このセキュリティコラムは、情報セキュリティに関する疑問や課題について専門家以外の方にもわかりやすく説明していくことを目的としています。第4回目は、「ウイルス対策ソフトだけでは足りないの？」がテーマです。

第3回目「訓練、演習の重要性（結局は人）」で触れたように昨今のセキュリティ対策は、従来のファイヤウォールやウイルス対策ソフトに加え、第2回目「ウェブサイトを守れていますか？」で説明したWAF、サンドボックス、EDR（エンドポイント・ディテクション・アンド・レスポンス）など多種多様になってきており、技術的な対策が飛躍的に進歩してきています。

こうした技術の進歩に伴い、従来からセキュリティ対策の中心であったウイルス対策ソフトはたびたび「時代遅れ」「不要」と言われることも珍しくありません。私は、大部分の脅威を特定し、防御してくれるウイルス対策ソフトが時代遅れや不要であるとは考えません。とはいえ、それだけでは十分でないことは間違いありません。
ここからは、何故ウイルス対策ソフトだけでは足りないのかについて説明していきます。

なお、ウイルス対策ソフトは人によって捉え方が様々だと思いますので、ここではコンピューターウイルスを検出するための一般的な技術であるパターンマッチング＊1だけでなく、ヒューリスティック＊2やレピュテーション＊3といった様々な検知技術が統合された現在の一般的な商用ウイルス対策ソフトと定義します。

＊1：パターンマッチングとは、コンピューターウイルスを検出するための一般的な技術です。この技術では、不正プログラムから不正なコードの特徴的な部分を抜き出しデータベースにします。パターンマッチングのメリットは、高い精度で不正プログラムの検出が可能なことです。特にネットワーク内の不正プログラムを一斉に検知し適切な対応を行うことができます。一方デメリットは、未入手の不正プログラムやそれら亜種の検知が困難なことです。

＊2：ヒューリスティックとは、パターンマッチングの短所を補う方式として研究開発されました。経験則に基づいたルールを適用してプログラムの実行内容が不正かどうかを判定します。パターンマッチングでは、ファイル内のプログラムコードに着目しますが、ヒューリスティックではプログラムの挙動に着目しています。パターンレスと呼ばれるものやサンドボックス技術もこれに含まれます。

＊3：レピュテーションとは、評判、評価という意味です。迷惑メールやウイルスには、送信元に共通点があることが多いことから、その特徴をとらえて通信相手のサーバーを評価して不正かどうかの判断を行い、通信を制限する技術です。

サイバー攻撃の一連の流れを知り、自社が導入している製品の充実度を確認するのに有効な情報としては、脆弱性の識別番号である「CVE-ID」を管理していることでも知られているMITER（マイター）社が公開している「ATT&CK™（アタック）」＊4と照らし合せて見るといいでしょう。「ATT&CK™」は、サイバー攻撃についての12の戦略とEnterpriseにおける266の手法を体系化しています（2019年12月現在）。

例えば、「ATT&CK™」の戦略のうち、「Spearphishing Attachment」（添付ファイルを使ったスピアフィッシング）や「Spearphishing Link」（リンクを使ったスピアフィッシング）といった手法は、標的型攻撃の発端である標的型メールによる攻撃手法に当たりますが、主にウイルス対策ソフトがフォーカスしています。また、「Lateral Movement」（横展開、水平展開）による拡散を狙って、Windowsの管理共有を使った「Windows Admin Shares」などの手法は、主に攻撃者が侵入後に実行する攻撃の流れとして代表的なものです。

「ATT&CK™」等の指針を参照してサイバー攻撃の手法や手順の分析を行うことで、不審な挙動を検知した後に適切な対処を講じるなどの運用に役立てることができます。一方で、専任のセキュリティエンジニアがいなかったり、サイバー攻撃の対処に精通していなかったりする企業・組織の場合、せっかくEDRが不審な挙動を検知したとしても、適切に対処することが難しく、高額のコストを掛けて支援サービスを導入する必要があるなどの管理面での課題が残ります。

＊4：MITER 「ATT&CK™」 https://attack.mitre.org

これまで、既存のフレームワークを参照してサイバー攻撃の対策手法やサイバー攻撃の一連の流れを理解することで、サイバー攻撃の侵入前・侵入後の対策をバランスよく講ずるための方法などについて述べてきました。

『SOMPO CYBER SECURITY』では、侵入前対策と侵入後対策を幅広く取り扱っています。

侵入前対策としては、ディープラーニングを世界で初めてセキュリティに取り入れてゼロデイ脅威などに対する卓越した検知率を発揮する次世代型ウイルス対策ソフトである『DEEP INSTINCT』をご提供しています。この商品は、SaaS型（クラウド型）サービスとして提供されており、導入が容易であり、かつ、運用負荷が低いという特長があります。

また、侵入後対策としては、ウイルス対策ソフトでは防ぐことができずに侵入してきたウイルス感染による脅威を早期に検知し、緊急アラートメールで利用者に通知・駆除する中堅・中小企業向けパソコン監視・分析サービス『SOMPO SHERIFF』をご提供しています。この商品は、クラウド上のデータ解析システムと専門のセキュリティエンジニアによる不正プログラムの調査・分析・駆除対応をリーズナブルな導入コストで実現します。また、この商品には、専用に開発されたサイバー保険が自動付帯されており、分析・駆除費用の追加負担が一定範囲内で不要になりますので、ユーザーにとっては更なる安心を得ることができるといえるでしょう。

お客さまの予算や現在の対策状況などを踏まえて、どのように対策を講じていけば良いのかなどのセキュリティ対策支援などのご相談にも応じることができますので、これを機会にサイバー攻撃の一連の流れを踏まえた対策をご検討いただくことをお勧めいたします。

『DEEP INSTINCT™』の概要は、こちらをご参照ください。

『SOMPO SHERIFF』の概要は、こちらをご参照ください。