昨今、セキュリティを高めることが会社の一つの宿命と言っても過言ではありません。
情報漏洩などのリスクは会社の社会的信頼性を損なうだけでなく、会社を倒産させてしまう可能性を持っています。
もちろん会社だけでなく個人としてもセキュリティの知識を高めることは、現代社会ではとても重要なことだと言わせてください!
ちなみにセキュリティソフトは色々言い方があります。
- セキュリティソフト
- 不正プログラム対策ソフト
- アンチウイルスソフト
などなど。
他にも言い方はあるかもしれませんが、この記事ではセキュリティソフトとします。
セキュリティソフトとは!?
パソコンを使っている方でセキュリティソフトを知らない方は少ないかと思います。
あとは知らなくても知らず知らずのうちに使っているということも十分にあります。
有名なところだと、SymantecのNortonやTorendMicroのウイルスバスターなどでしょうか!?
聞いたことあるよ!という方も多いのではないでしょうか!
このセキュリティソフトが果たす役割とは何でしょう!?
それはエンドポイント(パソコンやスマートフォン)に攻撃してくるウイルスを検知して駆除する役割です。
こういう製品をEDR製品といいます。
EDR・・・ Endpoint Detection and Response (エンドポイントでの検出と対応)
仕組みとしては、
パターンファイルによるパターンマッチングです。
例えばダウンロードしたデータにウイルスが仕込んであったとしましょう。
ダウンロードしたときに一度ウイルススキャンがセキュリティソフトの機能で実行されます。
この時セキュリティソフトがパターンファイルとデータを照らし合わせて、そこで引っかかれば無事検出されるという仕組みです。
EDR製品の課題
EDR製品にはいくつか課題があります。
- 新しいウイルスにはあまり効果的ではない
- インターネット環境が必要になる
- パソコンの動作が遅くなる
順に説明していきます。
①「新しいウイルスにはあまり効果的ではない」
ウイルスは既存の亜種を含めると1日に数万ほど生まれているといわれています。
一日で数万も生まれているのに既存のウイルスしか検知できないパターンマッチングは完璧なウイルス対策ではないといえます。
②インターネット環境が必要になる
パターンファイルは、セキュリティソフトが定期的に自動で公式のパターンファイルダウンロードサイトへダウンロードしに行きます。
そのため最新のパターンファイルをダウンロードするためには、インターネット環境が必須となるわけです。
会社で使われるセキュリティソフトはサーバを立てて、そのサーバにパターンファイルをダウンロードしに行くように設計することもあります。
各端末が公式のパターンファイルダウンロードサイトへダウンロードしに行くのはネットワーク的にも負荷がかかりますし、
インターネット接続させたくない端末がいる場合などもあります。
そのため会社の環境ではパターンファイルダウンロード用のサーバを立てることが一般的です。
※更に言うと、各セキュリティソフトを一元管理するための管理用サーバを立てて管理するというのも一般的です。
③パソコンの動作が遅くなる
パソコンを起動していると目には見えませんが、バックグラウンドでセキュリティソフトがガンガン動いていることがあります。
パターンファイルをダウンロードしているときや、保管されている全てのファイルにウイルスがいないかスキャンしているときなどです。
低スペックのパソコンでは特にその動きが顕著で、全然動かなくなってしまうことも、、、
新しい形のウイルス対策、その名もNGAV
最近聞くことが増えましたNGAV製品
NGAV・・・Next Generation Anti-Virus
とてもかっこいい響きに感じますが、
簡単に説明するとAIなどの機会学習を使って未知のウイルスを見つけましょう!
という製品です。
「ウイルスっぽいなぁこのファイル~」
とNGAV製品が判断して、管理者にウイルスですよ!!
とパターンファイルを使用せずにウイルスを見つけてくれます。
NGAV製品の課題
EDR製品の課題を克服したようにも見えますが、意外とそうでもないかもしれません。
- 誤検知が多い
- 隔離や削除をしてくれないこともある
①誤検知が多い
この手の製品は誤検知が多いです、、、
そもそもふるまい検知的な検知手法を取っている製品は、確実にウイルスだけを検出してくれるわけではありません。
もちろんこれはパターンファイルでも判断できないウイルスに対しても有効なのでメリットもありますが、デメリットもあるということですね。
誤検知かどうか確かめるために確認したり、メーカに問い合わせたりなど運用負荷が上がってしまうという本末転倒な製品でもあるんですね。。。
ただAIの技術が今後さらに発展していけばこの誤検知は限りなくゼロに近づいていくはずなのでこれからに期待ですね!!
②隔離や削除をしてくれないこともある
これは結構びっくりしましたが、
「ウイルスっぽいですよ!!」と管理者に伝えるだけの製品もあります。
もちろんこれはすごいところもあって、
どの端末からどの様な情報がどこに対して持ち出されたのか!?といったことまでわかる製品もあります。
そのため管理者はその経路から、
事前にそのサーバをネットワーク的に的に隔離したりなどして感染拡大を防ぐ必要があります。
まとめ:一概にセキュリティソフトと言っても一長一短。様々な製品を知ろう!
セキュリティソフトは常に進化し続け、常に各ベンダーから新しい製品が展開されます。
バージョンが上がるごとに新しい機能が増えたりと、現場としては常に勉強が求められる分野の一つです。
その分奥が深く、様々な製品を知る必要があります。
様々な製品を知っていく中で製品の特長などを捉え、適切な設計ができるようになるのです!
私の意見を言わせていただくと、初心者だからこそぜひセキュリティの知識を深めるべきだと思います!
どこまでをファイアウォールで守ってどこからをセキュリティソフトでカバーするのか!?
UTMはこのネットワークとネットワークの間に必要なのかなど、
セキュリティを知ることでほかの分野に対する知識も深まっていくのです。
今後はこのブログで各セキュリティソフトの特徴なども記事にできたらなと思います!
それでは!
コメント