テレワーク時のセキュリティ対策 ~狙われるエンドポイント(端末)に対策を~
本記事では、テレワークにおけるセキュリティ対策、主にテレワーク時に利用する端末のセキュリティについて解説いたします。
テレワークの推進とセキュリティ対策
みなさまが所属している組織はテレワークを既に実施されているでしょうか。
2020年7月には新型コロナウイルスの蔓延により、政府が組織に対して「在宅7割」を要請したことで話題になりました。 新型コロナウイルスの蔓延に加え、働き方改革の推進もあり、テレワークは世界的に普及してきています。
世界中でテレワークが推進されていますが、テレワーク時のセキュリティも併せて検討することが重要です。 多くの組織が働き方をテレワークに移行すると、攻撃者もテレワークに合わせた新しい攻撃手法を研究/開発を行います。新型コロナウイルスによりテレワークの勤務者が増加したことにより、テレワークの勤務者を狙った標的型攻撃が増えたという実例もあります。
今回はコロナ禍におけるテレワーク時のセキュリティについて、どのような対策を実施すればよいか解説していきます。
エンドポイント(クライアント端末)におけるセキュリティの重要性
従来サイバー攻撃対策では社外からの侵入を防ぐ「入口対策」が主流でした。
組織とインターネットの境界(入口)にIPS/IDSやファイアウォール、UTM、ネットワーク型アンチウイルス等のセキュリティ装置を設置することで、組織ネットワーク内に存在するクライアント端末に対しての攻撃や、マルウェア(悪意のあるソフトウェアの総称、コンピュータウイルスはマルウェアの一種)のダウンロードを防いでいました。
しかしテレワークでは、セキュリティ対策が十分にされている組織のネットワーク以外にも、自宅やコワーキングスペース、カフェなどといった組織では制御できないネットワークを活用するため、従来の「入口対策」が機能しません。
テレワークでは接続するネットワークに依存せず、クライアント端末でセキュリティ対策を実現することが非常に重要です。
テレワーク時のマルウェア対策「NGAV」
クライアント端末のセキュリティ対策として考えられるのがウイルス対策ソフトやクライアント端末のOSが有しているファイアウォール機能の導入ですが、 残念ながらこれらの対策だけでは、テレワーク用のクライアント端末セキュリティ対策としては不十分です。
まず、Windowsファイアウォールのみではマルウェアの侵入を防ぐことはできません。また、マルウェアを防ぐことができる従来のウイルス対策ソフトウェアは、既知のマルウェアはブロックできますが、未知のマルウェア攻撃や、非マルウェア攻撃と呼ばれる攻撃(PowerShellやコマンドプロンプトのようなWindowsなどのOS標準のアプリケーションを悪用した攻撃)はブロックできません。
つまり従来のウイルス対策ソフトでは、未知のマルウェアや非マルウェア攻撃からクライアント端末を守ることができません。
従来のウイルス対策ソフトでは、パターンマッチング方式と呼ばれる手法を採用しています。
パターンマッチング方式とは、既知のマルウェアの特徴を収集しておき、クライアント端末が保存したデータするデータに対して収集したマルウェアの特徴と比較することにより、マルウェアの感染を防御する方式です。
一方、世界中の情報漏えいに繋がった攻撃として非マルウェアによる攻撃の総数はマルウェアによる攻撃の総数の3倍程度と言われています。これはマルウェア攻撃への対策に比べ、非マルウェア攻撃への対策が不十分である事を意味します。
また新しいマルウェアは1日で100万個以上作成されていると言われています。今まではそのようなマルウェアをある程度「入口対策」で防ぐことができていましたが、「入口対策」ができないテレワーク環境では、今まで以上に非マルウェア攻撃や未知のマルウェアに感染するリスクが高まります。
未知のマルウェアや非マルウェア攻撃からクライアント端末を守る事が出来ない上、「入口対策」である程度防ぐことが出来ないため、テレワークを始める前と比べると、クライアント端末が攻撃を受け感染する機会は増加し、賠償金や業務の停止、守秘情報の漏えい、社会的信用の低下等の実被害に繋がりやすくなります。
そこで、非マルウェア攻撃や未知のマルウェアへの対抗策として、従来のパターンマッチング方式ではない「NGAV」という手法を用いたセキュリティ製品が登場しました。
NGAVとはNext Generation Anti Virus(次世代アンチウイルス)の略であり、従来のパターンマッチングでマルウェア感染を防ぐ機能だけではなく、クライアント端末上での不審な動作を監視し、不審な動作を検知したらブロックするという振る舞い検知機能、AIによる分析機能などを特徴としています。
不審な「ファイル」を監視するだけではなく、不審な「動作」を監視するため、既知のマルウェアだけでなく、未知のマルウェアに対しても対処することが可能です。
既存のウイルス対策ソフトウェアが既知のマルウェアを検知するために行っていたパターンマッチングに加え、未知のマルウェアや非マルウェア攻撃を防ぐための振る舞い検知機能を具備しているNGAVは、既存のウイルス対策ソフトウェアからの置き換えが可能であり、より強固なセキュリティを実現することができます。
テレワーク時のマルウェア対策「EDR」
NGAVは未知のマルウェアや非マルウェア攻撃への対策として有効ですが、NGAVだけでは十分とは言えない場合もあります。IT技術や攻撃手法は日々進化しており、どのような攻撃も必ずNGAVでブロック出来るとは言えないためです。
そのため現在のエンドポイントセキュリティ対策では、「サイバー攻撃の巧妙化」や「早急なマルウェア蔓延の封じ込めの必要性」といった観点から、端末に攻撃者が侵入される事態を前提としたセキュリティ対策、「EDR」の導入が主流です。
EDRとはEndpoint Detection and Responseの略であり、「攻撃者による端末への侵入を検知し、侵入後の対応を支援する、サイバー攻撃による攻撃者の侵入を前提とした」エンドポイントセキュリティの製品です。(EDRの詳細に関しては、コラム「サイバー攻撃に対する新対策、EDRとは?」にて解説しておりますので合わせてお読みください。)
EDRは「端末への攻撃者の侵入は避けられない」という考え方を前提としているため、端末の情報を収集し脅威のプロセスを可視化することでインシデントの調査を支援する機能や、遠隔から端末を調査/隔離する機能など攻撃の早期発見や対応ができるような機能が含まれています。
攻撃者の侵入に何カ月も気づかずに最終的に実被害が発生してしまうケースは非常に多くみられますが、EDRを活用することにより、早期に攻撃者に侵入された事に気づき、対応することが可能となるため、組織が守るべきもの(金銭、情報、信頼等)への悪影響を無くす、もしくは出来る限り小さくする事が可能です。
まとめ
テレワーク端末のセキュリティ対策には、NGAV機能を利用してできる限りのマルウェアをブロックし、万が一侵入されてしまい攻撃が行われてしまったとしてもEDR機能を利用して早急に対応することが重要であることを解説しました。
しかし、NGAV/EDRは様々な製品があり製品の選択が非常に難しく、製品の導入や運用に関しても不安を抱く方が多くいらっしゃいます。
NTTテクノクロスではお客様の運用のご心配に対応した、様々なサービスを用意しておりますので、テレワークやNGAV/EDR等に関するお悩み、既存のウイルス対策ソフトウェアからNGAV/EDR製品への乗り換えに関するお悩み、サービスの詳細のご所望がございましたら、お気軽にNTTテクノクロスへご相談ください。
