おそらく大半の組織や企業では、「ウイルス対策ソフトを導入してウイルス定義データベースを更新する」「ファイアウォールを用いて内外の通信を制御する」といった基本的な対策は導入済みのことだろう。だが、近年の高度な攻撃の中には、そうした対策の限界を見破り、かいくぐるものが現れ始めている。こうした新たな脅威への対策として注目されるのが、次世代セキュリティだ。
基本の対策にプラスしたい次世代セキュリティ
エンドユーザーが実施すべきセキュリティ対策の基本と言えば、「セキュリティパッチを適用し、OSやアプリケーションを最新の状態に保つ」「ウイルス対策ソフトを導入し、ウイルス定義データベースを常に更新する」といったことになる。これが企業ネットワークでのセキュリティ対策となれば、社内システムとインターネットとの通信を制御するファイアウォールの導入や、リモートからの安全なアクセスを実現するVPNの活用なども加わるだろう。
これらの対策は今でも非常に重要であり、ウイルスやスパイウェア、ポートスキャンといった大多数の単純なサイバー攻撃から身を守るのに役に立つ。だが一方で、従来からの対策の限界を知った上でかいくぐる、高度な攻撃がはびこっているのも事実だ。こうした現状を踏まえ、従来のセキュリティ対策の限界を超えた「次世代セキュリティ」に注目が集まりつつある。
進化する脅威と従来セキュリティ対策の限界
まず、なぜ次世代セキュリティが求められているのか、その背景から振り返ってみよう。
この数年、「APT(Advanced Persistent Threat)」や「標的型攻撃」に代表される高度な攻撃が増加している。複数の企業や政府組織が狙われ、機密情報の流出といった被害に遭っていることはご存知の通りだろう。こうした攻撃では、ウイルス定義データベースに基づくセキュリティ対策では検出が困難なマルウェアに感染させ、長期にわたって目当ての組織に潜伏して情報を盗み出したり、感染を広げたりする。
かつて、ウイルスという存在が知られるようになった十年ほど前は、同一のウイルス(ワーム)が既知の脆弱性を狙って一斉に広がるパターンが多かった。パソコンの動作が重くなるなど、感染したことに気付くのが容易だったし、ウイルス定義データベース(パターンファイル)さえ作成されれば、検出、対応は比較的に容易に行えた。
これに対し標的型攻撃は、特定のターゲットのみにカスタマイズしたマルウェアを用いる。少数のマルウェアしか流通しないため検体の入手が困難であり、それに基づいてウイルス定義データベースを作成するのも難しくなる。加えて、非常に高度な標的型攻撃の中には、まだパッチが提供されていない未知の脆弱性(ゼロデイ脆弱性)を悪用するものもあり、この場合、対策はさらに困難だ。
また、ファイアウォールで特定のポートをふさいで不審な通信をブロックすることは、どの企業でもやっているだろうが、業務に必要なWebやメールなどを使うためにどうしてもいくつかのポートは開かざるを得ない。そうした開放済みのポートを用いて、外部の不正なサーバーに情報を流出させるような手法も報告されている。これも、従来型のファイアウォールでは対策が困難な攻撃の一例だ。
限界を踏まえて進化するセキュリティ対策
こうした課題に、セキュリティ業界も新たなソリューションで応えようとしている。
まず、高度な攻撃に用いられるマルウェアに対しては、シグネチャを参照して悪意あるソフトウェアを検出するのではなく、エミュレーション技術を駆使したり、仮想マシン上で実際に動かしたりし、その振る舞いを元に判断を下す「サンドボックス技術」など、さまざまな製品で採用されつつある。
シグネチャに基づく対策では、基本的に「既知」のものしか見分けることができない。これに対し、サンドボックスを用いた対策では、マルウェアを仮想環境上で動作させ、パソコンにファイルを書き込んだり、他のマルウェアをダウンロードさせたりするような不審な挙動があるか否かで判断を下す。元々「振る舞い検知」といった形で実装されてきたアプローチが広がりつつあるとも言えるだろう。
ファイアウォールに関しても、ポート単位でスタティックにアクセスの可否を判断するのではなく、通信の内容(パケットの中身)をチェックし、ポリシーと照らし合わせながら制御する、その名もズバリ「次世代ファイアウォール」と呼ばれる製品群も登場している。同じポート、例えばHTTP通信であっても、業務上必要なWebの閲覧であれば許可するが、掲示板への書き込みと見られる通信はブロックする、といった具合に、きめ細かくコントロールできることが特徴だ。
今後は「事故前提型」の対策に注目
セキュリティの世界では、攻撃側は次々と新しい手法を生み出してくるため、残念ながら守る側は後手に回らざるを得ない。基本的な対策を徹底した上で、守りたいものに応じて次世代セキュリティにも目を向けたい。
今後注目されるのは、「事故前提型」の対策だ。多層的な防御を実施することは重要だが、それでも攻撃は手を替え品を替えてやってくる。最善を尽くしても、侵入される可能性はゼロではないという前提に立って、万が一侵入を受けたとしても早期に見つけ出し、本当に深刻な事態、例えば情報漏洩などの事態に陥る前に対処できる仕組み作りに取り組む組織や企業が増えている。
この取り組みを支援するものとして注目が集まりつつあるのが「SIEM(Security Information and Event Management)」というしくみだ。複数の機器からログ情報を収集して相関分析し、単なるデータの羅列ではなく、「今何が起こっているのか」「優先して対処すべきイベントは何か」といったナレッジ、示唆を与えてくれるものだ。このアプローチは、機械学習などのテクノロジーを用いて、攻撃の「予兆」をつかむ方向へと進化していく可能性があり、要注目と言えよう。
ここまで「次世代セキュリティ」について説明してきたが、最後に2つだけ補足しておこう。1つは、今は「次世代」のテクノロジーも、おそらくいつかは陳腐化するだろうということ。攻撃手法や環境の変化に伴って、おそらく10年数後にはまた別の「次世代セキュリティ」が生み出されていることだろう。
もう1つは、マーケティング用語としての「次世代」に注意することだ。カタログに「次世代」と書かれているからといって、本当に革新的な技術に基づいているとは限らない。自社が求める対策は何か、守りたいものは何かを見据えた上で、言葉に踊らされることのないようにしたい。
