイルサーバ内のデータを勝手に暗号化し、元に戻すためには金銭を支払えと要求してくる「ランサムウェア」の登場によって、事前・次善の策としてのバックアップの重要性が見直されている。
設定変更管理
変更管理というと「Subversion」のようなバージョン管理ツールがイメージされるかもしれないが、ここではサーバやルータ、スイッチといったネットワーク機器の設定変更が管理者の意図したものかどうかを確認するツールを指している。システムを構成する機器に対し、いつ、どのような変更が加えられたのか、その変更はプロセスに沿った手順で行われたかを確認することで、なりすましやマルウェア感染による不正な変更を検出し、被害拡大を防ぐ。
| ベンダー名 | 主な製品名 | URL |
|---|---|---|
| トリップワイヤ | Tripwire Enterprise | https://www.tripwire.co.jp/products/enterprise/ |
特集:セキュリティソリューションマップ
しばしば「サイバーセキュリティは複雑だ。よく分からない」と言われます。脅威の複雑さもさることながら、ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」が世の中にあふれていることも理由の一つではないでしょうか。それを大まかに整理することで、セキュリティ専門家以外の人々が、自社の防御の弱い部分を把握し、セキュリティレベルを高めていくお手伝いをします。
関連記事
「情報セキュリティ10大脅威 2016」、IPAが発表
マクロマルウェアが再び増加傾向に
あくどい「ランサムウェア」にどう対処すべきか
ESET ウイルスラボ総責任者に聞く、オンラインバンキング攻撃の現状とIoT時代のセキュリティCopyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。