敵は内部にもあり！ エンドポイントセキュリティの果たす役割：特集：セキュリティソリューションマップ（2）（1/2 ページ）

　標的型攻撃をはじめとするさまざまなサイバー攻撃を経験するにつれ、「何か1つのソリューションで侵入を防ぐことは困難である」という事実が明らかになってきた。そこで浮上しているのが「多層防御」の重要性だ。インターネットとの境界、システムの内側、端末やサーバ……と、多段で対策を講じることにより、仮に一つの防御が突破されても、他の手段で食い止め、被害を最小化できるという考え方だ。

　今回は、その多層防御を構成する要素のうち、エンドユーザーが利用するPCやサーバを保護する「エンドポイントセキュリティ」をはじめとする内部対策について紹介する。

内部対策を実施していれば、七匹の子山羊は助かった？

　童話の「オオカミと七匹の子山羊」をご存じの方も多いだろう。家の扉をしっかり閉じて留守番をしていた子山羊たちを食べようと、オオカミがあの手この手で繰り返し侵入を試みる。試行錯誤の末、オオカミは母親へのなりすましに成功し、表口から突破して子山羊たちを丸呑みにしてしまう。助かったのは、柱時計という別の防御システムに潜り込むことのできた末の子山羊だけだった、というストーリーだ。

　最終的にはハッピーエンドとなるこの童話は、標的型攻撃に対する内部対策の有効性を考える上でも示唆に富んでいる。攻撃者（＝オオカミ）は、ユーザー（＝子山羊）自身に招き入れさせようと試みる。一度、二度なら入口でオオカミを検知し、侵入を防げるかもしれないが、向こうも知恵を働かせ、手を変え、品を変え、繰り返し攻撃してくる。残念ながら100％防ぐことは困難なのだ。

　仮に入口から入られてしまっても、子山羊たちがそれぞれ区切られた個室にこもって鍵をかけていたならば、被害はもっと減っていたかもしれない。また、ややこじつけっぽいが、子山羊たちがオオカミの攻撃に対する脆弱さのない、攻撃に対する耐性を備えていれば、やはり被害は防げたのではないだろうか。

　このように、境界型防御によって侵入を防ぐとともに、システムを構成するコンポーネントそれぞれの守りを固め、内部での被害拡散を防ぐ取り組みも重要だ。以下では、そのために提供されているソリューションと技術を紹介していこう。

システム設計、ネットワーク設計段階でできる対策も

　ただ、その前に考慮すべきポイントがある。脅威の拡散を防ぐには、端末やサーバにセキュリティ製品を導入することも重要だが、ネットワーク設計や権限管理、アカウント管理といったシステムの根本的な部分でやっておくべきことも多々ある。人によっては当たり前と思われるだろうが、例えば、

• 重要な業務を行うネットワークセグメントと、通常業務のためのネットワークセグメントを分離し、セグメント間の通信は最小限にのサービスのみとするようアクセス制限を行う
• ファイルサーバなどで提供するサービスの提供範囲を、必要最小限にとどめる
• 各クライアントPCやサーバで利用するアカウントの権限を最小化する
• 管理者権限のアカウントを共通のものとしない

といった事柄が挙げられるだろう。また、次回の「インシデント対応」でも触れるが、ログの収集とモニタリングの仕組みも必要だ。

　なお、侵入は起こり得ることを前提としたシステム設計については、情報処理推進機構（IPA）が公開している以下の資料が参考になる。では次のページで、具体的な技術やソリューションを見ていこう。