IWI
search

検索SEARCH

製品ページ内検索

製品以外のサイト内検索

×
採用情報

多層防御とは?多層防御の特徴とセキュリティ対策に有効な理由、EDRなどの防御層を解説

多層防御とは?多層防御の特徴とセキュリティに有効な理由、EDRなどの防御レイヤーを解説

多層防御とは?

多層防御とは、情報セキュリティ対策における方針のひとつで、複数の防御層を重ねてセキュリティ対策することで強固な防御を築くことを目的としています。保護対象となる情報システムや資産によって実施可能なセキュリティ対策は異なりますが、エンドポイントセキュリティを強固にするための対策として多層防御が検討されています。

エンドポイントへのサイバー攻撃の流れとして、エンドポイントへの侵入、攻撃の発症、情報の持出しといったものがありますが、これらの攻撃フェーズに取るべき対策として、入口対策、内部対策、出口対策があります。

  • ●入口対策はマルウェアが入ってくることを防ぎます。
  • ●内部対策は入ってきたマルウェアなどによる感染が内部で発症すること、感染拡大することを防ぎます。
  • ●出口対策は内部で発生した攻撃が行う外部への通信を防ぎます。

セキュリティ対策はこうした複数の観点で実施することができ、入口、内部、出口など複数の層で対策を行う多層防御が有効とされています。また、多層防御の中でも入口対策と入口対策など役割を同じとする対策を重ねて導入することを「多重防御」と表現することがあり、同様に有効な対策となっています。

多層防御がセキュリティ対策として有効な理由

1つの対策では抜け穴が生じてしまい、エンドポイントにマルウェアが混入、発症してしまう可能性があるため、複数の層でカバーするというのが多層防御の基本的な考え方です。マルウェアは増え続けており、様々な未知の攻撃の脅威も存在するため、複数のセキュリティで対応することが有効です。

特にエンドポイントにおけるセキュリティ対策として最も一般的なものはアンチウイルスソフトですが、それ以外の入口対策を行わない場合、未知のマルウェアが素通りでエンドポイントまでたどり着くことになります。検知が発生すると、それぞれの検知の確認に時間が割かれることになりますが、入口対策を行いエンドポイントへの侵入を減らすことができれば、エンドポイント側での検知を抑え運用負荷を軽減することもできます。

また、すべてのマルウェアにアンチウイルスソフトが対応できれば良いですが、そうではないのが実情です。次々と新たなマルウェアが確認されており感染被害が確認されています。

シグネチャ方式の基本的なアンチウイルスソフトの場合、新たなマルウェアを防ぐことは難しいですが、入口対策でシグネチャ方式とは異なるアプローチで防御を行うことができれば、未知のマルウェアがエンドポイントに届くことを防げる可能性があります。このように防御の層を増やすことで、エンドポイントを強固にするだけでなく、対策によっては運用負荷も下がる可能性があります。

多層防御を行う際のポイント

多層防御を構築するためには様々な製品を組み合わせて導入することが必要ですが、製品を選ぶ際のポイントとしてはバリエーションを持たせることがあります。入口対策を重ねて導入する場合、異なる防御手法を採用することが必要です。

また、同一のベンダーから複数製品を導入することで、多くの場合、連携と一括管理が行えるメリットがあります。しかし、ベンダーごとに異なるアプローチで保護を行っているため、別々のベンダーの製品を導入すると保護能力が向上する可能性もあります。

各レイヤーで実施される対策(ファイアウォール、EDRなど)

多層防御を構築するためのセキュリティ対策を記載します。

ファイアウォール

社内外を隔てるセキュリティシステムです。通信先あるいは通信元のIPアドレスやポート番号でパケットをフィルタリングし、通信を許可または拒否します。不審な通信を防ぐことができれば社内にマルウェアが混入することも防げるため、入口対策として利用できます。同様に社内から社外への通信を防ぐことができるため、社内に混入したマルウェアが行う外部通信を防ぐ出口対策としても利用できます。

ファイアウォールは機能拡張が行われており、製品によっては通信先、通信元などの基本的な情報だけでなく、通信を行っているユーザのプロファイルを通信の許可、禁止の判断に用いるものや、通信先をブロックする拒否リストに対して不審な通信先を自動的に追加、更新するものもあります。

また後述するアンチウイルスソフトがパーソナルファイアウォールの機能を持ち、端末が行う通信を制御する場合がありますが、個々の端末でもこうした通信制御の機能を設けることは多層防御の観点で有効であると考えられます。

メールセキュリティ

攻撃者がマルウェアをエンドポイントに送り込む手段として、一般的にはメールを用います。メールに添付されたマクロ付きのOfficeファイルや本文に記載されたURLなどを利用して、マルウェアをターゲットの端末に混入する一連の流れが確認されています。こうしたメールの悪用が多くなっていることから、メールサーバーに対して攻撃者からのメールをブロックするセキュリティ機構を実装することは重要な対策です。メールブロックの方式としては、添付されたファイルや本文のURLに対してスキャンを行うものや、相手のメールドメインの信頼性を確認するものなどがあります。

サンドボックス

外部から届いたファイルは有害なものである可能性があり、端末内で実行させるのはリスクが伴います。サンドボックスはそうしたファイルを安全に実行するための環境です。サンドボックスは社内のシステムに影響が出ない安全な環境であり、届いたファイルが有害であるか無害であるかを実際に動かして確認することができます。エンドポイントに届く前に解析が行えるため、入口対策として利用できます。

アンチウイルスソフト

エンドポイントにインストールし、端末内に生成されたマルウェアを検知、削除します。エンドポイントの周りに構築した入口対策をすり抜けたマルウェアに対して有効です。

アンチウイルスソフトの基本的な機能はシグネチャを用いたパターンマッチングですが、当機能は既知のマルウェアに対してのみ有効なアプローチです。そのため、未知の攻撃を防ぐことができないことが明確な弱点となっています。そうした欠点をカバーするために、シグネチャ方式でない次世代型のアンチウイルスソフトを重ねて導入することで、多層防御的に防御を行う事例が増えています。次世代型アンチウイルスソフトでは、ファイルを解析(静的解析)したり、プログラムの動きを解析(動的解析)することで、マルウェアらしい特徴がないかを判断するものが多くなっています。このようにエンドポイント上でマルウェアの実行を防ぐ製品を総称してEPPEndpoint Protection Platform)と言います。

EDREndpoint Detection and Response

EDRはアンチウイルスソフトと同様に端末にインストールするタイプのセキュリティです。

前述のEPPがマルウェアの実行をブロックし、被害を未然に防ぐことを目的とする一方で、主にEDRは端末内にある各プログラムの動作を監視し、不審な動きを発見、検知することを目的としています。マルウェアが発症してしまったとしてもEDRによって早期に発見することができれば、被害の拡大を抑えられる可能性があります。また端末上で動作する各プログラムのログを大量に収集しているため、マルウェアの侵入経路やその後の動きを詳細に把握することにも役立てられます。

プロキシサーバー

プロキシサーバーの用途としては、社内にある端末のインターネットへの通信を代理することです。端末の代わりにプロキシがWEBサーバーへのアクセスを行い、結果を端末に返します。プロキシが行う通信はHTTPHTTPS などを用いたWEBアクセスを目的としていることが多く、そうしたプロキシをWEBプロキシと明確にして呼ぶこともあります。

社内から社外へ行う通信の中でもHTTPHTTPSといった通信は許可されていることが多く、マルウェアが行う多くの通信も当該の通信でCCサーバーへのアクセスを試みます。その場合の通信もプロキシサーバーを経由するため、プロキシサーバーに不正な通信をブロックする機能を実装しておくと出口対策としても有効です。また、プロキシサーバーにウイルスチェックの機能も実装すると、WEBアクセス経由でダウンロードされるマルウェアをブロックすることができ、入口対策としても利用できます。

ネットワーク型IDS/IPS

ネットワーク型IDSIntrusion Detection System)はネットワーク上を流れるパケットを監視し、不正な通信があればアラートを発生させます。社内外を隔てることを主な目的としたファイアウォールと違い、社内のネットワークの中で行われている通信を監視することができるため、混入したマルウェアによる感染拡大のための活動を検知できる可能性があります。IDSと似たものにIPSIntrusion Prevention System)があります。両社の違いは近年不明瞭になってきていますが、IDSはアラートのみに対して、IPSは不正と判断した通信に対しては遮断することができます。

UTM

UTM(Unified Threat Management)は統合脅威管理を行う製品のことを指します。明確な定義はありませんが、ファイアウォールやメールセキュリティ、アンチウイルスなどの複数の機能を統合しています。1つの製品で統合管理でき、多層防御も実現できるところにメリットがあります。しかし任意のベンダーからセキュリティ製品を採用することができない点については考慮が必要です。

サイバーハイジーン

サイバーハイジーンとは、各端末の衛生管理を行うことです。設定値を確認したり、脆弱性スキャンを行いソフトのバージョンを最新にしたり、資産管理を行うなどして適切な状態を保ちます。攻撃を検知しブロックする製品群とは少し異なる視点ですが、攻撃の糸口を無くしそもそも攻撃が発生しない状況を作り出すことは重要な対策です。このように様々な観点でのセキュリティ対策が検討できます。

結局EPPが最も重要な理由

ここまでいくつかの対策を記載しましたが、その中でも最も重要となる箇所はエンドポイント内に位置するEPP製品になると考えられます。

どうしてもマルウェアがすり抜けてしまうことはある

多層防御を行うことは非常に重要ではありますが、それでもどうしてもすり抜けてしまうマルウェアがあり、最終的にはエンドポイントまで辿りついてしまうケースを散見します。例えば、攻撃者は暗号化されたファイルを攻撃に用いることが多いです。暗号化されたファイルはネットワーク上のセキュリティシステムが解析を行うことができないため、セキュリティチェックをすり抜けることがあります。(こうした動きを受け、暗号化されたファイルを使わないようにする動きが広がっていますが、普及には時間がかかるようです。)また、サンドボックスもよく利用される防御手法ではありますが、検証環境であることを検知し、悪意ある活動をサンドボックス内では行わないマルウェアも確認されています。

従来の境界防御の概念が薄まってきている

また近年リモートワークが進んでいることもあり、ネットワークを社内外で隔てるような境界の概念が薄まってきています。守るべき端末が必ずしも社内にあるとは限らず様々な環境下に存在しています。入口対策や出口対策として構築したセキュリティシステム(=社内)から外に出た状態になり脅威にさらされています。

そうした端末に脅威が及ぶ恐れがあるため、場所を問わず安定した保護を提供できるEPPが頼りになります。EPP製品はいくつかありますが、当社はMorphisecを取り扱っています。Morphisecはシグネチャや解析エンジンのアップデートが不要なセキュリティ対策であることから、様々な環境下であっても安定した保護能力を提供することが可能となっています。

Morphisecの詳細は製品ページからご覧いただけます。