ここ数年、マルウェア対策は徐々にその存在感を失いつつありますが、多くの CISO は、ケースを保護するための主要なソリューションとしてマルウェア対策を使用しています。組織のエンドポイント保護プランの不可欠な部分としてマルウェア対策を維持する理由は、通常、コンプライアンスと規制上の義務に対応するためです。マルウェア対策をセキュリティの「ベスト」プラクティスのリストに残すべきか、それともエンドポイントセキュリティの30年来のベテランであるマルウェア対策を、その有効性がまだ明確でない新しいメカニズムに置き換えるべきか。答えは明白です。
理由はどうであれ、攻撃者がマルウェア対策との駆け引きで優位に立ち始めていることは、特にWebマルウェア防御の分野でますます明らかになってきています。Googleのテストによると、最も性能の良いアンチウイルス製品でさえ、悪意のあるコードの25%しか検出できないとのことです。Googleのテストでは、最も性能の良いアンチウイルス製品でさえ、悪意のあるコードの25%しか検出できないことが判明。
しかし、シグネチャベースのアンチマルウェアがもはや適切でないとしたら、それに代わるツールは何でしょうか?そのようなツールは存在するのでしょうか?答えはイエスです。
すべてのセキュリティ・メカニズムと同様に、これらの選択肢も万能ではありません。データセンターと従業員の両方において、より高いレベルのエンドポイントセキュリティを実現するためのツールやソリューションは数多くあります。しかし、その導入プロセスは、各組織が直面する特定の課題によって異なる場合があります。
コンテンツフィルタリング: マルウェアの85パーセントはWeb経由で配布されるため、ある程度のコンテンツフィルタリング機構を企業に提供することが重要です。現在広く導入されているフィルタリングツールは、主に2つのカテゴリに分類されます:
一つ目はウェブプロキシ。 Blue Coat Systems や Websense などの企業は、特定のポリシーに基づいて標的型サイトを公開またはブロックするサブスクリプション・ベースのサービスを提供しています。さらに、これらのサービスはインテリジェンスとダイナミック・アップデートを提供し、ユーザーが悪意のあるサイトにアクセスするのを防ぎます。シグネチャベースのマルウェア対策メカニズムのため、悪意のあるサイトの特定とシグネチャの展開には遅れが生じます。Webプロキシは、マルウェア防御の鎧の接続部分に過ぎませんが、それでも非常に重要です。
2つ目は、DNSフィルタリングです。OpenDNSのようなツールは、ブラックリストを通じて既知の悪意のあるサイトへのアクセスをプロアクティブにブロックすることで、ユーザーをセキュリティ脅威から安全に保つのに役立ちます。また、OpenDNSのユーザーは、他の数百万人のユーザーと協力して、毎日追加される3万件の感染サイトに関するより迅速な情報を得ることができるホワイトリストサービスも提供しています。使い方はとても簡単で、ウェブユーザーを保護する防衛戦線としてこのサービスを利用している有名顧客も多数います。最も優れている点は?これらのサービスは、高価なハードウェアと組み合わせる必要がありません。
ブラウザベースのセキュリティメカニズム:マイクロソフトのSmart Screen(IE 8以降に搭載)などのWebブラウザコンポーネントは、悪意のあるWebサイトへのアクセスをフィルタリングするのに有効です。マイクロソフトによると、同社の製品は、これまでに10億件以上の悪意のあるコードのダウンロードをブロックしています。Google CAMPは、ダイナミックナレッジベースによって悪意のあるウェブサイトを大規模に特定するGoogleの能力を、Chromeユーザーが最大限に活用できるようにするもう1つの取り組みです。
ホスト・ベースの異常/フォレンジック・ツール: これらのツールはまだ市場で成熟していませんが、データベース・サーバ、財務システム、電子メール・サーバ、経営幹部やその他のリスクの高いユーザのためのビジネス・システムなど、より価値の高い資産の保護に役立つ優れた新しいタイプの防御を提供することができます。理論的には、各エンドポイントには、まずシステムの通常のアクティビティをベンチマークするエージェント・メカニズムが付随しています。ベースライニングが完了すると、これらのエージェントは悪意のある可能性のある不規則なアクティビティについてシステムを監視し続けます。
製品ベンダーの中には、他のベンダーやサービスプロバイダと連携しているところもあり、VirusTotalはその典型的な例です。VirusTotalは、ユーザーがインターネットからアプリケーション、バイナリファイル、電子メール、あるいはUSBメモリのデータをダウンロードする際に、疑わしいバイナリコードや未知のバイナリコードを自動的にアップロードし、分析します。
これらのツールは、セキュリティ・インシデントの事後においても重要な役割を果たします。一般的な侵害では、フォレンジック・ツールは侵害が発生した後に影響を受けたシステムにインストールされます。しかし、Carbon Black、Mandiant、Guidance Software の Encase などの新しいベンダーのツールの中には、プリインストールされているものもあり、必要に応じて、侵害前にシステムで発生したすべてのアクティビティを提供し、技術者が侵害が発生した理由と侵害の影響を理解するのに役立ちます。
仮想化保護: 過去3年間で成熟し、勢いを増したもう1つのテクノロジーは、仮想化または分離メカニズムです。これらのテクノロジーは、深刻な限界があることが明らかになっているシグネチャやブラックリスト方式を使い続けるものではありません。
仮想化と分離メカニズムにより、Bromiumはコンピュータ上の各プロセスと各アプリケーショ ンを独自のマイクロ仮想マシンシステムで分離することを望んでいます。これらのマイクロ仮想マシンはローカルホスト内でクラウドシステムを形成し、ウェブブラウザ、オフィススイート、電子メールなどのプロセスの関連性によってさらに分割されます。
これに加え、ファイア・アイは、セキュリティ専門家が管理された環境でマルウェアの疑いを評価できる仮想化コンテナを導入しました。アナリストは、疑わしい攻撃を再現し、悪意のあるコードが問題の仮想化システムにどのような影響を与えるかを分析し、その動作のベンチマークを集約することができます。この一連のベースライン情報は、セキュリティ専門家にとって、悪意のあるコードが他のシステムやネットワークにも同様の影響を及ぼすかどうかを判断するための重要な基礎となります。
マルウェアは常に進化しているため、単一のマルウェア防御システムやソリューションの組み合わせに過度に依存するのは愚かなことです。現在、貴重なIT資産を効果的に保護しているツールが、5年後も同じように理想的な役割を果たしていることは当然ではありません。シグネチャベースのマルウェア対策から新しいテクノロジーへの移行を視野に入れながら、セキュリティは常に現在の脅威の状況を再評価し、それに応じて適応することによってのみ達成されるということを忘れないでください。
