セキュリティは「検知」から「実行させない」世界へ        ~ アプリケーションコントロールとゼロトラストの考え方

セキュリティは、なぜ難しくなった

近年、ランサムウェアやサイバー攻撃の被害は増え続けています。
EDRや次世代アンチウイルスなどの高度なセキュリティ製品を導入している企業でも、侵害や暗号化被害が発生しています。

「セキュリティ製品を入れているのに、なぜ被害が止まらないのか」

その理由は、セキュリティ製品の性能が低いからではありません。
攻撃の方法そのものが変わってしまったことが大きな理由です。

従来のサイバー攻撃は、マルウェアと呼ばれる「悪意あるプログラム」を侵入させる攻撃が中心でした。
そのため、アンチウイルスやEDRなどの「マルウェアを検知する」セキュリティ対策が有効でした。

しかし現在の攻撃は大きく変わっています。
攻撃者はマルウェアを使わず、OSの標準機能や管理ツール、クラウドサービスなどの正規ツールを利用して攻撃を行うようになっています。

つまり現在の攻撃は、

  • 正規アカウントでログイン
  • PowerShellなどの管理ツールを利用
  • 正規ツールでデータ収集
  • 正規ツールで圧縮
  • クラウドストレージへアップロード
  • 正規ツールで暗号化

といったように、すべて正規の機能やツールを使って攻撃が成立してしまいます。

ここには、いわゆる「マルウェア」が存在しない場合もあります。

このような攻撃では、

  • ファイルは正常
  • プログラムも正常
  • OS機能も正常
  • ユーザーアカウントも正規

という状態で攻撃が進行します。

そのため、「悪いファイルを検知する」という従来のセキュリティ対策だけでは、防御が難しくなってきています。

これが、現在セキュリティ対策が難しくなっている大きな理由です。

昔のセキュリティ(悪いファイル検知)

従来のセキュリティ対策は、非常にシンプルな考え方でした。

悪いファイル(マルウェア)を見つけて削除する

これがアンチウイルスを中心としたセキュリティ対策の基本的な考え方です。

悪いファイル = マルウェア

検知

削除

攻撃者はマルウェアという「悪いプログラム」を作成し、
メールの添付ファイルやWebサイトのダウンロードファイルなどを通じて、
そのマルウェアを端末に実行させることで攻撃を行っていました。

そのため、セキュリティ対策としては、

  • マルウェアを検知できるか
  • 検知率は高いか
  • 誤検知は少ないか

といった点が非常に重要でした。

この時代のセキュリティは、
「悪いもの」と「普通のもの」がはっきり分かれている世界でした。

つまり、

  • 悪いファイル → 検知して削除
  • 普通のファイル → そのまま実行

という考え方です。

この世界では、いかに検知率を上げるか、
そして擬陽性(誤検知)をいかに減らすかが、セキュリティ製品の大きな評価ポイントでした。

しかし、この前提は「悪いファイルが存在する」ことが前提です。

そして現在、この前提そのものが大きく変わり始めています。

攻撃は変わった(正規ツール攻撃)

しかし現在のサイバー攻撃は大きく変わっています。

攻撃者はマルウェアを使わなくなってきています。
代わりに使われているのは、OSの標準機能や管理ツール、クラウドサービスなどの正規ツールです。

例えば次のようなツールです。

  • PowerShell
  • PsExec
  • RDP(リモートデスクトップ)
  • 7-Zip
  • Rclone
  • OneDrive / SharePoint
  • バックアップツール
  • 管理ツール
  • ソフトウェアアップデータ
  • Windows標準コマンド

これらはすべて、企業のIT管理者が日常的に使用している正規ツールです。
しかし攻撃者は、これらのツールを攻撃に利用します。

攻撃の流れを簡単に表すと次のようになります。

ここで重要なポイントがあります。

この攻撃の中に「マルウェア」が存在しない場合があります。

つまり、

  • ファイルは正常
  • プログラムも正常
  • OS機能も正常
  • アカウントも正規
  • 通信もクラウドサービス

それでも攻撃は成立します。

このような攻撃は、
Living off the Land(LOLBins)攻撃
と呼ばれ、現在のサイバー攻撃では非常に一般的な手法になっています。

この攻撃では「悪いファイル」が存在しないため、

  • アンチウイルス
  • シグネチャ検知
  • ファイルベースの検知

だけでは防ぐことが難しくなります。

つまり、現在のセキュリティは

「悪いファイルを見つける」だけでは防御できない世界

に変わってしまったのです。

セキュリティ思想の変化

攻撃手法の変化に伴い、セキュリティの考え方そのものも変わってきました。

従来のセキュリティは、次のような考え方でした。

悪いものを見つけて止める

つまり、「マルウェアを検知すること」がセキュリティ対策の中心でした。

しかし現在の攻撃では、正規ツールや正規アカウントが攻撃に使われます。
そのため、「悪いファイル」を検知するだけでは攻撃を防ぐことができません。

そこでセキュリティの考え方は、次のように変わってきています。

昔:悪いものを見つけて止める
今:危ない操作を止める
これから:許可したことしかできない

これをセキュリティ製品の歴史で整理すると、次のようになります。

つまりセキュリティは次の方向に進んでいます。

検知 → 挙動検知 → 操作防御 → 実行制御 → 許可制

ここが現在のセキュリティを理解する上で非常に重要なポイントです。

従来のセキュリティは「検知」が中心でした。
しかし現在は「操作を止める」「実行させない」という制御型のセキュリティへと変わっています。

そしてその延長線上にある考え方が、ゼロトラストです。

ゼロトラストとは、簡単に言えば

「何も信頼しない。許可したものだけ動かす」

という考え方です。

この考え方をエンドポイントで実現する仕組みの一つが、
Application Control(アプリケーションコントロール)です。

つまりアプリケーションコントロールは、単なるアプリケーション管理機能ではなく、
ゼロトラストをエンドポイントで実現する仕組みと言うことができます。

なぜEDRだけでは止まらないのか

EDRは現在のエンドポイントセキュリティにおいて非常に重要な製品です。
不審な挙動を検知し、侵害の兆候を可視化することができます。

しかし、ここで重要なポイントがあります。

EDRは「検知」の製品であり、「操作を止める」製品ではありません。

つまり、

  • 攻撃を見つけることはできる
  • 侵害の痕跡を追跡できる
  • どの端末が侵害されたか分かる
  • どのユーザーが侵入されたか分かる

しかし、暗号化そのものを止められるとは限りません。

ランサムウェア攻撃の流れを簡単に表すと、次のようになります。

侵入

権限取得

横展開

データ収集

暗号化

EDRはこの途中でアラートを出します。
しかし、検知できたとしても、その時点で攻撃者が暗号化処理を開始してしまえば、被害は発生します。

つまり、検知できた = 防げた ではありません。

ここが非常に重要なポイントです。

現在のランサムウェア対策では、

  • マルウェアを検知する
  • 不審な挙動を検知する
  • 侵害を可視化する

だけではなく、

暗号化処理そのものを止める
未許可アプリケーションの実行を止める
管理者権限の不正利用を止める

といった「操作を止めるセキュリティ」が重要になっています。

つまり現在のセキュリティでは、 検知 + 操作防御 + 実行制御 を組み合わせることが重要になってきています。

アプリケーションコントロールという考え方

ここまで説明してきたように、現在のサイバー攻撃ではマルウェアを使わず、正規ツールや正規アカウントを利用した攻撃が増えています。

このような攻撃に対して、「悪いファイルを検知する」だけの対策では防ぐことが難しくなっています。

そこで再び注目されているのが、Application Control(アプリケーションコントロール)です。

アプリケーションコントロールの考え方は非常にシンプルです。

許可したアプリケーションだけ実行できる
それ以外は実行できない

これは従来のアンチウイルスとは逆の考え方です。

アンチウイルスApplication Control
悪いものを止める許可したものだけ動かす
ブラックリスト(ブロックリスト)ホワイトリスト(許可リスト)
検知制御

従来のセキュリティは、「悪いものを探す」ブラックリスト方式でした。
しかし現在の攻撃では正規ツールが攻撃に使われるため、ブラックリスト方式では防ぎきれません。

そこで、「悪いものを探す」のではなく、 「許可したもの以外は動かさない」 というホワイトリスト型の考え方が重要になります。

例えば攻撃者が次のようなツールを使おうとしても、

  • rclone
  • 不審なPowerShellスクリプト
  • 圧縮ツール
  • ファイルコピーツール
  • 不正ツール

これらのツールが許可されていなければ、そもそも実行できません。

つまりアプリケーションコントロールは、

攻撃を検知するのではなく、攻撃を実行させない仕組み

と言うことができます。

この考え方は、現在注目されているゼロトラストの考え方にも非常に近いものです。

ゼロトラストとは、「何も信頼しない。許可したことだけ実行できる」 という考え方です。

アプリケーションコントロールは、このゼロトラストの考え方をエンドポイントで実現するための重要な仕組みの一つと言えます。

検知から制御へ

ここまで説明してきたように、サイバー攻撃の手法は大きく変化しました。

従来はマルウェアという「悪いファイル」を侵入させる攻撃が中心でしたが、
現在は正規ツールや正規アカウントを利用した攻撃が主流になっています。

この変化によって、セキュリティの考え方も次のように変わってきています。

つまりセキュリティは、検知の時代から、制御の時代へ 変わりつつあります。

従来のセキュリティ対策は、

  • マルウェアを検知する
  • 不審な挙動を検知する
  • 攻撃を可視化する

といった「検知」が中心でした。

しかし現在の攻撃では、

  • 暗号化処理を止める
  • 大量ファイル削除を止める
  • 未許可アプリケーションの実行を止める
  • 管理者権限の不正利用を止める

といった操作や実行そのものを止める対策が重要になっています。

現在のエンドポイントセキュリティは、次のような役割に分かれています。

対策役割
NGAVマルウェア検知
EDR不審な挙動検知
ランサム対策暗号化操作防御
アプリケーションコントロール実行制御
権限管理管理者権限制御

このように、1つの製品ですべてを防ぐのではなく、
役割の異なる防御を組み合わせる多層防御が重要になります。

つまり現在のセキュリティは、 検知 + 操作防御 + 実行制御 + 権限管理 という複数の防御レイヤーを組み合わせる時代になっています。

Heimdal / 多層防御 / ゼロトラスト構成

ここまで説明してきたように、現在のエンドポイントセキュリティでは
1つの製品ですべてを防ぐのではなく、役割の異なる防御を組み合わせる多層防御が重要になります。

ランサムウェア対策をエンドポイントの観点で整理すると、役割は次のように分かれます。

防御レイヤー役割
NGAVマルウェア検知
EDR不審な挙動の検知・可視化
ランサム対策暗号化などの危険操作を停止
アプリケーションコントロール未許可アプリケーションの実行防止
権限管理管理者権限の制御
Firewall端末通信制御

このように、

  • 検知
  • 挙動検知
  • 操作防御
  • 実行制御
  • 権限管理
  • 通信制御

という複数の防御を組み合わせることで、より強固なエンドポイント防御を実現することができます。

Heimdalのエンドポイントセキュリティは、これらの防御レイヤーを
1つのエージェントで統合的に提供する構成になっています。

特にランサムウェア対策という観点では、次の3つの防御が重要になります。

対策防ぐもの
NGAVマルウェア
REP X暗号化
Application Control未許可アプリ実行

つまり、

  • マルウェアを検知する
  • 暗号化を止める
  • 未許可アプリケーションを動かさない

という多層防御を実現します。

これは、従来の「検知中心」のセキュリティではなく、検知 + 操作防御 + 実行制御 + 権限管理を組み合わせた、ゼロトラストに近いエンドポイント防御の構成と言えます。

現在のセキュリティ対策では、「侵入されないようにする」のではなく、
「侵入されても被害を出さない」
という考え方が重要になっています。

そのためには、検知だけではなく、操作防御や実行制御を組み合わせた多層防御が必要になります。

まとめ

これまでのセキュリティ対策は、「悪いものを見つけて止める」という考え方が中心でした。

しかし現在のサイバー攻撃では、マルウェアではなく正規ツールや正規アカウントが攻撃に利用されます。
そのため、「悪いファイルを検知する」だけでは攻撃を防ぐことが難しくなっています。

セキュリティの考え方は、次のように変わってきています。

つまりセキュリティは、検知の時代から、制御の時代へ変わりつつあります。

現在のエンドポイントセキュリティでは、

  • マルウェアを検知する
  • 不審な挙動を検知する
  • 暗号化などの危険な操作を止める
  • 未許可アプリケーションの実行を止める
  • 管理者権限の不正利用を止める

といった複数の防御を組み合わせることが重要になります。

これからのセキュリティ対策では、検知 + 操作防御 + 実行制御 + 権限管理という多層防御の考え方がますます重要になっていくでしょう。

セキュリティは今、「検知する世界」から「実行させない世界」へ大きく変わろうとしています。

Heimdal アプリケーションコントロールを試してみませんか?

セキュリティ対策済みだからこそ、必要な“実行制御”です。
無料トライアル受付中です。

Heimdal アプリケーションコントロール の製品ページを見る

参考文献・出典

本記事はここまでとなります。
もし気になった点やご質問などあれば、お気軽にお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【第1回】EDRをすり抜ける攻撃に備える。暗号化を防ぐ「最後の砦」REP Xの真価とは

  2. 【CheckmkKB】ユーザーテストを自動実行!アプリの体感をそのまま見える化

  3. WinSyslog 使い方ガイド#4 処理の必要がないログを絞り込んで「破棄」する

製品カテゴリー

その他の情報

TOP