脆弱性はアンチウイルスソフトやファイアウォールで守れるか:脆弱性対策・管理入門(5)
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。
脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。第4回では、「脆弱性対策は公開サーバだけでよいかどうか」といった脆弱性管理を適用すべき範囲について説明した。一部公開サーバだけではなく内部端末における脅威が存在している以上、内部端末対策は必須だと考えられる。さらに近年、クラウド利用やIoTの活用が企業内で飛躍的に進んでおり、産業用制御システムにおけるセキュリティ侵害も増加している。
連載第5回の本稿では、企業内で標準的に使用されているアンチウイルスソフトやファイアウォールによって、企業内のセキュリティは十分に保てるのかどうかについて考える。
アンチウイルスソフトの役割
まず、アンチウイルスソフトの役割について考えてみたい。いまだに「アンチウイルスソフトは万能で全ての脅威から端末を守ってくれる」と信じているシステム担当者は少なくない。だが、この考え方は完全に間違っている。
アンチウイルスソフトは文字通り端末内に侵入したウイルス(マルウェア)を駆除するものであり、マルウェアというのは不正なソフトウェアや悪質なコードの総称である。
一方で正規のアプリケーションにおけるコードの欠陥(これがまさに脆弱性ということになる)を悪用される場合、アンチウイルスソフトは全くもって役に立たない。例えば「WannaCry」は、「SMB(Server Message Block)」という、正規のアプリケーション層プロトコルにおける脆弱性を悪用したものであるため、その対策としてアンチウイルスソフトという選択肢は有効ではない。Microsoftから提供されるセキュリティパッチを適用するのが最も推奨された対策となる。
こうした脆弱性を突いた攻撃に対してアンチウイルスソフトが無力となるのは、アンチウイルスソフトが基本的には実行ファイルなどのファイル自体を検査する仕組みであり、脆弱性というのはメモリ上に展開されたプロセスに対して直接行われる攻撃であるためだ。最近急増している「ファイルレスマルウェア」も同様にファイル自体は作成されないためアンチウイルスソフトでの検知が困難な状況になっている。
ファイアウォールの役割
ファイアウォールはアンチウイルスソフトと並び、一般的な組織で最もよく使用されているセキュリティ製品の一つである。ファイアウォールはもともとセッション管理で外部からの不正なアクセスを遮断する機能しかなかったが、その機能は徐々に拡張されており、今や「次世代ファイアウォール」「UTM(Unified Threat Management:統合脅威管理)」と名前を変え、多種多様な機能を提供している。
その中でも脆弱性に関連するセキュリティ機能は「IPS(Intrusion Prevention System:不正侵入防止システム)」と呼ばれており、脆弱性に対しての攻撃を遮断するというのがその目的である。だが「IPSがあれば脆弱性は守られるか」というと、決してそんなことはない。その理由は3つある。
1つ目は、IPSの検知精度が決して高くないからだ。IPSを回避するテクニックが発達しているのに加え、そもそも主要な脆弱性以外を検知するシグネチャがあまり存在していない。
2つ目は、IPSはアンチウイルスソフトなどと比べると誤検知が圧倒的に起こりやすいため、通信の遮断は行わず、検知のみさせているケースが多いためである。つまり、「誤って正常な通信を止めてしまってもいいから攻撃を防ぎたい」と考える組織が少ないということだ。
3つ目は、ファイアウォールは境界防御、つまりインターネット外の脅威から内部システムを守るべく通信系路上に設置されているものだからである。リモートワークの増加などにより、そもそもファイアウォールを通過しない通信が増加している。
何を守るべきなのか
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- なぜ、「脆弱性」はなくならないの?
サイバーセキュリティの“基礎の基礎”をおさらいする本連載。今回はソフトウェアに「脆弱(ぜいじゃく)性」が生まれてしまう理由や、開発者/利用者として可能な脆弱性への対処方法について解説します。 - SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。 - 緊急、Windowsの未パッチの脆弱性(ADV200006)回避策をバッチ化する
2020年1月にWindows 7の延長サポートが終了してからまだ2カ月半ですが、既に全てのWindowsに影響する深刻度の高い脆弱性が2つ明らかになっています。そのうちの1つはセキュリティ更新プログラムが未提供(4月のセキュリティ更新に含める形で提供予定)です。影響を緩和する回避策はありますが、多数のPCを管理している人にとっては手間のかかる作業です。そこで、その回避策を簡単に実施する方法を考えました。