松田 幸裕 記
前回の投稿「「情報セキュリティ白書 2023」から今を読む ~セキュリティは経営層が関与すべき課題なのか?~」では、7月にIPA(情報処理推進機構)より公開された「情報セキュリティ白書 2023」について、経営層によるセキュリティへの関与における課題に触れました。本投稿では別の視点で、エンドポイントセキュリティ対策の現状について考えてみたいと思います。
ウイルス対策ソフトの効果はこんなにも小さいのか!?
グラフが載っているわけでなく、さらっと書かれていたため見逃しそうになりましたが、以下のような説明があり、個人的に衝撃を受けました。
「ウイルス対策ソフトを導入していた被害企業・団体等118 件のうち、ランサムウェアが検出できたのはわずか7.6%(9 件)であった。」
どのようなタイプのウイルス対策ソフトが使われていたのかはわかりませんが、一般的に企業で導入しているウイルス対策ソフトは、もはや無力と言えるレベルになってしまっているようです。気になったため、この情報源である警察庁の「令和4 年におけるサイバー空間をめぐる脅威の情勢等について」を確認してみました。
企業・団体等におけるランサムウェア被害及びその実態
上記の資料に、被害を受けた企業の実態を示すいくつかのグラフが載っていました。個人的に気になった事実を以下にピックアップします。
- ランサムウェアの感染経路においては、VPN機器からの侵入が62%を占める。
図:ランサムウェアの感染経路
- 侵入経路とされる機器のセキュリティパッチの適用状況では、最新のセキュリティパッチを適用済みなのは29%。
図:侵入経路とされる機器のセキュリティパッチの適用状況
- ウイルス対策ソフトを導入していた企業のうち、ランサムウェアを検出できたのはわずか8%。(情報セキュリティ白書に記載されていた内容)
図:被害企業・団体等のウイルス対策ソフトの検出有無
- バックアップを利用して復元できなかった理由として、「暗号化された」が最も多く、割合は72%。
図:被害企業・団体のバックアップを利用して復元できなかった理由
ウイルス対策ソフトの効果はわかりづらくなっている
一昔前は、AV-Comparatives、AV-TEST、VirusBulletinなどの評価機関の結果を参考にして、「このウイルス対策ソフトは評価が高いため、導入しよう」というような判断をしていました。しかし、現状ではそれが難しくなっているようです。
例えば「AV-Comparatives, AV-TESTなどの評価機関について / PC Matic FAQ」のようなページにも書かれていますが、セキュリティ企業が評価機関の顧客という関係であること、主に既知のマルウェア検知能力を評価していること、これらによって各社共に高い評価を得られることなどによって、評価機関が公表する結果における信憑性が低くなっているようです。
企業は、各種ウイルス対策ソフトの本当の効果がわかりづらい状態で、ウイルス対策ソフトを比較、選定、導入しなければならないのです。
セキュリティ対策の原理原則は「多層防御」
上記ページにも書かれていますが、VirusBulletinが2018年に未知のマルウェア検知能力を測定した結果が公開されています。
これを見る限り、各ウイルス対策ソフトの検知率は80%程度のようです。私たちとしては、EDRなども含めたエンドポイントセキュリティ製品の検知率は100%でないことを認識し、対策を講じる必要があります。
そう考えると、やはりセキュリティ対策の原理原則の一つである「多層防御」に立ち返り、対策を見直すことが求められます。前述の通り、セキュリティパッチの適用不備などは、攻撃者にとっては恰好の的です。Windowsの更新プログラム適用は適切に行っているものの、OfficeやAdobeなどその他のアプリケーション、サーバー、ネットワーク機器など、すべてにおいて適切にパッチ適用を行えている企業は少ないでしょう。基本に立ち返り、「多層防御」、「最小権限」などを改めて見直していく必要があると、改めて強く感じました。