アンチウイルスソフト、EDRでは不十分？ゼロデイ攻撃対策のエンドポイントセキュリティとは

こんにちは！クライアント仮想化製品を担当している長谷川ひとはです。

突然ですが、みなさんはエンドポイントセキュリティの対策はしていますか？

一般的にはアンチウイルスソフトやファイアウォールなどで対策をしている企業が多いですが、実はそれだけでは防げない脅威があります。それが、ゼロデイ攻撃です。この記事では、一般的なエンドポイントセキュリティソリューションだけでは対策しきれない、ゼロデイ攻撃の対策に必要なエンドポイントセキュリティについてお話します。

エンドポイントセキュリティ対策とは

エンドポイントセキュリティ対策とは、パソコンやスマートフォンなど、ネットワークに接続するあらゆるエンドポイントデバイスを標的型攻撃から守るセキュリティソリューションのことです。一般的には、エンドポイントデバイス自体に専用ソフトウェアをインストールし、それらをサーバーで集中管理する方法が主流です。

エンドポイントは、マルウェアなどが組織のネットワークに侵入するときの玄関口として利用され、組織内の最大の弱点になっていることがよくあります。そのため、サイバー攻撃や標的型攻撃からネットワークを保護するには、全てのエンドポイントの玄関口がしっかりと守られている必要があるのです。

ゼロデイ攻撃対策とは

セロデイ攻撃（未知の脅威）とは、修正される前のソフトウェアの脆弱性を狙ったサイバー攻撃のことです。サイバー攻撃者は、日々新しい攻撃手法で被害を生じさせ続けています。より強固なエンドポイントセキュリティを実装するためには、既知の脅威だけではなく、ゼロデイ攻撃への対策が必要です。

一般的なエンドポイントセキュリティ対策ではゼロデイ攻撃を防げない理由

最もよく知られているエンドポイントセキュリティ対策のソリューションとして、アンチウイルスソフトがあります。アンチウイルスソフトは、受信したファイルをスキャンし、データベースに保存されている既知の脅威と比較します。脅威を検知すると、ユーザーにワーニングを表示し、当該ファイルを隔離または削除します。

しかし、アンチウイルスソフトはエンドポイントセキュリティ対策のためのソリューションンの1つに過ぎないため、一般的に企業などでは、その他のセキュリティ製品も合わせて利用されていることが多いです。アンチウイルスソフトと組み合わせて使用できるエンドポイントセキュリティ対策の方法は次のようなものがあります。それぞれの製品の特徴をみていきましょう。

○ファイアウォール
ファイアウォールの主な役割は、通過させてはいけない通信をブロックすることです。ファイアウォールは、ユーザーまたはエンドポイントごとに適切な権限を与え、ネットワークの利用を制御します。また、内外からの不正なアクセスを防ぎ、リスクのある接続をブロックします。欠点は、ファイアウォールの設定で問題のないアプリケーションまでブロックしてしまうことです。これによって、業務に影響が出たり、ヘルプデスクの問い合わせ対応が増えたりしてしまいます。

○URLフィルター
URLフィルターの役割は、アクセスできるウェブサイトをリストにもとづいて制御することです。組織は、オリジナル、またはベンダーが提供する脅威データベースやリストを使い、既知のフィッシングサイトやウェブ広告サイトなど、ブロックするカテゴリを選択します。しかし、悪意のあるURLの全てを管理することは不可能です。サイバー犯罪者は、不正なウェブサイトがリストに新規登録されるよりも早いペースで新しいドメインを取得し、フィルターを回避します。また、善良なウェブサイトでも、脆弱性を突かれて攻撃コードを仕込まれ、URLフィルターの裏をかかれることもあります。

○EDR（Endpoint Detection and Response）
EDR製品は、エンドポイントの振る舞いを監視し、セキュリティ侵害の可能性のある異常な動きを検知します。振る舞い分析とレポーティングのためにデータベースに情報を集約し、継続的に監視するため、既知の脅威を早く特定し、迅速に対応することができます。しかし、洗練された振る舞い検知インテリジェンスをベースにしていますが、検知して防御するアプローチであるため、ゼロデイ攻撃を防げない可能性があります。

上記のエンドポイントセキュリティ対策の方法は、予防、検知、および回復の手段を提供し、既知のセキュリティ脅威対策として機能します。しかし、洗練された攻撃者は、最新の検知技術をも回避する攻撃手法を編み出し、被害を生じさせ続けています。これらのゼロデイ攻撃は、ウイルスデータベースやURLフィルタリストには含まれません。EDR製品でも検知できない新たな振る舞いをする可能性もあります。これが、一般的なエンドポイントセキュリティ対策ではゼロデイ攻撃を防げない理由です。

ゼロデイ攻撃からブラウザセキュリティを守るリモートブラウザとは

ゼロデイ攻撃からエンドポイントを保護するソリューション、それはリモートブラウザです。リモートブラウザは、エンドポイントの環境と、ウェブブラウザからインターネットにアクセスする環境を完全に分離するソリューションです。ウェブブラウザはエンドポイント上のインターネットへの出入り口として、典型的なアプリケーションであり、ガートナーなどのアナリストはサイバー攻撃者の主要な標的だと指摘しています。そのため、ブラウザセキュリティの対策はとても重要です！

リモートブラウザの仕組みは以下のようになっています。

1.ユーザはエンドポイントからウェブブラウザを使用して、いつもどおりブラウジングします。
2.クラウドやDMZにあるリモートブラウザ分離ソリューションが、ローカルのウェブブラウザが実行するはずだったウェブのコードを独立した仮想コンテナ内で実行します。
3.エンドポイントには無害な画面が転送されます。
4.ユーザーがブラウザを閉じるとすぐに、リモートの仮想コンテナはマルウェア、その他の悪質なコードと共に破棄されます。

このような仕組みになっているため、悪意のあるコードを含む全てのコードは、エンドポイントや組織内のネットワークにアクセスできません。入ってくるマルウェアを検地するのではなく、そもそも環境を分離して入れないようにすることでゼロデイ攻撃も防ぐことができます。

まとめ

エンドポイントはマルウェアの玄関口であり、組織内の最大の弱点、万全なセキュリティ対策が必要。
エンドポイントセキュリティ対策を万全にするためには、ゼロデイ攻撃への対策が必要。
一般的なエンドポイントセキュリティ対策では既知の脅威の対策は可能だが、ゼロデイ攻撃は防げない。
ゼロデイ攻撃対策には、リモートブラウザソリューションで環境を分離することが有効。

組織のネットワークを保護するには、あらゆる角度からのエンドポイントの保護が必要です。既知の脅威は、アンチウイルス、ファイアウォール、URLフィルター、およびEDR製品によって対策し、ゼロデイ攻撃に対しては、リモートブラウザソリューションで対策することで、漏れの無いエンドポイントセキュリティを実装しましょう！

リモートブラウザ製品のEricom Shieldの詳細は製品ページでご紹介しています。