高度なマルウェアに関する神話第6話―『高度なマルウェアを検出すれば脅威を阻止できる』

組織のセキュリティ対策
2014.2.13
更新日：2017.9.29

今日、多くの企業のIT環境において、高度なマルウェアのインスタンスの発見は、このマルウェアの阻止に間に合わなかったことを意味します。

一般的なマルウェアであれば、シグネチャが把握できているため、ファイアウォールで阻止することが可能です。空港のTSA（The U.S. Transportation Security Administration：米国連邦航空省運輸保安局）の係官があなたのIDをチェックするようなものです。しばらくの間この例えを用いて説明していきます。

高度なマルウェアは違います。係官のいない別のドアから侵入しようとしたり、特に忙しいゲートで身長や顔の特徴の違いを見分けることに追われている新人係官の前で、合法的なIDを使おうとしたりする可能性があります。

空港に十分な係官が配置されていれば、内部のTSAの係官が何か疑わしいことがあると気が付くでしょう。ビデオの映像を確認して解析を行い、優れたサンドボックスが実行するように、できるだけ早く、破壊行為を引き起こそうと企んでいるゼロデイマルウェアが空港内に侵入していることを発見します。

もちろん、問題はマルウェアが空港内のどこかに既に存在していることであり、誰かが、この人物を見つけ出すべきなのか、そのまま放っておくのか決断を下す必要があります。

重要なのは、サンドボックスではこの決断を下せないということです。サンドボックスにできるのは、システムに侵入されていることを伝えることのみです。

これが、高度なマルウェアを発見することと、動けなくすることまたは阻止することとの違いです。

疑わしいファイルのコピーを隔離して、時間をかけて複数のスタック間で解析を行い、これがゼロデイマルウェアであることを正確に突き止めていたとしても、制御室のセキュリティの係官と同様に、問題を把握していますが、それを阻止することはできないのです。マルウェアは、既にあなたのITシステムに入り込んでおり、標的に辿り着いてエクスプロイトを配布している可能性が高いのです。

高度なマルウェア攻撃を本当に阻止する唯一の方法は、システム全体にマルウェアに関する情報を直ちに伝達して、他のポイントに拡散する前にマルウェアのファイルとエクスプロイトを隔離して修復できるようにすることです。

このためには、サーバー、エンドポイント、リモートオペレーションをはじめとするシステム内のあらゆるポイントに対して、セキュリティの脅威に関する情報をインテリジェントに伝達する機能がシステムに求められます。その上、エクスプロイトはファイアウォールに侵入するのと同じくらい簡単にエンドポイントを経由して侵入できるので、この伝達は双方向である必要があります。この伝達は、マルウェアがどこで発見されても必ず隔離するといった、脅威の優先順位を付けて適切な対応を判断できなければなりません。つまり、システム全体が、脅威の緊急性と複雑性について完全に把握できていなければならないのです。

セキュリティ情報／イベント管理（SIEM）システムを実装した環境においても、このダイナミックなシステム全体にわたるセキュリティ統合が欠けているものが大半です。長年にわたって専用のシステムとオープンなシステムを組み合わせて使用することにより継ぎ合わされているので、多くの場合、必要な状況認識が不足しているのです。これは、まるで制御室の警備員が英語を話しているのに、現場の守衛は全員、様々なレベルの脅威認識を持つ別々の言語で話しているかのようです。

システムは最も弱いつなぎ目によって評価されるとしばしば言われています。高度なマルウェアのインスタンスを隔離して拡散を防ぐことができないのは、この弱いつなぎ目です。しかし、必ずしもこの方法をとる必要はありません。

真にセキュアなIT環境には、リアルタイムで脅威の環境について共有する情報を通じて、サーバーからエンドポイントまで、システム内のどこにおいても高度なマルウェアを迅速に発見して、隔離し、修復できるように、戦略的かつコスト効率良く統合された革新的な技術を用いるアーキテクチャーが求められます。

『高度なマルウェアを検出すれば脅威を阻止できる』という神話は崩れました。

＜最新のセミナー情報＞
マカフィーでは、今日のサイバー攻撃に対抗するため、企業様向けに様々なセミナーを開催しております。

最新の高度マルウェア対策製品情報はこちら