セキュリティ強化を考えているのであれば、プロセスの監視・隔離という考え方が大切です。
巧妙化された近年のマルウェアは、メールを受信した時やブラウザでリンクを開いた時には異常がなくても、アプリケーション起動の段階でマルウェア化するということがあります。そんな時に、アンチウイルス対策のみの場合には、どこで問題が起きたのか分からず、対策を講じている間に被害が拡大してしまいます。
このページでは、マルウェアによる被害を最小限に抑えるために絶対に知っておくべきプロセス監視と隔離について詳しく解説します。
ページコンテンツ
高まるプロセス監視の重要性
次世代のセキュリティ対策
近年、工場の制御システムのオープンソース化が進み、外部ネットワークと接続・運用されるケースも増えてきました。それに伴い、ウイルスやさまざまなサイバー攻撃などの脅威にさらされるようになったため、オフィスネットワークはもちろん、制御系のセキュリティ対策は不可欠な状況となっています。
しかし、従来のウイルス対策ソフトは過去情報をもとにマルウェアを判断するため、新しい脅威を防ぐことができないという欠点が指摘されていました。今や、1日に発見される新しいマルウェアは35万件とも言われており、一度マルウェアに感染してから対策を考えるのでは間に合わないのが現状です。
今の時代では事前に脅威を防ぐことはもちろん、プログラムの動作をプロセスレベルで監視・隔離できる防御態勢を整える必要性が高まっていると言えるでしょう。
「政府機関等の情報セキュリティ対策のための統一基準」でも、被害の未然防止と攻撃を受けた際の被害拡大防止の対策が検討されています。
参考:https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf
脆弱性から混乱を見せたWannaCry
2017年にはWindowsの脆弱性を狙った、WannaCry(ワナクライ)が世界規模で広がりました。WannaCryはランサムウェアの一種で、感染したパソコンのユーザーから身代金を奪おうとするウイルスですが、それまでのランサムウェアとは異なり、虫のようにパソコン内を自在に動き回るワーム型という特徴がありました。その特徴が、急速に被害を拡大させる原因となったと言われています。
これらのマルウェア感染は、何らかの事情で対策ソフトやOSを最新の状態にできなかった場合に標的となってしまいますが、こうした侵入を防ぐことのできなかった脅威に対しても、プロセス隔離を行うことで被害の拡大防止が期待できます。
プロセス監視・隔離の仕組み
プロセス監視・隔離のできる対策ソフトでは、ネットワークからの脅威を遮断するのではなく、PC内に入りこんでしまった場合でも脅威を防ぐことができるというメリットがあります。
具体的には、Webブラウザやメールのサーバ、業務で使うアプリケーションなど、各プロセスで不正な動きがないかをチェック・監視するのですが、監視する際に起動する全てのプロセスを閉じ込めるための隔離空間が作られます。これをコンテナ化と言います。コンテナ化することによって、ウイルス感染した場合でも、被害をコンテナ内のみにとどめることができるのです。
このような仕組みの対策ソフトの中でも特におすすめは、親プロセスから子プロセスを自動でプロセス監視してくれるセキュリティソフトです。子プロセスを起動するたびに新たなコンテナを作るのではなく、親プロセスがコンテナ内にあれば自動的に子プロセスにも、監視・隔離の設定が自動継承される、というものです。
例えば、メールを受信したらメーラーのプロセスを監視・隔離→メール本文のリンクをクリックしたらブラウザのプロセスも監視・隔離→ブラウザからPDFなどを起動したらアプリケーションのプロセスも監視・隔離と言った具合に、アプリケーションの起動前・起動後のどこでマルウェア化しても攻撃を阻止できるため非常に安全性が高いと言えます。
事前の対策方法と感染した時の対処方法
検知型とは違うエンドポイントセキュリティ対策
プロセス監視・隔離の重要性と、その仕組みについて解説してきましたがいかがでしたか?
セキュリティ対策として、従来の検知型のアンチウイルス対策だけでは脆弱であることがお分かりいただけたかと思います。これからはアンチウイルス対策に加え、エンドポイント=端末でもそれぞれのプロセスを監視・隔離し、被害の拡大を防ぐことが求められます。1人の感染が企業全体の感染につながり、大きな損害を生んでしまうこともあるので、一人ひとりが当事者意識を持った対策を考えていきましょう。