コラム

ファイヤウォールとウイルス対策ソフトだけで会社は守れない

　ゼロトラストの必要性が叫ばれる中、情報セキュリティ対策の現状をみると、ファイヤウォールとウイルス対策ソフトだけという会社がまだまだ多いようです。ファイヤウォールも進化しており、単なる通信パケットの許可やブロックだけでなく、通信内容を分析して攻撃を防いだり、最近ではAIを活用して脅威を検知するものまで出てきています。ウイルス対策ソフトの方もAI活用やサンドボックス隔離など、未知のウイルスにも対応できるようになってきています。しかし、それでもなお、情報セキュリティ対策としては万全ではありません。社員が偽のメールやWebサイトに騙されてパソコンを乗っ取られる、簡単なパスワードが解読される、放置されたぜい弱性が悪用されるなど、ファイヤウォールとウイルス対策ソフトだけではとても会社を守れないのです。

「絶対に安心」ではなく「情報セキュリティは破られるもの」へ

　ファイヤウォールとウイルス対策ソフトを入れれば安心という時代はもはや過去の話になりました。

　今はどれほど強固な対策をしたとしても、「情報セキュリティは破られるもの」と考えなければなりません。人の不注意やコンピュータ（ハードウェア、ソフトウェア、ネットワーク）の欠陥、ぜい弱性は永遠になくならないものだからです。パスワードも高性能なコンピュータによって解読リスクが年々高まっています。江戸時代にあった関所も裏金や賄賂を使って不正に通過するものが絶えなかったと言います。現代社会の情報セキュリティにおいても、絶対安心と言えるものはないと考えて、破られた後の対策を考えることが不可欠なのです。

「防御」も進化している

　「防御」だけではだめな一方で、ファイヤウォールもウイルス対策ソフトもAI活用などによる機能強化を図っているように、　通信やデータの暗号化など「防御」も進化しています。二要素認証によるパスワード破り対策、MDM（モバイルデバイス管理）による不正デバイスの検知、コンプライアンス違反に対するアラートなど、「何も信用しない」ゼロトラストセキュリティベースの「防御」ツールが次々と登場しています。

「防御」を破られた後の「検知」「封じ込め」が重要に―EDRの登場―

　ランサムウェア被害が広がる中で、サイバーセキュリティの緊急事態対応手順を策定する企業が増えています。まさにそれは「防御」を破られた後の対策であり、その中でも特に重要となるのが、「検知」と「封じ込め」です。「検知」で問題となるのが、隠す社員が後を絶たないことです。早期発見すれば被害も最小化できるのにもかかわらず、報告されしないことによって被害が社内だけでなく社外にまで広がってしまい、大きな損害賠償責任を負うまでになってしまいかねません。そこで最近注目されているのが、EDR（Endpoint Detection and Response）というツールです。従来のウイルス対策ソフトがEPP（Endpoint Protection Platform）と呼ばれる「防御」しかしないツールだったのに対して、EDRでは、ウイルス感染や不正アクセスがあったことを管理者に通知したり（「検知」）、問題のあったエンドポイント（端末）をネットワークから切り離したり、遠隔操作することができます（「封じ込め」）。テレワークの普及などで一つの場所で社員全員が仕事をする勤務形態が崩れ、社員の誰かがサイバー攻撃を受けてもただちに検知できなくなっている中で、多くの企業がEDRの導入を検討すべき時期に来ていると言えるでしょう。

ウイルス駆除は「対策」の一部にすぎない

　「防御」を破られた後の対策として、「検知」と「封じ込め」の次にくるのが「対策」です。ウイルス対策ソフトによるウイルス駆除も「対策」の一つですが、これだけでは足りません。ウイルス感染したパソコン以外にも感染が広がったパソコンやサーバがあるかもしれないからです。社外にもメールの添付ファイルでウイルス感染が拡大している可能性もあります。「対策」は「応急措置」、「関係者通知」、「根本解決」、「再発防止」の四つのフェーズに分けて考える必要があります。「応急措置」では、ウイルス感染が確認されたパソコンやモバイル端末をただちにネットワーク切断すること、ウイルス対策ソフトで駆除することなどがあげられます。「関係者通知」はウイルス感染が拡大してしまいそうな関係先に注意喚起や対策提案を通知することです。具体的には自社からのメールやＷｅｂサイトにしばらくアクセスしないように、電話やその他安全確認できた通信手段で伝達することなどが考えられます。関係先にも被害が発生した場合にはお詫びと損害賠償を行う必要もあるかもしれません。「根本解決」と「再発防止」ではソフトウェアのぜい弱性の修正などウイルス感染などが起きてしまった原因を特定し、再発防止も含めて業務手順の見直しやソフトウェア変更など根本的な対策を講じることになります。

「検知」「封じ込め」を担うSOCベンダーを活用

　社員や情報機器の増加や、勤務場所や形態の多様化などによって、「検知」「封じ込め」を自社対応するのがますます困難になっています。そこで、「検知」「封じ込め」を24時間365日体制で担ってくれるSOC（Security Operation Center）と呼ばれる支援ベンダーに注目が集まっています。

「対策」には自社組織としてのCSIRT立ち上げが必須に

　「応急措置」、「関係者通知」、「根本解決」、「再発防止」を行う「対策」では、どうしても自社の内部事情に精通する自社組織が必要になります。日常から自社においてどのような事件事故が起きる可能性があるのかについて把握して、事件事故が起きた時の対応手順を策定しておき、いざ事件事故が起きた時は冷静に必要な行動を指揮・誘導できるCSIRT（Computer Security Incident Response Team）の立ち上げを進めている企業が増えています。CSIRTについては回を改めて解説したいと思います。

＜執筆者＞