守り方の前提を変えていく
ゼロトラスト時代のセキュリティ

AppGuard

サイバー攻撃で狙われるのは大企業――。そんな思い込みでセキュリティ投資に積極的でない企業は少なくない。昨今、企業規模を問わずサイバー攻撃者に狙われるケースが相次いでおり、既存のセキュリティ対策ソフトだけではマルウェアに侵入されてしまう可能性がある。全てを信用しない“ゼロトラスト”に基づくセキュリティ対策を講じて、高度化するセキュリティ脅威に備えよう。

DXに求められるセキュリティ対策

Blue Planet-works
最高技術サービス責任者
坂尻浩孝 氏

 多くの企業でデジタルトランスフォーメーション(DX)実現に向けた取り組みが進んでいる。一方で、DX 化が進むと業務の中核をITが担うことになる。そうした状況の中で、万が一サイバー攻撃などによってシステムが停止すると、経営に致命的な影響を与えることは免れない。サイバーセキュリティ製品およびサービスを提供するBlue Planet-worksの最高技術サービス責任者 坂尻浩孝氏は、実際に起こったインシデントを例に挙げる。

「 2021年7月に、大手食品製造業がランサムウェアによる攻撃を受けました。影響は全事業所に及び、バックアップデータも侵害されて復旧が困難な状態になりました。この被害により、同社は四半期の決算発表の延期に追い込まれました。DX時代において、経営者の想定を超えるセキュリティインシデントが増加しており、これらをいかに押さえ込んでいくかが経営課題の一つになっています」

ゼロトラストに基づいた対策を

 こうしたサイバー攻撃の脅威からシステム環境を保護するため、多くの企業ではセキュリティ対策ソフトを導入している。しかし坂尻氏は「既存のセキュリティ対策ソフトの中核技術は、過去のマルウェア情報をもとに、特徴点や振る舞いなどから侵入してきたマルウェアを検知します。しかし、こうした既存の防御技術は、未知のマルウェアや変容するマルウェア、まだ発見されていない攻撃テクニックなどの脅威に対しては対処が困難です。特に感染が拡大している『Emotet』に代表されるマルウェアフリー攻撃は、安全なツールや機能を悪用してシステム内で活動したり、攻撃者のサーバーを介して定期的にアップデートを行い自己変容したりする特性を持つため、既存のアンチウイルスソフトをすり抜けてしまいます」と問題点を指摘する。

 Emotet は2021 年1 月に欧州刑事警察機構によるテイクダウンプロジェクトが功を奏して鎮静化した。しかしその後、新しい運営組織のもと2021 年11 月ごろから活動が再開されている。以前よりも検出されにくい構造を獲得したことで急速に感染が拡大しており、2022年2月にはJPCERTコーディネーションセンターとIPA情報処理推進機構から注意喚起が出されるなど、その脅威はさらに高まっている。「 こうした進化し続けるサイバー攻撃を防ぐためには、既存のセキュリティ対策ソフトのような、過去の脅威情報をもとにマルウェアを識別して侵入を拒否する“ブラックリスト型”の対処では不十分です。これからの守り方は『全てを拒否して例外で許可をする』といった手法が不可欠であり、全てを信頼しない“ゼロトラスト”に基づいた対策が急務です」(坂尻氏)

 そうしたゼロトラスト時代に対応したエンドポイントセキュリティ製品として、Blue Planet-works が提供しているのが「AppGuard」だ。AppGuardは新設計の“ゼロトラスト型”セキュリティ製品であり、サイバー攻撃のライフサイクルを分断することで、万が一マルウェアが未知既知問わずエンドポイントに侵入しても発症を防ぎ攻撃を成立させない。

起動を防いで被害を止める

 それを実現するのが、AppGuard の「スペースルール」機能と、「改ざん処理防止」機能だ。スペースルール機能は、マルウェアなどの不正なソフトウェアの生成や発症を防止するため、起動制御を行う機能だ。スペースルールによる起動制御とは、管理者権限がなければ変更処理ができないフォルダがある領域を「信頼できる領域」(システムスペース)、ローカルユーザーの権限で変更処理が行えるフォルダがある領域を「信頼できない領域」(ユーザースペース)と定義して、信頼できない領域のファイルは起動制御を行い、信頼できる領域のアプリケーションのみを起動する。

 アプリケーションの起動後は改ざん防止処理機能によって、不正アクセスに悪用される可能性があるアプリケーションの挙動を監視し、レジストリファイルなどに対する改ざんや干渉を未然に防止できる。また改ざん防止機能には、同社の「Inheritance(ポリシー継承)」という特許技術を組み合わせることで、最初に起動された親プロセスから子、孫プロセスに保護ポリシーを継承し、レジストリやメモリーへのアクセスといった不正を認めた場合には動作を未然に遮断する。これらのスペースルール機能と改ざん処理防止機能を繰り返し適用してサイバー攻撃のライフサイクルを分断することで、Emotet のような侵入後に本体をダウンロードするマルウェアに対しても有効に作用するのだ。

 坂尻氏は「ブラックリスト型の欠点を解消する製品としてよく例に挙げられるのはホワイトリスト型のアプリケーション制御ソフトですが、ホワイトリスト型の場合、起動するアプリケーションとライブラリを全て設定で許可する必要があり、親プロセスから子プロセスに対する保護ポリシーの継承のような柔軟な対応ができません。AppGuardは、運用管理の側面で見てもメリットが大きいのです」と指摘する。

 販売パートナーへのサポート拡充も進めていく。坂尻氏は「AppGuardは技術的に非常に優れた製品ですが、これまではそれを十分にパートナーさまに伝え切れていなかった側面があります。当社としても販売パートナーさまと共にユーザー企業さまのシステム全体を守り切る提案が行えるよう、運用サポートを含めたサービスと製品をセットにして利用できるメニューを現在準備しています。高度化が進むサイバーセキュリティ脅威への対策が行えるAppGuardを、是非多くのユーザー企業さまにご提案ください」と語った。