現在、多くの人々が日常生活の延長としてインターネットを利用しています。友人とチャットするにも、時事ニュースを追うにも、特別な研究をするにも、映画を見るにも、インターネットを使う必要があります。それを知っているのですから、悪者も知っているはずです。
ITリスク・マネジャーは、エンド・ユーザーに対して、クリックしまくらない、プラグインをアンインストールする、パスワードを定期的に変更する、ウイルス対策ソフトウェアを使用する、などといった標準的なウェブ・セキュリティに関するアドバイスをよく説いていますが、これは効果がないようです。そのため、ウェブがマルウェアの流通媒体としてナンバーワンになったことは驚くことではありません。技術分野の進歩も相まって、ウェブを媒介とする新たな攻撃が増え始めています。幸い、ウェブ閲覧に関連するリスク、特にマルウェアに感染するリスクを軽減する方法はあります。
ウェブを媒介とするマルウェア:分離と隔離
マルウェアについて覚えておくべきことの1つは、会話を壊すためには実行する必要があるということです。つまり、攻撃者は悪意のある行為を実行するために、常駐システムのCPUを悪用するプログラムをメモリ上に展開しなければなりません。このことを念頭に置けば、マルウェアが常駐するシステムが、マルウェアの被害の程度を決定する上で極めて重要であることは容易に認識できます。組織は、被害を軽減するために、このプログラムを他のプロダクション・サービスから切り離す必要があります。
分離は、技術リスク管理の分野におけるリスク低減のための長年の手法であり、分離はより厳格な形態です。軍では通常、個々の物理システム、場合によっては仮想マシンの「スペースギャップ」を使用して、機密と非分類のシステムを分離しています。組織は長い間、ファイアウォールやその他のネットワークデバイスを使用してネットワークを分離してきました。Payment Card Industry Data Security Standard(PCI-DSS)のコンプライアンスを満たすために、企業はトークン化を使用して、対象外のシステムをデータレベルで分離することがよくあります。
さらに、いわゆるコンテキスト分離の1つの方法として、サンドボックスがあります。サンドボックスは、コンピューティングプログラムやプロセスを制限し、他のプログラムやプロセスとの相互作用を制限または防止する隔離された環境です。サンドボックスは、不審なソフトウェアの活動を見たり評価したりするためのさまざまな「かまぼこ」として使われることもあります。また、本番環境において、重要な機能やリスクの高い重要でない機能を実行するために使用されることもあります。このような場合、ブラウザをオペレーティング環境から分離することで、マルウェアの影響を最小限に抑えることができます。
ウェブを媒介とするマルウェア:ホスト型ブラウザ
このような状況を考えると、分離はユーザが安全にウェブを閲覧する上で大きな助けになります。通常、ホスト型ブラウザは完全に分離された物理システムで実行され、フロントエンドでネットワークと対話し、バックエンドでユーザーデバイスにアクティビティをマッピングしてユーザーへの接続を完了します。接続を終了するセキュアなウェブゲートウェイとは対照的に、ホストされたブラウザはいくつかの分析を実行し、承認されたパケットをエンドユーザーに転送します。ホストされたブラウザは、上記のサンドボックスと同様の利点を提供しますが、ウェブの形式をとります。これは現在、分析サンドボックスによって補完され、さらなる脅威の調査と対応能力をもたらしています。マルウェアプログラムがブラウザが存在するシステム上のリソースにしかアクセスできない場合、そのシステムを価値の高いリソースから切り離すことができるため、マルウェアが害を及ぼす能力を制限することができます。
さらに、ホスト型ブラウザは匿名性を提供するため、各セッションでクリーンなブラウジング環境を実現します。
この機能を提供する製品には、Check Point の WebCheck、Authentic8 の SILO、Light Point Security の Light Point Web、Spike Security の AirGap などがあります。
ウェブ経由のマルウェア:転換期
情報セキュリティの転換期において、従来の技術ではWebレガシーなマルウェアからユーザを保護することには限界があることを認識することが重要です。今こそ、ユーザを保護しながらリスクを軽減し、ユーザの関与を軽減または排除するための代替手段を導入する時です。分離モデルはよく理解されており、テクノロジーは現在、この機能を提供するのに十分なほど向上しています。
