昨今ランサムウェアで話題になっている標的型攻撃ですが、その攻撃で利用されるファイルは、例えば見た目はMicrosoft Wordのファイルに見えますが、実際はファイルのアイコンは偽装されており、また拡張子を表示させると攻撃する為の実行ファイルになっております。

メールを受信したユーザーは見た目に騙され、そのファイルを開き、しかしその裏では攻撃ファイルを自ら実行しランサムウェアなどのマルウェアを感染させてしまいます。

従来のウイルス対策やブラックリストも、登録のあるマルウェアコードに対してのみ、保護を行う仕組みになっているからです。

つまり、最新のマルウェアは、定義ライブラリに登録されていない新しいコードを使用することで、簡単に企業の防御を潜り抜けられるということです。

この様な感染は、セキュリティに影響を及ぼすだけでなく、PCの安定性も低下させ、コンプライアンス違反となり、システム障害やPCの管理にかかるコストの増加にもつながります。

多くの企業が、アプリケーションへのアクセスを複雑なプログラムやリストを使用していますが、この方法は実装や管理に時間やコストがかかるというデメリットもあります。

つまり、企業のPC管理において、アプリケーションを管理することは重要であるにも関わらず、難しく、コストもかかるということです。

そこで紹介したいのがホワイトリスティングです。

ホワイトリスティングは、未知のコードにも効果的な解決策となっており、事前に許可されたアプリケーションのみ実行を許可します。

ただし、なりすましが行われる可能性があるので、企業全体を管理するのは工数のかかる作業になるため課題は伴います。

Ivanti Application Controlによる簡単なセキュリティ管理

Ivanti Application Controlを導入すれば、社員、場所、デバイス名、IPアドレス、ファイアウォールの設定、さらに時間などの要素に基づいて、社員別にアプリへのアクセス権限を定義できるので、いつどこでなにを実行できるのかを完全に管理できます。

Ivanti Application Controlは、「問題がないことが確認されている」ファイルのみ実行許可しているので、社員が導入した詳細不明なアプリケーションをすべてブロックします。

これは、「カーネルモードのフィルタードライバー」や「Microsoft NTFSセキュリティポリシー」を使用しているので、Ivanti Application Controlはすべての実行許可を断ち、不要な機能をすべて阻止します。

アプリケーションの権限は、デフォルトの所有者をドメイン管理者に設定することで、細かな設定なく、「追加設定なし」でアプリのアクセスポリシーがすぐに適応される。これが、「Trusted Ownership™」です。

さらには、実行可能ファイルに加え、ActiveXコントロール、VBscriptsバッチファイル、MSIパッケージ、レジストリ構成ファイルなどのアプリケーションに対する権限も管理します。

基本的にTrusted Ownershipは、管理者によってインストールした信頼できるアプリケーションのみの実行を許可して、デフォルト設定で社員によって導入されたアプリケーションや不明なコードの実行を自動的に停止します。

Microsoft製品の脆弱性の94%は管理者・権限の停止で緩和可能

セキュリティファームのAvectoは、2017年2月22日に公開した「Microsoft Vulnerabilities Report 2016」で、2016年におけるMicrosoft製品の脆弱性を調査した結果、

組織で管理者権限を停止しておくことにより、Microsoft製品の脆弱性の94%は緩和することができると指摘いたしました。特に、Microsoft Officeの脆弱性に関しては、99%が管理者権限を削除することで影響の低減をはかることが出来るとの事です。

Microsoft製品の脆弱性攻撃以外にも管理者権限は利用され、Petyaというランサムウェアは、マスターブートレコードを書き換えてOSを起動できなくするマルウェアですが、これは管理者権限が無ければ感染しなかったと言われています。

ユーザーの生産性を考え、ユーザーに与え続けている企業も多いWindowsの管理者権限ですが、セキュリティ対策としてはユーザーから削除することが重要となっております。

IT部門のスタッフは、PCの完全な管理者権限を持つユーザーの数をできる限り減らし、マルウェアを使用するゼロデイ攻撃のセキュリティ対策としては良いことだとしても、権限を剥奪することでユーザーへの負担を軽減できるソリューションがなかなか見つからず、頭を抱えているようです。

ロックダウンされたPCは、社員の業務においてはおおよそ機能しますが、ユーザーの数やモバイルユーザーの数が増えた場合には業務の種類や複雑さが倍になるといえます。

つまり、生産性を低下させずにセキュリティも維持できる適度なバランスを取ることは、不可能にさえ思えます。

Ivanti Application Controlは、完全な管理者権限を排除し、社員が業務を遂行するために必要な権利のみを許可することが可能となり、この問題解決をサポートします。

さらに、社員が使用している権限を把握するため、お客様の環境をモニタリングする洗練されたツールもいくつか用意しており、集約化された権限管理規約に組み込めます。

問題は、将来に起こるインシデントは誰にも予測できず、現場では常に規約の範疇を越えたインシデントが発生しうるということです。

Ivanti Application Controlは、ポリシーを簡単かつ速やかに適用することができますが、社員がオフラインの場合はどうでしょうか?または、専門のスタッフが不在の営業時間外である場合の対応はどうでしょうか?

幸いなことにIvanti Application Controlには、そのような場合でも対応できるように自己昇格機能が追加されています。社員は、進行している業務に合わせて特定の権限をリクエストできます。

IvantiのApplication Controlであれば、管理者権限を制限するがユーザーの生産性を落とさない仕組みを実現できます。

セキュリティ対策の向上とIT運用者の負担軽減を両立させましょう。Application Controlの製品ページはこちらかご確認頂けます。

デモのお問い合わせは、こちらからお願いします。