こんにちは、村木ゆりかです。
マイクロソフト社では、100 以上の国に約 15 万人の社員が在籍し、社内 IT 環境 (Microsoft IT) では、約 60 万台のデバイスが利用されています。社内 IT 環境では、最先端のソフトウェアや技術が利用されており、物理的にも IT システム的にも最新のセキュリティ対策が施されています。
そんな最新の社内環境ゆえに、「マイクロソフトは、ウイルスになんて感染しないでしょ?」と聞かれることがあります。
いいえ、そんなことはありません。実は、2015 年下半期、社内環境では、約 200 万件のウイルスを検出し、41 件の感染を確認しています。
マイクロソフトのマルウェア感染状況
マイクロソフト社内 IT 環境では、社内ネットワークに接続するすべてのデバイスは、リアルタイム監視が動作しているマルウェア対策ソフト (ウイルス対策ソフト) が、6 日以内の定義ファイルを持っている最新のソフトウェア バージョンで稼働している必要があります。Windows 8 以降に無償で付属している Windows Defender か、System Center Endpoint Protection 2012 (SCEP) がマルウェア対策ソフトとして利用されています。(なお、Windows Defender も SCEP も定義ファイルやエンジンは同じです) 2015 年下半期 (7 月から 12 月) では、月の平均で約 98% のデバイスがこのポリシーに準拠しています。
ウイルスをはじめとした悪意のあるソフトウェア (マルウェア) に対する感染に関しては、まず、2015 年下半期では約 200 万件のマルウェアの検出報告がありました。これは、すでに定義ファイルにて検出可能な既知のマルウェアが検出され、ブロックされている件数です。
このほかに、定義ファイルにはまだ反映されていない新種のマルウェアがあります。この場合、マルウェアが端末に初めて侵入した際には、検出されず、後日、定義ファイルが更新された後で定期スキャンなどのタイミングで検出されます。このようなケースは、2015 年下半期で、41 件の感染がありました。このような感染ケースでは、マルウェア対策ソフトのリアルタイム保護などで「怪しい動作」としてブロックされたり、そのほかの Windows の緩和機能や Windows Defender Advanced Threat Protection のような侵入検知システムなどで脅威をブロックしたりしています。
2015 年 7 月~ 12 月 における種類別感染数
2015 年 7 月~ 12 月 におけるファイル種別感染数
マルウェア対策だけに偏らない多層防御
マルウェア感染をゼロにできないのなら、対策ソフトは意味がないーーそんなことは決してありません。マルウェア対策ソフトは、デバイスへの侵入を防ぐ最初の砦として大きな役割を果たしています。また、検出とともにマルウェアの駆除を行う重要な役割を担っています。事実、マイクロソフトの社内 IT 環境の例でも 約 200 万件は、既知のマルウェアであり、マルウェア対策ソフトがきちんと実行されているおかげで侵入を防ぐことができています。
一方で、巧妙化する攻撃では、あらかじめ攻撃者はマルウェア対策ソフトによる検出を回避するように設定したうえで攻撃を仕掛けるため、マルウェア対策ソフトの技術では防ぎきれないのも事実です。それが、マイクロソフト環境における 41 件の感染事例です。
効率よく対策をおこなうためには、マルウェア対策ソフトの実行状況と効果を理解し、そのうえで、未知のウイルス感染による侵入が発生することを前提として、セキュリティ対策を「多層」にすることが重要です。マイクロソフトでは、この 41 件の感染事例がどのようにして起きたのか、どのようにすれば感染によって引き起こされる被害を防ぐことができるのかを分析し、多層防御に取り入れています。マイクロソフト社内 IT 環境で実行している多層のセキュリティ対策の一例としては、以下のようなものがあります:
-
利用するソフトウェアは、最新のバージョンを利用し、セキュリティ更新プログラムを適用し、最新の状態に保つ
-
マイクロソフト製品、非マイクロソフト製品すべて最新の状態に保つ
-
Active Directory でユーザーおよびデバイスを一元管理し、グループ ポリシー、Intune を利用して、更新プログラムの適用、ファイアウォールや SmartScreen などのセキュリティ機能を有効化する
-
マルウェア対策ソフトを実行する
- Windows 10 の Windows Defender Cloud Protection を有効にし、より最新の定義ファイルをリアルタイムで入手できるように設定する
-
侵入検出システムを利用する
- Windows Defender Advanced Threat Protection (Windows 10) を利用し、マルウェア対策ソフトでは検出しない脅威をいち早く検出し対応する
-
攻撃の糸口となりうる問題を含む技術の利用 (Java, Flash など) の必要性を検討し、利用を最小限にする
-
AppLocker を利用し、Peer-to-Peer (P2P) ソフトやそのほかの好ましくないソフトウェアのインストールを禁止する
-
重要なシステムには、脆弱性緩和ツール (Enhanced Mitigation Experience Toolkit (EMET)) を適用し、未知の脆弱性攻撃手法を緩和する
-
強力なパスワード ポリシーを実装するだけではなく、多要素認証、スマートカードによる認証も必要に応じて実装し、資格情報の保護を行う
-
Windows Management Framework 5.0 で PowerShell v 5 のセキュリティ機能を有効にする
- Script Block Logging
- System-Wide Transcripts
- Constrained PowerShell
- Anti-malware integration (AMSI)
単に「ゼロ」を目指さないセキュリティ対策
マイクロソフトの社内 IT 環境におけるセキュリティ対策のゴールは、マルウェアが添付されているかもしれない標的型メールの開封率をゼロにしたり、マルウェア対策ソフトの稼働率を 100% にしてウイルス感染率ゼロにしたりすることではありません。
たとえば、2015 年下半期では、月の平均で約 98% のデバイスがマルウェア対策ソフトを最新の状態で稼働させていますが、60 万台を抱える組織で、常に 100% を目指すのは、コストや現実的な運用を鑑みると実現不可能です。ある程度のユーザー (Microsoft IT でいえば 2% ぐらい) は準拠していないデバイスを保持している可能性として認識し、それによるリスクを多層防御により軽減することを目指しています。
攻撃者のゴールは、マルウェアに感染させることではなく、マルウェアなどの方法を利用して、情報を盗み、金銭を得ることにあります。ですから、私たち防御側のゴールも、攻撃者のゴールを達成させない、すなわち、セキュリティ侵害による情報漏えいを可能な限り防ぎ、また、実際に侵害にあった際には被害を最小限にすることにあります。
このためには、マルウェア対策がどの程度効果をなしているのか、基本的な対策をきちんと行うことでの効果を図り、必要な侵入を前提とした対策を計画することが重要です。マイクロソフトでは、マルウェア対策だけに絞ったり、それぞれの対策に画一的な数値目標をもつのではなく、全体的な運用と対策を俯瞰して現実的な目標を見定め、分析をし、定期的に見直しを図ることで、対策をすることが重要だと考えています。
今回ご紹介したマイクロソフト社内におけるマルウェア感染状況は、「セキュリティ インテリジェンス レポート」でご紹介しています。ぜひご一読いただき、皆さまの IT 管理の参考にしていただければ幸いです。