余計なものまでブロックせずにワークステーションを保護するには

脆弱性があるソフトウェア機能をブロックしておけば、攻撃対象領域を狭めることができます。しかし、業務プロセスに影響が出ない程度にソフトウェアの機能をブロックするには、どうすればいいのでしょうか。

サイバー犯罪者は、いかにしてワークステーションを攻撃するのか。方法はさまざまですが、一般的には、広く使われているプログラムに存在する脆弱性や、正規ソフトウェアに内在する、リスクとなる可能性を持つ機能の悪用が多く見られます。こうしてみると、そのようなソフトウェアの使用を制限するのが合理的な対策に思えるかもしれません。しかし、ソフトウェアをむやみに停止してしまうと業務に大きな支障が出る場合があります。業務に悪影響を与えることなく対策を講じるには?Kasperskyでは、機械学習のテクノロジーを活用したアダプティブアノマリーコントロールによって攻撃対象領域を縮小するアプローチを採用しています。

Microsoft Officeは、長年にわたり、悪用された脆弱性の数が最も多いという不名誉な立場に置かれてきました。Microsoft Officeがよくないという意味ではありません。脆弱性はどんなソフトウェアにも存在します。最も多くの利用者を抱えるMicrosoft Officeをサイバー犯罪者がターゲットにすることが多い、という話に過ぎません。あなたの勤め先がMicrosoft Officeに代わる製品を導入することにし、コストをかけて社員にトレーニングを受けさせたとしても、新しく採用した製品が広く使われるようになれば、悪用されるソフトウェア第1位の座をMicrosoft Officeから奪うことになるでしょう。

明らかにリスクとなる機能を有する製品もあります。たとえばMicrosoft Officeのマクロは、悪意あるコードの実行に使われることがあります。しかし、Microsoft Officeの使用を全面的に禁止するのは現実的ではありません。金融アナリストや会計担当者は、Microsoft Officeを日常的に使用しています。

課題となるのは、そうしたプログラムを何らかの方法で常に注意深く監視し、異常なアクティビティが検知された場合に限って介入するようにすることです。しかし、1つ問題があります。それは「何をもって異常と判断するか」です。

「異常」をどう定義づけるか

サイバー犯罪活動の本質は、正常なアクティビティであるかのように見せかけるところにあります。では、サイバーセキュリティシステムは、社員宛てのメールに添付されているのがマクロを含む重要なドキュメントなのか、それともトロイの木馬なのか、どのように判断するのでしょうか。.jsファイルの送り主は、業務目的でファイルを送ってきたのでしょうか、それともファイルにウイルスが仕込まれているのでしょうか。

社員一人一人の業務を手動で分析し、業務に必要なツールと不要なツールを見極め、その情報に基づいて脅威モデルを構築して特定のプログラム機能をブロックすることは、少なくとも理論上は可能です。

しかし、簡単なことではありません。社員ごとに正確なモデルを構築するのは、企業の規模が大きいほど困難です。たとえ小規模な企業であっても、手動で構築するとなると、管理者は多大な時間と労力を費やさなければなりません。さらには、企業のインフラやツールが変更されるたびに、この作業を繰り返すことになります。

管理者やITセキュリティ担当者が正気を失わないでいるためには、制限を構築するプロセスを自動化するしかありません。

適応制御

当社では、次のように自動化プロセスを実装しました。まず、機械学習の原理をベースに構築されたシステムが、当社の脅威データベースを徹底的に調査し、悪意ある動作の可能性がある標準パターンを生成。これら標準パターンを、各ワークステーションで正確にブロックするようにしました。

続いて、利用者のアクティビティを分析し、どのルールを適用するか、またどのような動作が通常業務を妨げるのかを判断する自動適応(スマート)モードを作成しました。その仕組みは次のとおりです。システムはまず、学習モードで一定の時間、制御ルールの発動に関する統計情報を収集し、利用者またはグループの通常動作モデル(正規のシナリオ)を作成します。その後、学習モードは無効になり、異常な動作をブロックした制御ルールだけが有効になります。

利用者の業務モデルが変更された場合、システムは学習モードに戻り、新しいシナリオに適応します。さらに、除外する動作を追加する必要が出てきた場合に備えて、細かい調整用のオプションが用意されています。

あらゆる問題を解決するというわけにはいきませんが、攻撃対象となり得る範囲をかなり狭めることができます。

アダプティブアノマリーコントロール(Adaptive Anomaly Control:AAC)モジュールは、最新のKaspersky Endpoint Security for Business Advancedに搭載されています。評価版をご希望の場合は、下のバナーをクリックしてお申し込みください。

ヒント