ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
官公庁や大企業だけでなく、中堅・中小企業にも広がりつつあるサイバーセキュリティの脅威――。その典型ともいえる標的型攻撃メールの場合、日本語で書かれたごく普通の通知メールや照会メールが攻撃の発端となるケースが多い。「怪しいメールは開かない」といった注意喚起だけで防ぐのは、残念ながらほとんど不可能だ。
パターンで検知できるのは既知のウイルスだけ
もちろん、ほとんどの企業・団体は何年も前からセキュリティ対策製品を使っているはずだ。いまやウイルス対策ソフトやファイアウォールはほぼ普及しているといってよいし、ファイアウォールの上位版に当たるUTM(統合脅威管理)製品を導入する企業も増えてきた。
しかし、これら従来型の製品は、ウイルスなどのマルウエアの特徴を記した“パターン”を使って検知と処置をする仕組みを取る。セキュリティ対策製品のベンダーは、世の中に出回るマルウエアを収集するための体制を世界レベルで運用している。新しいマルウエアが発見されると、その特徴を調べてパターンに追加し、その製品のユーザーにインターネットを通じて配信してくれる。
新マルウエアの登場からパターン配信までの期間は場合によってまちまちだが、数時間から数日。この期間は“ゼロデイ”とも呼ばれ、従来型のセキュリティ対策製品では新マルウエアを検知できない。
また、“見つかっている数”という壁もある。いくら怪しいデータがインターネット上で見つかったとしても、世界で1例しかなければ、パターンに登録するセキュリティ対策製品ベンダーはない。ある程度の数が発見されないと、新パターンは配布されない。高価で高機能なウイルス対策ソフトであっても見落としは避けられないのだ。
そもそも、標的型攻撃メールの基本的な手口は、特定企業の特定部署といった、ごく限られた相手だけにマルウエアを送り付けること。見つかる可能性は低く、そこに使われているマルウエアがパターンに登録されなくてもまったく不思議はない。
高価な“サンドボックス”
そこで今、必要とされるのが、ベンダーが提供・更新するパターンに頼らず、自らの機能でマルウエアを検出・処置できるようなセキュリティ対策製品だ。そのような製品があれば、新パターンの配布が遅れたとしてもマルウエアを高い精度で見つけられる。標的型攻撃メールに対する防御能力もそれだけ高まるはずだ。
実は、そうした「未知のマルウエア」に対応したセキュリティ対策製品が、すでに存在する。数年前から官公庁や大企業で使われるようになった「サンドボックス」だ。
サンドボックスとは、英語で「砂場」や「砂箱」をさす。本物のコンピューター環境とは別に“仮想環境”を用意し、メールに添付されているファイルなどをその中で開いて不審な挙動をするかどうか判定する、というのがサンドボックスの基本的な仕組みだ。
いわば犯人が“仮想環境”の中で馬脚を現すのを待つ方式だ。原理的には、サンドボックスにパターンは不要。実際の製品ではパターンを使った検知も行われているが、それは、既知のマルウエアを前もって排除し、処理の効率を高めるためだ。
では、そのように素晴らしいサンドボックスが企業規模にかかわらず、広く普及しないのはなぜか。主な要因として挙げられるのは、「価格」と「人」だ。仮想環境を別に用意し、到着したメールを速やかに処理するには、それなりの能力を持つハードウエアが必要になる。社員数やメールに見合った台数や容量を用意すると、導入コストが1000万円単位になってしまうケースも珍しくない。
また、サンドボックスをチューニングしたり、白黒の自動判定が難しいグレーゾーンに対処したりするには、セキュリティの専門家も不可欠となる。人手が限られている企業にとっては、この点が大きな課題となるだろう。ただ最近は、より容易に導入・運用できるサンドボックスとして、クラウド方式のものも登場している。
執筆=山口 学
【MT】