バンカー博士のサイバーセキュリティ講座 テクノロジー編

サイバーセキュリティ講座へようこそ。この講座では、1回が1バイトサイズほどの短い情報の中で今すぐ行動に移せるセキュリティのヒントをお伝えします。プロセス、テクノロジーの3つの章に分けて掲載します。

第3章 テクノロジー

27. 特効薬などありません

28. アンチウイルスはなぜ生き残っているのか

29. ランサムウェアに対処する際のバックアップの重要性

27. 特効薬などありません

ベンダーから発せられるメディア記事の中には、すべてのITの問題を一気に解決してくれるような記事が時折見られます。記憶に新しいところでは、仮想化、クラウドコンピューティング、暗号化、ホワイトリスティング、サンドボクシング… これらはすべてセキュリティの万能薬のように引き合いに出されていました。ですが、これはもちろん真実ではありません。セキュリティのこととなると、英語のことわざに真実が語られています。「鎖は一番弱い輪と同じだけの強さでしかない。」「深く掘り下げた防御は最良の戦略である。」今日セキュリティ脅威は進化を続け、そうした脅威に対応する革新的なソリューションがコンスタントに開発されていますが、実際にはほとんどの場合、既存のセキュリティITインフラを増やすばかりで、総入れ替えということにはなりません。

ですから、最新のセキュリティ技術について読む場合は、誇大広告を避けるようにし、御社の環境を入れ替えるというより、既存の環境に統合しやすいかどうかという観点で見るようにしましょう。― なぜなら、総入れ替えという選択肢はめったにありませんので。

28. アンチウイルスはなぜ生き残っているのか

アンチウイルスはすでに過去のものだという話をよく耳にします。10年前の純粋にシグネチャベースのアンチウイルスは今日効果をあまり発揮していないのは確かです。しかし、アンチウイルスソリューションは進歩しました。ゼロデイ攻撃の脅威に対処するため、多くのアンチウイルスが振る舞い分析や、クラウドベースのルックアップ機能を持つようになりました。振る舞い分析強化のためエミュレーションやサンドボックス技術を内蔵するものまであります。そしてもちろん、多様性やそういったものに対処するため様々なニュアンスを持ったシグネチャベースの検知機能も持っています。

たとえばEメールやウェブアクセスといったようにネットワークでアンチウイルスを使っている人たちにとっての最も理想的なのは、一つだけではなく、複数のアンチウイルスを持つことです。カバーされる既知のマルウェアが増え、新規やゼロデイマルウェアの検知が向上することになるからです。そしてネットワーク上では、管理コストは最小限になります。(そして、ネットワーク上だからといって、エンドポイントにおけるアンチウイルスを無視していいという意味ではありません。これも、これまでと同様重要です。)

アンチウイルスの必要性は実際にまだありますが、今日のアンチウイルスは読者の若い時に覚えているアンチウイルスと同じものではありません。今持っているものを捨てないでください。- しかし、今使っているアンチウイルスはすべて最新で、先進の機能を備えているようにすることが肝要です。

(2017/5/17掲載)

29. ランサムウェアに対処する際のバックアップの重要性

画面に警告文が表示され、データが暗号化されて、身代金が要求されていますが、その次は? 金を支払えば、暗号化を解除し、いなくなると称しています ― でも、3ヵ月後にはまた同じことが起きるのです … しかも今度はさらに状況は悪化し、感染は広がっています。(それに支払いに使ったクレジットカードの情報は漏洩されてしまいました…. そこであなたは、こいつらは犯罪者だった!と思うのです。)

ランサムウェアが存在するからには、それを緩和できるような策が必要です。多重防御が重要であり、自社を守るのに単独のテクノロジーにだけ頼るのは賢い選択とは言えません。アンチウイルス、ドキュメント マルウェア サニタイゼーション、ホワイトリスティング、サンドボクシング、これらはみな、ランサムウェアを防ぐのに助けになる良いテクノロジーです。Eメールやウェブセキュリティゲートウェイにもソリューションを入れられます。しかし、“フォールバック”という頼みの綱も持っているべきです。この場合は、データのバックアップがそれにあたります。もしバックアップを持っており、ごく最近のバックアップが必要とされているのであれば、他のすべてがだめになったとしても、感染したハードウェアをベアメタルに戻し、OSとデータを復元することができます。

ランサムウェアは巧妙化しており、バックアップさせないか、バックアップを暗号化してしまうという種類もあります。起動する際に回復可能な信頼できるバックアップを無くすのが狙いです。これに対処するために、バックアップの完全性や、オリジナルのデータの復元能力を確認します。少し時間がかかるかもしれませんが、それをするだけの価値はあるでしょう。- 感染が広がる前に感染源を指し示してくれるかもしれないからです。

(2017/5/24掲載)

(次回は 30. DLPとは何なのか です。 お楽しみに!)

バンカー博士のセキュリティ講座 トップページへ戻る

バンカー博士のセキュリティ講座 第1章 人編 へ

バンカー博士のセキュリティ講座 第2章 プロセス編 へ

関連資料 ホワイトペーパー サイバーセキュリティ侵害に備える 転ばぬ先の杖