マルウェア対策でどんなエンドポイントセキュリティ製品を選ぶべきか?

セキュリティ管理

はじめに

企業内でセキュリティ対策といえば、まずはPC(パソコン)のウィルス対策・マルウェア対策を思い浮かべるのではないでしょうか?昨今はマルウェアの脅威が増加し、従来のウィルス対策ソフトでは防ぎきれないため、新たな次世代型マルウェア対策製品への乗り換えを検討している情報システム担当者様も多いのではないでしょうか?

今回の記事では、ウィルス対策製品・マルウェア対策製品を選ぶ際にどんなことを考慮すれば良いのか、最近の脅威トレンドを踏まえてご紹介したいと思います。もちろん、これが正解ということではありませんので、お客様の環境や運用状況に合わせて適宜ご判断いただく際に、ご参考になればと思います。

脅威のトレンド

セキュリティベンダーを中心に各団体が定期的に脅威のトレンドをレポートしています。まずはそれらの要点を概覧し、脅威のトレンドについてまとめてみます。

  • IPA(情報処理推進機構)

    経済産業省の外郭団体であるIPA(情報処理推進機構)では、継続的にセキュリティに関する情報を提供しています。IPAのWebサイトでは、毎年「情報セキュリティ10大脅威」というものが発表されています。2017年の1月に発表されたものは、組織において「標的型攻撃による情報流出(1位)」、「ランサムウェアによる被害(2位)」、「ウェブサービスからの個人情報の搾取(3位)」といった脅威が挙げられています。発表から約1年経過していますが、標的型攻撃やランサムウェア等の報道やWeb上のニュースを見る限り、予測は当たっていると言えるでしょう。

  • AV-TEST
    独立系の第三者調査機関であるAV-TESTのWebサイトでは、「statistics」というページがあり、過去10年以上前からのマルウェア全数を確認することができます。2008年あたりからマルウェア数が指数関数的に増加しており、2017年現在では約7億のマルウェアが登録されています。一方で新しいマルウェアは、2015年をピークに減少傾向であるというグラフもありますので、ツールキットを使ってマルウェアを自動的に生成するような手法が増えたと考えられます。

  • マカフィー脅威レポート
    マカフィー社が4半期に1回リリースしている「McAfee Labs脅威レポート:2017年6月」には、マルウェアサンプルの全数が6億7000件にも達し、昨年より22%増加しているという統計情報を発表しています。また、最近のマルウェアが利用する回避技術とその傾向について記載されています。特筆すべき点としては、このレポートには、検出回避できるコードが売られていること、ファームウェア感染が増加していること、機械学習による検知を回避する手法が開発されているという点です。

  • ウェブルート脅威レポート
    当社が提供しているマルウェア対策サービス「PIT-マネージドエンドポイントプロテクション」のエンジン提供元であるウェブルート社は、「ウェブルート脅威レポート」という調査レポートを公表しています。この脅威レポートには、4千万以上の接続センサーより取得したデータを基に分析した結果が含まれています。
    ※ウェブルート脅威レポートはこちらからご参照ください。

他にもセキュリティ情報を発信しているところは多数ありますが、概して以下のような傾向を読み取ることができました。

  1. マルウェアは今も増加傾向にある(1年で6~7億の検体)
  2. ランサムウェアの脅威が増加している
  3. ポリモーフィック型マルウェアが増加し、検知が難しくなっている
  4. 依然として数百万もの悪意のあるIPアドレスが存在している
  5. フィッシング攻撃も増加しており、サイトは24時間以内にほぼ消滅する
  6. マルウェア検知を回避する技術も開発され続けている
  7. スマートフォンのモバイルマルウェアが倍増している

マルウェア対策製品に求められるものとは?

上記の脅威のトレンドから、マルウェア対策製品として以下のような機能および仕組みが実装されていると良いと考えます。

  • リアルタイムスキャン

    現在、統計的に1秒に4~5個のマルウェアが作成されている状況です。最新の脅威に対応するには、定義ファイルをすぐに更新しなければならないため、従来型のウィルス対策ソフトでは、未知の脅威対策としては十分とは言えないのではないでしょうか。振る舞い検知も重要ですが、常に最新の脅威情報でスキャンできる仕組みが効果的と考えます。

  • 多数のセンサーと機械学習
    マルウェアの活動はグローバル化しており、アジア、東欧では特に多くのサイバー攻撃が観測されています。こういった動きを補足するには、センサーの数が多い製品ほどより脅威情報に遭遇する確率が高くなり、より早く情報収集できることになります。また、膨大なマルウェア情報を収集し、分析して判定するには機械学習の仕組みが必要不可欠になってくると考えております。

  • プロアクティブな監視
    悪意のあるIPアドレスは数百万も存在しており、そのIPアドレスも追跡を逃れるように刻々と変わっていると言われています。そのため、悪意のあるIPアドレスまたはURLをプロアクティブにクローリングしてリアルタイムで判定していくような仕組みもあるとよいのでないでしょうか。

  • 多層防御
    昨今のマルウェアは、非常に巧妙になってきています。悪意のある攻撃者は、マルウェア対策製品からの検知を回避するような技術を日々開発しています。それでも、Webレピュテーション、サンドボックス、振る舞い検知、アンチエクスプロイト、アンチランサムウェア、アンチスパムといった複数の防御機構が備わった製品のほうがマルウェアに感染しにくいと思います。

  • EDR(Endpoint Detection and Response)
    感染することが前提と言われてきている昨今、EDRと言われる製品が登場しています。EDRは、エンドポイントでの脅威を検知し、感染後の対処を支援する製品です。具体的には、ログから感染元を特定したり、怪しいファイルやプロセスを一括で削除したりといった制御ができたりします。これにより、感染後の対処がよりスムーズになります。但し、セキュリティ知識が必要となるため、リソースが潤沢な中堅~大企業やSOC(セキュリティオペレーションセンター)向けになるのではと考えております。

  • ロールバック
    ランサムウェアの対策として一番効果的な対策はデータバックアップです。マルウェア対策製品の中にはマルウェアによって変更された箇所をジャーナリング(つまりバックアップ)しておき、感染が確認された後にロールバックして元に戻せる機能をもった製品があります。必ずロールバックできる訳ではないので、優先度は低くなると思いますがいくつかの製品に実装されています。

どんなマルウェア対策製品を選択すべきか?

前章にて、マルウェア対策製品に求められる機能や仕組みについてご紹介しましたが、自社において何の対策が重点事項なのかを事前に検討した上で、具体的に製品を比較検討していくことになると思います。実際に製品を選択する際には、必ずトライアルを実施して各製品・サービスのコンセプトや特長を理解した上で導入を決定すべきと考えます。製品を絞り込む上でいくつかポイントがありますので、ご紹介します。

  • 検知率に定評のある製品を選択する
    AV-TESTやAV-Comparativesのような第三者調査機関の結果から検知率の良いものを選択するというやり方もあるでしょう。実際にマルウェアを検知できるのか社内でテストする訳にもいかないので、こういった調査機関の結果から製品を選択することも良い手です。但し、定義ファイルによるパターンマッチングを前提としたテストが主軸となっているため、次世代型マルウェア対策製品は正当に評価されていないと考えているベンダーもいるようです。そのため、評価に参加していないベンダーも複数存在します。また、フリー版で評価されていて有償版の実力が分からないケースもあります。

  • ホワイトリスト型製品を選択する
    ホワイトリストに登録したプロセスやファイルしか実行できないようにする製品も存在します。許可されたプロセスやファイルしか実行されないため、マルウェアに感染するリスクをかなり低く抑えることができます。但し、誤検知やブロックが多くなると運用に手間がかかるようになりますので、それなりの運用体制が必要です。また、最近では脅威にさらされるリスクのあるアプリケーションをコンテナ化して想定外の挙動をすべてブロックするといった新しい概念の製品も登場しており、非常に興味深く注目しています。

  • フルクラウド型製品を選択する
    定義ファイルをローカルのコンピューターに保存せず、クラウド上でスキャンできる製品があります。常に最新の脅威情報でスキャンできることや、定義ファイルの適用を管理する必要がないため、セキュリティ面・運用面でメリットがあります。リアルタイムスキャンを実装できるのはこのフルクラウド型となります。また、スキャンが高速で軽くパフォーマンスが良いこともフルクラウド型の特長です。

  • 複数製品を選択する
    従来型のウィルス対策製品と次世代型マルウェア対策製品の両方を選択するというやり方もあります。複数製品を採用することにより、コストや運用負荷は増加しますが、それぞれ異なったアプローチで検知・検疫をするため、セキュリティレベルを強化することが期待できます。但し、競合しないことが前提となりますので相性の良い製品を探す必要があります。最近では、Windows Defender(Windows Defender ATPを含む)も評価されてきているため、Windows 10への移行を機にWindows Defenderと別のマルウェア対策製品を組み合わせる企業も今後増えてくるのではないでしょうか。

その他、考慮すべき点

マルウェア対策製品を選択する時、検知機能ばかりに注目してしまいがちですが、他にもいくつか考慮すべき点がありますのでご注意ください。

  • パフォーマンスが良いこと
    特にスキャンが実行されている時に、エンドユーザーの作業の生産性を低下させてしまうような製品は推奨できません。エンドユーザー側でスキャンを停止させたり、OS再起動をしてスキャンを回避したりといったセキュリティレベルを低下させる悪い行いが常習化する恐れがあります。

  • 一元管理できること
    スタンドアローンではなく、管理サーバーにてPCを管理できる製品を選択すべきです。どのPCにマルウェア対策製品がインストールされているか、エンジンや定義ファイルのバージョンがいくつなのかといったことが確認できたり、ポリシーの配信ができる製品が良いです。最近では「ワークスタイルの変革」といった観点からモバイルPCを社外に持ち出すことも多くなる傾向にあるので、社内・社外でも常に管理サーバーと通信できる製品が望ましいと考えます。

  • 運用負荷が低いこと
    オンプレミスで管理サーバーを構築した場合、サーバー自身の監視・運用に加え、定義ファイルの更新、管理サーバーのアップデートといった運用が必要です。クラウド製品を選択することで運用負荷を減らすことができます。

    また、誤検知が多い製品の場合は、誤検知したファイルやプロセスが問題ないかセキュリティベンダーに確認し、ホワイトリストに登録するといった作業が必要となります。アプリケーションが頻繁に更新される環境では、それなりの運用体制が必要となります。

    最後に、導入時にどのように展開していくかを事前に検討することも忘れないでください。リモートから製品を配信できれば短期間に展開することできます。既存ウィルス対策製品・マルウェア対策製品と共存できる製品であれば既存製品をアンインストールする手間が省けます。

  • 必要なサポートが受けられること
    導入後に些細なことでも相談できるサポート窓口があると安心です。ベンダーのサポートは、ITソリューションへの投資の最も重要な要素の1つです。 ベンダーと良好なコミュニケーションを図り、ソリューションを使用する際に必要なサポートが受けられるように事前に取り決めることが重要です。

まとめ

マルウェア対策製品を選ぶ前に、現状の脅威と会社のセキュリティ対策の実態を知ることが第一と考えます。既にウィルス対策製品を導入しているので、そのまま何となく毎年更新するのではなく、現状の脅威と照らし合わせて、現状の脅威に対応できるアーキテクチャーなのか、適切に運用管理できているのかを都度見直しすることが重要と考えます。

例え良いマルウェア対策製品を選択しても、OSやアプリケーションのセキュリティパッチを適用していなかったり、定義ファイルが古い状態のまま使用していたりすれば良いパフォーマンスを発揮できませんし、フルクラウド製品を選択してもオフライン用途では良いパフォーマンスを発揮できません。当たり前だと思いますが、製品の特長を理解し、最大限生かせるような運用を継続していく必要があります。

最後に、弊社ではリアルタイムスキャンが実装されているフルクラウド型マルウェア対策サービス「PIT-マネージドエンドポイントプロテクション」を提供しております。まずはトライアルしてみたい、あの製品と比較してどうなの?といったご要望・ご質問等がございましたら、お気軽にお問い合わせください。