脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。
脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。第4回では、「脆弱性対策は公開サーバだけでよいかどうか」といった脆弱性管理を適用すべき範囲について説明した。一部公開サーバだけではなく内部端末における脅威が存在している以上、内部端末対策は必須だと考えられる。さらに近年、クラウド利用やIoTの活用が企業内で飛躍的に進んでおり、産業用制御システムにおけるセキュリティ侵害も増加している。
連載第5回の本稿では、企業内で標準的に使用されているアンチウイルスソフトやファイアウォールによって、企業内のセキュリティは十分に保てるのかどうかについて考える。
まず、アンチウイルスソフトの役割について考えてみたい。いまだに「アンチウイルスソフトは万能で全ての脅威から端末を守ってくれる」と信じているシステム担当者は少なくない。だが、この考え方は完全に間違っている。
アンチウイルスソフトは文字通り端末内に侵入したウイルス(マルウェア)を駆除するものであり、マルウェアというのは不正なソフトウェアや悪質なコードの総称である。
一方で正規のアプリケーションにおけるコードの欠陥(これがまさに脆弱性ということになる)を悪用される場合、アンチウイルスソフトは全くもって役に立たない。例えば「WannaCry」は、「SMB(Server Message Block)」という、正規のアプリケーション層プロトコルにおける脆弱性を悪用したものであるため、その対策としてアンチウイルスソフトという選択肢は有効ではない。Microsoftから提供されるセキュリティパッチを適用するのが最も推奨された対策となる。
こうした脆弱性を突いた攻撃に対してアンチウイルスソフトが無力となるのは、アンチウイルスソフトが基本的には実行ファイルなどのファイル自体を検査する仕組みであり、脆弱性というのはメモリ上に展開されたプロセスに対して直接行われる攻撃であるためだ。最近急増している「ファイルレスマルウェア」も同様にファイル自体は作成されないためアンチウイルスソフトでの検知が困難な状況になっている。
ファイアウォールはアンチウイルスソフトと並び、一般的な組織で最もよく使用されているセキュリティ製品の一つである。ファイアウォールはもともとセッション管理で外部からの不正なアクセスを遮断する機能しかなかったが、その機能は徐々に拡張されており、今や「次世代ファイアウォール」「UTM(Unified Threat Management:統合脅威管理)」と名前を変え、多種多様な機能を提供している。
その中でも脆弱性に関連するセキュリティ機能は「IPS(Intrusion Prevention System:不正侵入防止システム)」と呼ばれており、脆弱性に対しての攻撃を遮断するというのがその目的である。だが「IPSがあれば脆弱性は守られるか」というと、決してそんなことはない。その理由は3つある。
1つ目は、IPSの検知精度が決して高くないからだ。IPSを回避するテクニックが発達しているのに加え、そもそも主要な脆弱性以外を検知するシグネチャがあまり存在していない。
2つ目は、IPSはアンチウイルスソフトなどと比べると誤検知が圧倒的に起こりやすいため、通信の遮断は行わず、検知のみさせているケースが多いためである。つまり、「誤って正常な通信を止めてしまってもいいから攻撃を防ぎたい」と考える組織が少ないということだ。
3つ目は、ファイアウォールは境界防御、つまりインターネット外の脅威から内部システムを守るべく通信系路上に設置されているものだからである。リモートワークの増加などにより、そもそもファイアウォールを通過しない通信が増加している。
Copyright © ITmedia, Inc. All Rights Reserved.