情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第2回は「エンドポイントセキュリティ」です。

著者プロフィール

前田 典彦(まえだ のりひこ)
カスペルスキー 情報セキュリティラボ チーフセキュリティ
エヴァンゲリスト

マルウェアを中心としたインターネット上の様々な脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事

エンドポイントセキュリティとは

前回は、アンチウイルスソフトの仕組みについて解説しました。今回は、アンチウイルスをネットワーク、あるいはシステム上のどこに配置できるのかという点を考察します。

これを語る上で重要な用語として、エンドポイント(endpoint)があります。

エンドポイントは、文字通り「終端」「終点」という意味です。ネットワーク・システム上の終端は、一般的にはPC端末と捉えられがちですが、ウイルス対策におけるエンドポイントは「ウイルスが到達するところ」。つまり、攻撃者がウイルスに感染させる場所と考えるのが妥当です。したがって、PC端末のみがエンドポイントであるとは限りません。

ただし、大半のウイルスは、PC端末上で動作するよう設計されています。マルウェア製作者=攻撃者の意図が、ここに表れていると言って良いでしょう。

また、OSという切り口で見ると、その感染・攻撃対象の大半はWindowsですが、Mac OSやAndroidも対象です。さらに、ウイルスの種類は少ないですが、iOSやLinuxも例外ではありません。

そして、端末というとデスクトップやノートPCを連想しがちですが、ここで説明する"エンドポイント"には、スマートフォンやタブレット、サーバーも含みます。

ウイルスが、こうしたエンドポイントや端末へ到達する前に、それを検知する技術や製品があります。

メールサーバー用のウイルス対策やWeb通信を中継するプロキシサーバーと連携するウイルス対策、あるいはサンドボックス機能を搭載するファイアウォールといった製品群です。

サンドボックス機能搭載型ファイアウォールを称する製品群の多くは、エンドポイントとインターネットとの間に物理的、または論理的に配置されています。ウイルスがエンドポイントに到達する前に、製品内の仮想環境でプログラムを実行し、その動作を元にウイルスの判定を行います。万が一、エンドポイントが感染してしまった場合でも、ウイルスが行う攻撃者との通信を検出して、それを止めるという手法もあります。

ここで発生する通信の多くは、攻撃者が感染端末の遠隔操作や攻撃ツールのインストール、窃取データの保管などに利用する攻撃指令サーバー(C&Cサーバー)との間で発生します。

ここで注意したい点がいくつかあります。

メールサーバー用のウイルス対策やプロキシサーバー連携型(製品によってはサーバーと一体型)のウイルス対策は、パターンマッチングやそれを基礎にしたヒューリスティック検知といった、比較的古典的なウイルス検知手法がメインです。

サンドボックス機能搭載型ファイアウォールは、仮想環境を搭載するため、製品のリソースが大きくなり、配置に苦慮することもあります。また、仮想環境内での実行を検出するウイルス側の(悪い意味での)技術進歩に対抗し続ける必要もあります。

例えば仮想環境であることをウイルス自身が検出するケースがあり、その場合、ウイルスとしての動作を行わないという"検知回避技術"を実装するウイルスも少なくありません。

エンドポイント上での対策としては、アンチウイルスの導入が最も普及しています。アンチウイルス自身が持つ検知機構については、前回の解説を参照していただくとして、エンドポイントで動作するアンチウイルスの最大の利点は、ウイルスが動作する環境そのもので精査できるということでしょう。

多重防御や多層防御という言い回しが、製品・ソリューション紹介などでよく使用されます。これは、エンドポイントのセキュリティ以外でも、セキュリティソリューションの導入を勧める場面で使われることが多いようです。

しかし、アンチウイルス自体もウイルスを検知する手法として、多重・多層の機能を内部に備えていることを忘れてはなりません。

防御に100パーセントはあり得ませんが、少なくとも、仮想環境での検知を備えていれば従来型の検知手法は不要ということにはなりません。また、エンドポイント到達前に検知できる製品を導入したからと言って、エンドポイントのセキュリティが不要ということにもなりません。

それぞれの利点と不得意点を理解し、補完できるものとして捉えることが妥当でしょう。

次回は、今回解説したエンドポイントセキュリティの第三者的評価について解説します。