ほとんどのサイバーセキュリティ戦略はエンドポイントに焦点を当てていますが、アプリケーションのファイルアップロードという見過ごされやすいリスクにも注意を払う必要があります。
アプリケーションは現代のビジネスの基幹であり、毎日、何千(何百万)ものファイルがアップロードされ、ダウンロードされています。これらのファイルにマルウェアが含まれていると、組織のITインフラストラクチャを通過して、最終的にローカルまたはクラウドのリポジトリに保存されるため、重大なリスクとなります。
多くの組織は、このようなリスクに対して、次のような課題を抱えています:
- ファイルが全くスキャンされていない
- 変化する脅威の状況に対応できないレガシーツールでファイルをスキャンしている
- ビジネスプロセスが遅れたり、中断したりするセキュリティを使用している
- 企業規模のボリューム(毎日最大数千万ファイル)に対応できていない
悪意のあるファイルがダウンロードされ、実行されると攻撃が始まってしまうため、侵入される前に阻止できるかどうかが重要なポイントとなります。従来のセキュリティアプローチは効果がなくなり、未知のマルウェアが簡単に通り抜けてしまうという苦境に立たされています。マルウェアがストレージに蓄積され、エンドポイントに到達するまで待っていては、遅すぎるのです。
eBook 「ファイルセキュリティ:包括的なセキュリティのための新しいカテゴリ」を読む
企業におけるファイル:ビジネスリスク
企業は、ビジネスを遂行するために、Webアプリケーションを通じてファイルを受け入れる必要があります。しかし、顧客やエンドユーザがアップロードしたファイルには、マルウェアが含まれている可能性があります。実際、侵入の成功例の80% は、新規または未知のゼロデイ攻撃から発生しています。これらの攻撃は、多くの場合、公表されていない脆弱性の悪用や、認識されずにシステムに侵入する進化したマルウェアの亜種が原因となっています。Gartner社は、ファイルセキュリティに関するレポートで次のように述べています。
「アプリケーションが多数の外部ユーザーへのアクセスを提供している場合、セキュリティリーダーは、マルウェアをアップロードするチャネルの悪用から保護するためアプリケーション設計を要求する必要があります。」
ファイルセキュリティは、今日のビジネス環境において、ますます必要性が高まっています。従来のアプローチはいくつか存在しますが、それぞれ個別の欠点があります。
従来のセキュリティ・アプローチには、どのような欠点があるか
悪意のあるファイルのアップロードを防ぐには、4つの一般的なアプローチがあります。従来のアンチウイルス(AV)、マルチAV、ファイルサンドボックス化、コンテンツ解除・再構築(CDR)です。各ソリューションはそれぞれ独自の方法で問題に取り組みますが、いずれも完全な保護を提供するには至りません。
一言で言えば、従来のAVは新しいマルウェアの亜種を捕捉できず、マルチAVも同じ問題を抱え、サンドボックスはビジネスにとって受け入れがたい遅延を引き起こし、CDRは(有効ではあるが)しばしばコンテンツを操作して破壊し、多数の例外設定を必要とするため管理が煩雑となるのです。
さらに、AV、サンドボックス、CDRソリューションの欠点は以下の通りです:
- ビジネスプロセスが影響を受ける
- スケーラビリティの問題
- 未知のマルウェアの検知率が低く、誤検知率が高い
- スキャンされるファイルタイプが限られているd
- 膨大なCPUおよびインフラストラクチャーなどのリソース要件
より詳細な分析については、こちらのブログをご覧ください: マルウェア対策としてのCDR(無害化)ソリューションの3つの問題点
新しいアプローチ:要件
今日の企業やクラウドファーストの組織の要求を満たすには、より優れたソリューションが必要です。業務やSOCチームの生産性に影響を与えることなく、素早くファイルをスキャンし、良性/悪性を判定できるソリューションが必要です。
未知のマルウェアを自律的に防止するソリューションを構築するためには、最先端のAIであるディープラーニングが中核的な要件となります。ディープラーニングをネイティブに設計したソリューションでは、以下を実現することができます:
- 1日あたり数千万件のファイルを0.1%未満の誤検出率でスキャンする
- オフライン、オンラインにかかわらず、未知のマルウェアの99%以上を防止する
- クラウドの脅威インテリジェンスフィードに依存しない意思決定の実現
- データプライバシーとファイルの完全性を保護
- 最大手企業のスループットニーズに対応する拡張性
最小限の手間とコストでビジネス要件に対応します:
- Dockerコンテナ・クラスタによる柔軟でどこでも利用可能なデプロイメント・モデル
- CPU使用量とインフラ要件の低減によるTCOの削減
- REST APIまたはICAPの統合により、開発者がアプリケーションとファイルのスキャンを容易に接続可能
- AIモデルのメンテナンスが少なく、年間2~3回のアップデートのみ必要
Deep Instinct Prevention for Applications(DPA)の導入
Deep Instinct Prevention for Applications は、ディープラーニングを中核として設計されたエージェントレス型のアンチマルウェア・ファイルスキャンソリューションです。Deep Instinctは、コンテナクラスタ上に導入でき、APIまたはICAPを介して統合可能で、最大規模の企業の要求を満たす柔軟性とスケーラビリティを提供します。
Deep Instinct Prevention for Applicationsは、すでに世界最大級の組織で利用され1日あたり数千万件のファイルをスキャンしています。当社の実際のお客様環境でも、1ファイルあたりのスキャン速度が20ミリ秒未満、誤検知率が0.1%未満と、非常に高い数値を記録しています。さらに、未知のマルウェアの99%以上が環境に侵入する前に阻止され、自社と顧客のセキュリティが強化されていることが確認されています。
ファイルのセキュリティに関するより詳細な議論と、従来のアプローチでは不十分な点については、「ファイルセキュリティ:包括的なセキュリティのための新しいカテゴリ」をご覧ください。
ファイルに潜む脅威についての詳細は、こちらをご覧ください: