2017/10/11

セキュリティ統計のブラック・スワン ~ ゼロデイマルウェア

2017 年 10 月 11 日 Teri Radichel 著

セキュリティにおける統計分析

セキュリティ統計に基づくリスクモデルの活用は、サイバー攻撃対策の有効かつ有用なアプローチです。多くの企業に影響を与えている攻撃のタイプがわかれば、自分の会社も次に標的になる可能性があると判断し、その攻撃から保護するための措置を講じることができます。ただし、過去の統計では不十分で、それによって誤解が生じる場合もあります。

zero-day black swan

Black Swan

ナシム・ニコラス・タレブ著の「Fooled by Randomness: The Hidden Role of Chance in Life and in the Markets(まぐれ ― 投資家はなぜ、運を実力と勘違いするのか)」は、この点に関する貴重な洞察を与えてくれる書物です。前著である「The Black Swan: Impact of the Highly Improbable(ブラック・スワン ― 不確実性とリスクの本質)」も読みましたが、どちらの本も、既知の事実、過去の統計、およびガウス分布(あるいは釣鐘曲線)だけに基づいて考えることに挑戦しています。

たとえば、この本で紹介されている、ある投資家は、自分で発見したパターンに従って投資し、巨額の富を得ました。残念ながら彼は、そのパターンに例外が存在する可能性を考慮しなかったために、市場の変化によって、富を失うことになりました。

1 冊目の本で言う「ブラック・スワン」は、ブラック・スワンを見たことがないからと言って、それが存在しないわけではないという考え方を表す言葉として使われています。誤った統計論理に基づく意思決定が非常に危険であるのは、不規則に発生する致命的な事象の方が、既知のリスクよりもはるかに甚大な被害につながることが多いためです。

セキュリティ分野の多くの人間は、そういった事象が発生する可能性を事前に認識し、実際に経験もしますが、エグゼクティブは、「ブラック・スワン」を見たことがないため、信じようとしません。つまり、サイバー攻撃やデータ漏えいのニュースが次々と報道されるようにならない限り、可能性を認識できません。最近は、そのような報道が続いているため、セキュリティ分野の人間がデータ漏えいの可能性を警告し、会社として対策を進言するのも難しくなくなりました。

従来型のセキュリティ製品でブロックできるのは既知の脅威だけである

一部のセキュリティテクノロジによる保護は、過去の統計情報に基づくものです。たとえば、従来型のウイルス対策製品は、すでに誰かを攻撃したことがあるソフトウェアをブロックします。セキュリティの専門家やツールは、ファイルが悪意ある実行可能ファイルであると判断すると、さまざまな既知の特性に基づいてマルウェアを識別する、ハッシュまたは「シグネチャ」と呼ばれる、マルウェアの簡易版コピーを作成します。従来型のウイルス対策製品や IPS(不正侵入防止システム)は、他のホストやネットワークのトラフィックの既知のハッシュやシグネチャと一致するファイルまたはパケットをブロックします。

シグネチャやハッシュは、既知の脅威のブロックには有効ですが、誰も見たことのない未知の攻撃、すなわち、ゼロデイマルウェアからの保護には役立ちません。どのマルウェアも、いずれかの段階では新しいマルウェアであり、以前に存在していたマルウェアがベースになっているものの、何らかの方法で改造されたために、マッチングやブロックで使われる既知の特性と一致しなくなる場合もあります。実行の過程で常に変化するポリモーフィックマルウェアである可能性もあります。従来型のセキュリティ製品が動作するマシンは、このようなマルウェアから保護されません。

それでは、シグネチャやハッシュの一致によって検知する伝統的なアプローチには意味がないのかと言えば、そうではありません。現在も、膨大なサイバーインシデントが既知のマルウェアや既知の脆弱性によって発生しています。ウォッチガードの第 2 四半期版インターネットセキュリティレポートでも、Gateway Antivirus サービスによって、お客様から報告されたマルウェアの 47% が検知されたと報告されています。シグネチャとハッシュは、既知のマルウェアを特定してブロックし、セキュリティシステムのパフォーマンス向上に役立つ、最も効率的な方法の 1 つです。

未知の脅威からの保護

システムやネットワークを未知の脅威からどのように保護できるのでしょうか。ウォッチガードは、次のようなセキュリティサービスを提供することで、シグネチャやハッシュに頼らない複数の異なる方法を使用する前の段階での、これまでに見つかったことのないマルウェアの特定を可能にしています。

  • WatchGuard APT Blockerは、行動分析によって、疑わしいファイルを特定します。疑わしいと判断されたファイルは、クラウドベースのサンドボックスに送信され、コードがエミュレーション、実行、分析されます
  • WatchGuard Gateway AntiVirus は、コードのエミュレーションによるシグネチャと動的ヒューリスティック解析(行動分析)を使用して、シグネチャでは捕捉できないポリモーフィックウイルスや不正コードを捕捉します
  • WatchGuard TDR(Threat Detection and Response)は、ツールの連携によって、Firebox アプライアンスと Host Sensor の脅威インジケータを相関付けることで、既知、未知、および回避型の脅威をブロックします
  • WatchGuard Dimension は、受賞歴を誇るセキュリティ監視ツールであり、ネットワークセキュリティの脅威、問題、および傾向の特定に役立つ可視性とレポート機能を提供します。これらの情報は、ネットワーク管理者が自社環境に固有のデータに基づいてセキュリティポリシーを作成する際に役立ちます

セキュリティサービスは有効にすることで初めて効果がある

ウォッチガードのこれらのツールスイートによって、未知および既知のマルウェアの特定が可能になりますが、ウォッチガードのお客様にとって最も重要なのは、Firebox とエンドポイントでこれらの異なるサービスを有効にすることです。ウォッチガードは、連携して機能する複数のサービスを提供することで高度な保護を可能にしますが、有効なサービスだけが動作します。マニュアルに記載されている手順に従い、必要であればウォッチガードのカスタマサポートにご連絡いただいて、利用できるすべての保護機能が有効になっていることをご確認ください。— Teri Radichel(@teriradichel)

カテゴリー: セキュリティニュース

カテゴリーから絞り込む

プレスリリース
ニュース
イベント&セミナー
セキュリティニュース

お困りのことはございませんか?

製品をみる 製品の購入方法を知りたい 評価機を借りたい カタログのダウンロード WatchGuard製品を初めて使用する 購入後のサポートを知りたい お問い合わせ