そもそもマルウェアの活動を許容しないという選択
PCやサーバで起動するソフトウェアを許可制にするという方法もあります。許可していないサービスやプロセスの起動を制限すれば、どんな脅威が侵入しても活動できません。変更が許されない環境下では、たとえ何かを改ざんしても変更は元に戻されますから、絶対に動作を止められないシステムなどには有効です。
ただし、正規の変更を行う場合にも手間がかかるのでかなり利用者にとっては不自由な環境になります。ですが、EPP/EDRの現在の性能だとある程度攻撃を受ける前提での運用になります。脅威を絶対に侵入させないということはできないため、システムを僅かな時間でも停止できないのであればあらゆる変更を認めないというのは強力な解決策の一つです。こうした専門のソリューションもありますし、Microsoft Defenderにもこういった機能があります。侵入したマルウェアは活動できないので、強力なランサムウェア攻撃も無害化されます。
しかし、こうした制約の厳しいセキュリティ対策は運用も大きな手間になるため、組織のサイバーセキュリティ対策全体で考えた場合にバランスが悪くなる可能性があります。攻撃者は弱い部分を探して攻撃を仕掛けますから一か所だけ強くても意味がありません。セキュリティ対策は絶対に完璧にならないため、組織に見合ったバランスを考えることが大事です。
たとえば、国家機密を狙う犯罪者はゼロデイ攻撃をするために未知の脆弱性や攻撃手法を隠し持っています。それを完全に防ぐのは不可能です。Microsoft 365はアメリカ政府の情報を抜き取るためにしばしば狙われます。何度も情報を窃取されている点ではリスクがあるわけですが、日本の一般企業は同じレベルの心配をする必要はないでしょう。貴重な未知の脆弱性を試すのであれば、犯罪組織にとって価値の高い対象を狙うはずです。軍事機密や重要な国家機密、金融機関や交通インフラなど、サイバー攻撃をうけやすい情報やシステムを扱う企業は留意しておくべき点かもしれません。
セキュリティのバランスを考えるということ
エンドポイントセキュリティとは少しずれますが、今年の年初(2025年1月)に日本のインフラが大規模なDDoS攻撃の被害を受けました。AkamaiやAWSなどのクラウドCDNの限界を超える攻撃をされることがありますが、どこまで投資して対策すべきかは落ち着いて考えるべきです。
クラウドになってDDoS対策はやりやすくなりました。たとえば高性能なCDNで物足りなければ、 WAAP(Web Application and API Protection)と多層防御でCDNへの負荷を減らすなどでリスクを限りなく減らせます。DDoS攻撃に関しては、ほぼ解決法が完成されているともいえます。
しかし、そこまでやる必要がある組織は多くないはずです。投資の優先順位のアドバイスが必要ならセキュリティベンダーのパートナーを頼るといいでしょう。しかし、ある程度のリテラシーがないとアドバイスが正しいかどうかわからないので、内部に幅広い知見を持つサイバーセキュリティの専門家を抱えることも大事です。
私も口には出さないですが、セキュリティコンサルタントの言われるままに妥当性のない投資をしている会社を見かける機会はあります。ITの世界では投資判断を間違えて失敗することは必ずしも悪いことではありません。ダメなものを作ったりダメな製品を使ったりと、そういった経験をせずに正解だけを引き当て続けることは不可能だからです。ですが、サイバーセキュリティを適切に学ぶことができれば試行錯誤して苦しむ時間を減らすことができるはずです。
まとめ
完璧なセキュリティは存在しません。企業が営利活動をする上で、どこまでセキュリティ対策に予算を使うかは難しい問題です。攻撃を受けるリスクは残るのに高額なセキュリティ対策を行うことに理解を得られないことも多いでしょう。なので、正しくリスクを理解して必要な体制や対策を推進できる人材が増えることを願ってやみません。
次回は、証券会社を狙った新たな脅威「インフォスティーラー」の実態と、効果的な対策方法をお伝えします。
