本稿では、@IT編集部が2016年3月11日に開催した「失敗しないエンドポイントセキュリティ製品の選び方」勉強会のレポートをお届けする。
2016年3月11日、@IT編集部は「失敗しないエンドポイントセキュリティ製品の選び方」と題した勉強会をアイティメディア セミナールームで開催した。同セミナーは、各ベンダーが製品の情報や選定のポイントを紹介するだけでなく、来場者、そして時にはベンダー同士が質問し合うという、これまでとはちょっと違ったセミナーだ。本稿ではそのレポートと、一参加者としての筆者の率直な感想をお伝えしよう。
今回のセミナーのテーマは「エンドポイントセキュリティ」だ。過去、セキュリティは「壁」と表現され、それをいかに高く作り、内側に入れないようにするかという対策が当たり前だった。ところが、そんな「入口対策」だけでは攻撃は防ぎ切れないというのが現在ではコンセンサスになっている。
そこで多層防御の1つとして最近注目されているのがエンドポイントセキュリティだ。しかしながら、近年の「エンドポイントセキュリティ製品」は製品数が増えているだけでなく、機能の複雑化、多様化が進んでおり、ユーザー企業の担当者からすれば「いったいどの製品が自組織に最適なのか」を判断することがますます難しくなっている。@IT編集部 セキュリティフォーラム担当の田尻浩規は「各製品が持つ機能を分解し、その仕組みを明確化することで、ユーザーの方々の製品選定に役立つ情報を提供できればと考え、本勉強会を企画した」とセミナーの趣旨について述べた。
今回、勉強会に参加したベンダーは、ソリトンシステムズ、EMCジャパン、そしてハミングヘッズの3社だ。エンドポイントをいかに守るかという手法に関して、それぞれ方向性の異なる製品/テクノロジーを抱えている。一方でこれらの3社に共通するのは、「怪しいメールは開かない」「怪しいサイトは開かない」「見知らぬ添付ファイルを実行しない」といった人の注意力に頼るセキュリティ対策はもはや現実的ではないと考えている点だ。
ソリトンシステムズ ITセキュリティ事業部 マーケティング部 エバンジェリストの荒木粧子氏は「例えば、最近話題になった“日本郵政ジャパン”を名乗る攻撃メールは、添付ファイルを開くとJavaScriptが実行されマルウェアがダウンロードされ、そのマルウェアがWebブラウザにインジェクションを行うことで情報を盗み取るというものだったが、“どんなメールも開かざるを得ない”自治体やサポート窓口などでは、『開いたらダメ』という対策ではこうした攻撃を防げない」とし、「『ファイルを開く前に防ぎたい』という心情も分かるが、実行ファイル型のマルウェアや脆弱(ぜいじゃく)性攻撃が実行されたときに、いかに検知・対応するかの方が重要だ」と述べた。
ハミングヘッズ 顧問 石津広也氏も同様に、「攻撃者は、社内組織や取引先などを装い、添付ファイルを実行させやすくする“偽装”を行っている。怪しいメールを開かせないように訓練する業者も出てきているが、相手も工夫をしており、現在では電話で『メールを開いていただけましたでしょうか?』と問い合わせまで行うようなやりとり型の手法も出てきている。このような手口に『開いたらダメ』で対処するのは難しい」とした。
このように、外部からの攻撃はより高度化しており、これまでの「実行させない」「開かない」という対策だけでは突破されてしまう可能性が高いのが現状だ。そのため、これからのエンドポイントセキュリティに必要なのは、実行されようとしている攻撃を発見、分析し、止める技術となる。
Copyright © ITmedia, Inc. All Rights Reserved.