Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
本コンテンツは、キーマンズネットに 2016/04/18より掲載されているコンテンツになります。
マイクロソフト エンタープライズセキュリティ
1
昨年夏、まさかの“無償アップグレード”で世間を驚かせた Windows 10。しかし、登場から半年以上経ったにもかかわ
らず、日本では多くの企業が様子見をしている状況である。Windows 10 の無償アップグレードは 7 月 28 日までだが、
このまま Windows 7 を継続すると決め、Windows 10 移行の検討すらしていない企業も少なくないようだ。
「無償でアップグレードできるこの機会に、是非 Windows 10 移行の検証を一度検討していただきたい」と話すのはセ
キュリティ分野で世界的に高い評価を受けている鵜飼 裕司氏。世界屈指のセキュリティエキスパートが、Windows とセ
キュリティに関する“常識”を次々と切り捨てていく。早速そのインタビュー記事をお送りしよう。
――― Windows 10 が出てかなり経ちますが、いまだに Windows 7 を利用している企業が多い状況です。まだ「このまま
Windows 7 を使い続けよう」と考える企業も多いようですが、どうでしょうか?
Windows 7 と Windows 10 を比較すると、そのセキュリティは飛躍的に向上しています。Windows 7 が出た時も、セキュ
リティ機構が色々と入っていて安全な OS が出たと思ったのですが、Windows 10 では Windows 7 で実現できなかったセキュ
リティ機構が実装されて、デフォルトでかなり安全、という印象を受けました。Windows 7 のリリース当時はこれでも十分だと
感じていましたが、外部環境も変わりましたし、今後は「攻撃を受けて、Windows 10 なら防御できたのに、Windows 7 を使
っていたから防げなかった」という話は出てくると思います。こうなると「なぜ無償期間中にアップグレードしておかなかったん
だ」という話になるかもしれません。OS の無償アップグレード期間は 7 月までですし、“タダ”でアップグレードできるのだか
ら、早くした方がいい。もちろん検証した結果、Windows 10 に移行できない企業もあると思いますが、情報システム部門は是
非この機会に一度検討していただきたいです。
2
―――Windows 10 への移行となると、互換性を懸念する企業も多いと思いますが。
もちろん検証は必要ですが、Windows はバックワード・コンパチビリティ(後方互換
性)にかなり気を遣っているので、ほとんど動くと思いますよ。確かにカスタマイズして作
りこんだアプリケーションが動かないケースはありますが、これを機会にそのアプリケーシ
ョンが本当に必要なのかという検討をしてもいいのではないでしょうか。パッケージや Saa
S などクラウドで提供されているものに乗り換えるという選択肢もあるはずです。どうせコ
ストを掛けるならば、古いものを使い続けるためではなく、新しいモノを利用するためにコ
ストを掛けたいですよね。
――― 先ほどセキュリティが強化されているという話が出ましたが、このところずっと言われているのが「標的型攻撃対策」で
す。御社では標的型攻撃対策ツールも開発されていますが、攻撃のトレンドについて教えて下さい。
標的型攻撃も基本的な手法はあまり変わっていませんが、最近の傾向として脆弱性を使わない攻撃が増えてきた、という点を挙
げられると思います。特に日本では「脆弱性を使うまでもなく攻撃できてしまう問題」がありまして、つまりメールで exe など
の実行ファイルやマクロを送るだけで攻撃が成功してしまうのです。
――― 攻撃者は脆弱性を狙うので注意しよう、という話をよく見かけるので、「脆弱性を使わない」というのは驚きました。
Windows の進化で脆弱性が狙いにくくなったのも理由の一因です。Windows の安全性が向上しているので、その脆弱性を狙
おうとすると攻撃者もコストがかかりすぎてしまうのです。脆弱性を狙って攻撃を仕掛けても、Windows 7 から実装された UAC
などが機能しているとかなり面倒になります。また Windows XP SP2 から実装されている DEP も、Windows 8 以降で大きく
進化し、Windows 10 ではかなり悪用しづらくなっているはずです。これらを回避して攻撃するのはかなり厄介で、exe を送っ
て攻撃が成功するならば、攻撃者もそれで済ませたい、というのが本音でしょう。
3
【UAC:User Account Control(ユーザアカウント制御)】
Windows Vista 以降の Windows OS に搭載されているセキュリティ機構の 1 つ。管理者権限が必要な処理を本当に実行して
よいのかダイアログでユーザに確認を行うことで、システムの乗っ取りや破壊を防ぐ。
【DEP:Data Execution Prevention(データ実行防止)】
Windows XP SP2 から搭載された Windows のセキュリティ機構の 1 つ。個々のプログラムが管理するデータ領域(スタッ
ク、ヒープなど)に記録されたデータを命令とみなして実行することを防ぐ。ウイルスやワームなどによるバッファオーバー
フロー攻撃などに有効。
――― メールで不正な実行ファイルが送られてくるような攻撃を防御するためには、やはりそれぞれセキュリティ・ソリューシ
ョンなどを入れて対策しておくのがいいんですよね。
最初にも伝えたとおり、Windows 10 はデフォルトでかなり安全な OS になっています。Windows 7 と比較しても、Window
s 10 では多くのセキュリティ機能が搭載されていますし、Windows 7 でセキュリティ対策をどうしようか悩むくらいなら、Win
dows 10 をそのまま(デフォルトで)運用した方がいいと思います。これまで個別のツールなどに掛けていたセキュリティ対策
コストも、多くの機能が OS に入ったことで費用が掛からなくなりますから、コストメリットだけを考えても移行する価値がある
でしょう。
例えば、「Device Guard」は Windows 10 で搭載されたセキュリティ機能ですが、許可
したアプリケーションしか動作させないことで高いセキュリティを実現しています。アンチウ
イルスについても「Windows Defender」が標準で装備されています。弊社の標的型攻撃対
策ソフト「FFR yarai」の開発では、アンチウイルスですり抜けたものをカバーするために各
種ソフトの検知率をチェックしていますが、パターンマッチング型としては Windows Defe
nder はかなりよくできており、わざわざアンチウイルスソフトを買ってくる意味はないと思
うほどです。
――― サードパーティ製のウイルス対策ソフトを入れて…という従来の対策とは大きく変わ
りそうですね。
ブラウザも Microsoft Edge で AppContainer になったことでシステム領域などに触れなくなりました。アドオンもなくなり、
これまで悪用されることの多かった Flash や Java が稼働しなくなったため、必然的に安全になっています。マルウェアが活動で
きる範囲が極小化されたと言えるでしょう。
更に、これまでは Admin 権限を奪取されるとすべてのリソースが奪われてしまうという問題がありましたが、UEFI と VSM に
4
より攻撃者が Admin 権限を奪取しても重要な情報は守ることができるというのは強力です。こういった数々のセキュリティ機能
が搭載されたことで、Windows 7 では「難しいけれども理論的にこうすれば攻撃できる」という方法がありましたが、Window
s 10 はもう理論的にすら厳しくなっています。ここまでやるのか、というのが正直な感想ですね。
【AppContainer】
Windows 8 から搭載された Sandbox 機能。対応しているアプリケーションをプロセス分離環境で実行することで、システム
領域などへの影響・攻撃を回避する。
【UEFI:Unified Extensible Firmware Interface】
BIOS に代わるファームウェア。セキュリティを強化し、bootkit/rootkit による攻撃などを防御する。
【VSM:Virtual Secure Mode】
Windows とは異なるマイクロ OS として稼働し、認証で利用する資格証明書やトークンなどを管理する。コンピュータを仮想
的に分けることで、管理者権限を奪取されても守れる領域を確保する。
――― それはすなわち「ここまでやらなければ防御できない」ということの裏返しでもあります。それだけのリスクがある、狙
われてしまうのは“Windowsだから”、ほかの OS やプラットフォームに乗り換えればいいじゃないか、という意見も聞きます。
確かに Windows は広く普及しているだけに攻撃者へのインセンティブは大きくなります。ですが、企業で利用する PC のセキ
ュリティを考えた時に Active Directory の管理機能は強力です。こういった管理がほかの OS やプラットフォームではできませ
ん。セキュリティの基本は「きちんと管理すること」ですから、そこを考慮せずに安易にほかのプラットフォームに乗り換えれば
いいというのはナンセンスですね。
――― セキュリティ面を考えると、もはや Windows 10 に移行しない…という選択肢はなくなりますね(笑)。
アンチウイルスはその典型ですが、「なんとなく今までこういうセキュリティ対策をやってきたから、それをやめるのが嫌だ」
というケースもよく聞きます。データなどの調査もせず、過去やってきたことと同じことを脈々とやっていれば責められないだろ
うというバイアスが掛かっているのではないでしょうか。Windows 10 に関してはそれでは通用しなくなります。Windows 10
に移行していれば防げた攻撃で被害が発生した時に、導入“しなかった”責任を問われるかもしれません。その意味では、最低限検
証だけ済ませた上で、経営層に「導入しない」という判断をきちんとさせておくのが賢明かも知れませんね。