やさしいエンドポイントセキュリティの話

こんにちは
ALTER TABLE 人生 DROP COLUMN 責任;
システムソリューション部のかわです。

今年も残すところもう少しですね。
少し前ですが、IPAにて情報セキュリティ白書2024が発行されました。
https://www.ipa.go.jp/publish/wp-security/2024.html

生成AIの台頭もあってか、特に今年は複雑化というか、ランサムウェアや巧妙な日本語のフィッシングが増加したようです。
企業としても個人としても、一層セキュリティにおけるリテラシー向上が求められる時代になってきた感があります。

本記事では、セキュリティの基本と言えるエンドポイントセキュリティ製品について解説します。

エンドポイントセキュリティとは

エンドポイントセキュリティとは、言葉どおりエンドポイント、すなわちPCやスマートフォン等のデバイスにインストールし、
マルウェア等の危険からデバイスを保護するソフトです。
※エンドポイントプロテクションとも表現します。他にもアンチウイルスソフトなど幅広い呼ばれ方をしますが、大抵同じ製品を指します。

基本的な機能について

時代とともに機能面はどんどんアップグレードされていますが、基本的な考え方や挙動は同じです。
一般的にはデバイス内をスキャンし、危険性があると見做されたファイルを検知、デバイスを守るために同ファイルの隔離や駆除を行います。
ソフトウェアベンダは海外製品を含めると星の数ほど存在しますが、基本的には上記の挙動を取ります。
昨今はAIやサンドボックス機能を搭載していたり、全く別の付加価値を持たせていたりと、差別化を図ろうとしているのが見て取れるようになってきました。

スキャン機能

PC内に存在するファイルを横断してスキャンし、危険性がないかを調査します。
大抵はユーザ設定によってファイルを隔離、駆除等が選択できます。
スキャンにはPC等の負荷を考慮し、色々な挙動があります。

【スケジュールスキャン】
特定周期や曜日、時間等の決まった日時にスキャンをかける方法です。
ユーザがデバイスを操作していないタイミングで実施できるので、日常業務に支障が出にくいです。

【リアルタイムスキャン】
文字通り、ファイル操作を追いかけるようにリアルタイムにデバイス内のファイルを調査します。
よくある挙動として、ファイルごとのユニークなハッシュ値をリスト化することによって、変更が加えられた場合の差分を確認する方法があります。
定時スキャンに比べ即時性がありますが、常時プロセスが動作するため、デバイス負荷に繋がりやすいです。

【フルスキャン/クイックスキャン】
デバイス全体か、一部ファイルの出入りの多い/不審なファイルが入り込みやすいディレクトリのみを検査する方法です。
フルスキャンは時間がかかりますが確実です。使い方にもよりますが、普段はクイックスキャン、月一などでフルスキャンを行うような運用が一般的かと思います。
他にもユーザ設定で特定ディレクトリのみを検査する方法もあります。

検知の仕組みについて

スキャンした際の検知の仕組みはソフトによって様々ですが、最も一般的なのがスタティック（静的）な検査です。
世間で広く認知されているマルウェアの大抵は、各ベンダなどで検体が収集されています。
ファイルはハッシュ値というユニークな文字列を持っており、基本的にはその値を照合して該当のファイルと判定されます。
参照：https://www.trendmicro.com/vinfo/jp/security/definition/hash-values

この機能はよく「シグネチャファイル」「パターンファイル」「定義ファイル」と呼ばれ、しばしば指名手配リストと例えられます。
リストは日々更新されており、ベンダによっては数時間ごとに更新というケースもあるため、新しいマルウェアへの対応も迅速に行われます。
ただ、昨今はこのリストに合致しないようなファイルが出回るケースが増えており、パターンファイルだけでは対処しきれず被害に合う事例も増加しています。

サンドボックス機能について

そこで考案されたのがサンドボックス機能です。
日本語では砂場を指しますが、これは仮想メモリ上でマルウェアの可能性のあるファイルを実行し、不審な挙動を取った場合に駆除等を行う機能です。
挙動を見ることから、振る舞い検知とも呼ばれます。
（公園の砂場あそびのようなイメージから名付けられたようですね）
最近はビッグデータやAI機能を搭載し、サンドボックスの精度を上げる技術も他との差別化を図った製品を見ることがあります。

誤検知について

この手の製品でよくあるのが誤検知（False Positive）です。
例えばオフィス系のドキュメントファイルでマクロを組んでいたりすると、怪しい動きと誤って認識され隔離/駆除されてしまうことがあります。
この動きに対してはファイルを例外登録したり、ファイル保存先ディレクトリそのものを例外として許可する方法が取れます。

EDR製品について

また、少し毛色は違うものの近しい製品として、EDR（Endpoint Detection and Response）というものがあります。
EDR製品は、ファイルダウンロード時等に検知/駆除を行うEPP（Endpoint Protection Platform ≒エンドポイントセキュリティ）と比べ、事後対策の製品です。
例えばマルウェア感染後、PCの状態をロールバック（感染前の状態に切り戻す）したりといった、デバイスを復元させる機能がメインとなります。

エンドポイント製品の重要性

IPA白書にもあるように、近年はランサムウェアの台頭が顕著です。また、一時期よりは下火にはなっているものの、未だにEmotetの動きも引き続き活発です。
参考：https://www.ipa.go.jp/security/emotet/index.html
考え方としては色々なレイヤで防ぐ多層防御が基本ですが、まずはエンドポイントセキュリティ製品を導入するのが第一歩だと思います。

完