日本年金機構やJTBから百万件単位の情報を盗み出した標的型攻撃や、ホンダや日本マクドナルドのシステムを一時まひさせたランサム(身代金)ウエア攻撃――。全ての被害の発端は組織に侵入したたった1個のマルウエア(悪意のあるソフトウエア)である。
2018年は新技術の投入でマルウエア感染が激減する。情報システムを狙うサイバー攻撃の主流を占めるマルウエア攻撃を封じ込めれば、2018年に16万人足りないとされる経済産業省の予測が下振れし、セキュリティ人材に時間の余裕が生まれる。
その分、業務メールに見せかけた偽メールを使って金銭を振り込ませる「ビジネスメール詐欺(BEC)」やIoTセキュリティといった新たな脅威への備えに注力できる。喫緊の課題である全社的なセキュリティ意識の底上げにも時間を割ける。2018年はサイバー攻撃が増加するといわれる2020年に向けての地固めが進む。
「EDR」機能が主流に
マルウエア感染が激減するのは2つの根拠がある。1つはPCにインストールするアンチウイルスソフトが次世代と呼べるほど進化した点。
これまで長くPCで使われてきたアンチウイルスソフトは、提供会社が世界中から集めたマルウエアの「指紋」のような特徴を、侵入してきたファイルのそれと1つひとつ突き合わせるパターンマッチング方式だった。提供会社はマルウエア収集網を広げ続けているが、新たなマルウエアが世界中で毎秒数個発生し、同じマルウエアが2度使われるケースが4%しかないという現状には追い付いていない。
これに対し、次世代アンチウイルスソフトはパターンマッチングに頼らない、新機能を複合的に備える。マルウエアにありがちなPC内での動きに注目して検知する「振る舞い検知」や大量に収集したマルウエアを機械学習や深層学習で解析し、ソースコードや動作ログなどから検知する手法などだ。
もちろんこれらも検知率を100%には高められない。攻撃側もAIを使い攻めやすいシステムを探したり、検知されにくいマルウエアを開発したりしてくるからだ。「AI(人工知能)の活用で防御側とのいたちごっこが激しくなる」(シマンテックの滝口博昭マネージドセキュリティサービス日本統括)。
次世代アンチウイルスソフトは防御をすり抜けたマルウエアによる感染にも有効だ。感染を前提にPCが侵入を検知するだけでなく、侵入後に封じ込めて事故対応しやすくする機能「EDR(エンドポイント・ディテクション・アンド・レスポンス)」を備えるからだ。