「最も有効的なセキュリティ対策は何か?」この問いに対し、一概に一つの対策方法を上げるのは難しいと思います。環境によって適切なセキュリティ対策は異なるのです。
しかし敢えて有効的な対策方法をあげるなら「改ざん検知製品」をおすすめします。
なぜ改ざん検知製品なのか?今回はその他セキュリティ対策と比較しつつ、その有効性を解説していきたいと思います。
セキュリティ対策のおさらい
まずは一般的なセキュリティ対策の概要について簡単に解説していきます。
ファイアウォール/UTM(統合脅威検知管理システム)
ファイアウォールは内外部のネットワークに介在し、主にアドレスやポート単位で不正通信を検知およびブロックするためのツールです。
そしてUTMはファイアウォールに加え、Webフィルタリングやアンチスパムメールなど複数のセキュリティツールを提供しています。
IDS/IPS(不正侵入検知/防御システム)
社内ネットワークへの不正侵入を検知及び防御するためのツール。ファイアウォールとの違いは、通信をシグネチャでマッチングし不正検出を行います。ファイアウォールと併用することでセキュリティ性を強化できるとされています。UTMの機能に含まれることもあります。
WAF(Web Application Firewall)
Webアプリケーションに特化したファイアウォール。アクセス元とWebサーバに介在し、シグネチャをベースにしてWebアプリケーションレイヤーの不正通信を検知およびブロックします。
サンドボックス型製品
不正プログラムが組み込まれた恐れのあるファイルをシステムやユーザの実行環境やネットワークから隔離し、安全な状態でファイル実行して振る舞い検査及び隔離をする製品。ゼロディ攻撃に効果的です。
ファイル/コンテンツ無害化ツール
悪意のあるファイルやコンテンツをサニタイズ(無害化)することで、安全にファイル実行及びコンテンツの閲覧が可能になります。
メール無害化ツール
メールに添付された悪質なファイルを無害化して安全に実行することができます。また、アンチメールスパムなども機能も同時に提供している場合もあります。。
マネージドセキュリティサービス
こちらはツールではなくアウトソーシングサービスの一つです。セキュリティ専門家が24時間365日体制で社内ネットワークを監視してくれます。
こうして改めて整理してみると、セキュリティ対策の選択肢は意外と多いですね。
上記7つのセキュリティ対策に対し、改ざん検知製品はどのようなアプローチを見せてくれるのでしょうか?
改ざん検知製品とその他のセキュリティ製品の違い
不正改ざんを検知する
その名の通り、改ざん検知製品とはシステムに施された変更/改ざんを検知するためのシステムです。
そしてこれこそが他のセキュリティ製品と異なる最も大きなポイントでしょう。
前述したセキュリティ製品の特徴は不正とみなされる攻撃をブロックするか無害化するかの2つです。
これが何を意味するかと言うと、その他のセキュリティ製品は「攻撃を未然に防ぐための対策」として、改ざん検知製品は「攻撃されることを前提とした対策」ということです。
サイバー攻撃というのは日々高度に、そして巧妙に進化しているものなので100%防御することができません。
多くのセキュリティベンダーが日々技術の向上に努めていますが、それ以上の速度で攻撃技術が進化向上しているのです。
つまり、現代ビジネスにおけるセキュリティ対策では「攻撃されることを前提とした対策」の方が重要になります。
サイバー攻撃とはつまるところシステムの不正改ざんをともなうので、改ざん検知ツールならあらゆる攻撃の痕跡を検知することができるのです。
シグネチャファイルの更新がない
シグネチャファイルとはマルウェアや攻撃パターンを記録したファイルであり、多くのセキュリティ製品が独自のシグネチャファイルを参照して不正攻撃を検知・ブロックしています。
しかし前述したように攻撃技術は日々進化しています。そこでベンダーは頻繁にシグネチャファイルを更新するのですが、これがシステムの負担になることが少なくありません。
肥大化し続けるシグネチャファイルはシステムを圧迫してパフォーマンスを低下させます。
最近では基本のシグネチャファイルをシステムに置き、更新され続けるシグネチャファイルはクラウド上に置くというセキュリティ製品が登場していますが、技術が確立したとは言えリスクがあります。
一方、改ざん検知製品は定期的に作成するスナップショットを参照して不正改ざんを検知するシステムなので、シグネチャファイルを必要としません。
更新もないので常にパフォーマンスを保つことができます。
攻撃への対応が迅速
その他のセキュリティ製品は攻撃を未然に防ぐことを目的としているので、万が一攻撃された際の想定がありません。
従ってシステム内へ侵入された場合は他の対応が必要です。
もしも対応が不適切な場合、被害の拡大は避けられないでしょう。それよりも侵入に気付かないことすら大いにあります。
対して改ざん検知製品は、攻撃されることを前提にしているので、不正改ざんを検知した後は迅速に対処することができます。
通知方法やシステム修正のプログラムを実行するよう設定しておけば、万が一攻撃された際も迅速な対応が可能です。
企業システム全体を監視できる
改ざん検知システムの中でも「Tripwire® Enterprise」は企業システム全体を監視できるという特徴があります。
Webサーバ、OS、デスクトップ、ネットワーク機器などなど、細かい機器の不正改ざんを見逃しません。
その他のセキュリティ製品では防御できる領域が限定的なので、企業システム全体を守るためには複数の製品導入が欠かせません。
しかし改ざん検知製品なら一つで広範囲の領域でセキュリティ強化を行うことができるのです。
PCI DSS準拠に必須
クレジットカードのセキュリティ基準を策定したグローバルスタンダードPCI DSSは、準拠のために「ファイルの整合性監視」が求められています。
この監視を人の手で行うには限界があるので、事実上改ざん検知製品の導入が必要です。
改ざん検知製品ならTripwire Enterprise
先ほど登場しましたTripwire Enterpriseを販売しているTripwireは、約20年間に渡り改ざん検知ソリューションを提供し続けるパイオニア的存在です。
国内では現在官公庁や金融機関を中心に1,000社近くの導入実績があります。
PCI DSS準拠に事実上必須というのはTripwireの話であり、多くの企業がセキュリティ性を向上させつつグローバルスタンダードへの準拠を成功しています。
まとめ
いかがでしょうか?セキュリティ性を高めるための製品は数多く提供されていますが、改ざん検知は他と一線を画すセキュリティ製品です。
企業システム全体を監視しつつ、かつ高いセキュリティ性を確保できる製品というのはそうそうないでしょう。
そして、深刻化するサイバー攻撃に対し今後さらにニーズが高まる製品でもあります。
中小企業やベンチャー企業も攻撃対象とされている現代の脅威に対し、皆さんはどのセキュリティ製品を導入しますか?攻撃に気づかないままで過ごしますか?
人材リソースや資金に限りのある企業にこそ、企業システム全体を守る改ざん検知製品をおすすめしたいと思います。
