プログラミング的なSomething

読者です 読者をやめる 読者になる 読者になる

プログラミング的なSomething

ITエンジニア(?)目線で生活・自転車・トレーニング話を綴ります

サーバとクライアントのウイルス感染率の落差。エンドポイントセキュリティ製品の意義を考える

インフラ セキュリティ

エンドポイントセキュリティのニュースを見てもクライアント関連の製品しか出てこない点、個人的に違和感があったためサーバの対応状況を調べてみました。

japan.zdnet.com

閲覧した記事はこちら。エンドポイントセキュリティ=ユーザという図式が出来上がっていますが、エンドポイントセキュリティの製品群には「サーバ」もスコープに含まれています。

つまり、エンドポイント セキュリティとは、サーバー、パソコン、あるいはスマートフォンのような末端を、サイバー攻撃から守るためのセキュリティ対策ということになります。

マカフィー公式ブログより引用(http://blogs.mcafee.jp/mcafeeblog/2015/09/9-5775.html

サーバのウイルス感染率

しかしまあユーザー起点の製品ばかりなので、サーバのウイルス感染を気にしなくていいのか?という疑問が湧いてくる。そんなわけでIPAの資料を漁ってサーバのウイルス羅患率を調査しました。まずは2014年のサーバのウイルス感染率。

情報セキュリティ事象被害状況調査@2014より引用 f:id:yonetin:20160123111733p:plain

なんと大多数が0%です。企業の規模によって多少は数字がかわりますが、基本的にはサーバは対策がしっかりしているためか感染率は相当に低いです。しかし調査対象から20人以下の小規模事業者を除外しているため、ゲートウェイセキュリティの製品やCSIRTといった組織的な取り組みを実施している企業では「サーバの感染率0%」と言えます。

調査対象は以下の通り。

本調査は、民間の企業データベース(帝国データバンク)より、業種別・従業員数別に 13,000 件の企業を無作為に抽出した。(中略)従業員数規模は、300 人以上と 300 人未満で区分したが、本調査は IT を活用している企業が対象となることから、2013 年度調査と 同様に小規模事業者(20 人以下の企業)を除外した分布を用いた

それではクライアントPCの感染率を見ていきます。

クライアントPCの感染率

クライアントPCの調査も同じく情報セキュリティ事象被害状況調査@2014よりの引用資料となりますので、サーバの感染率を回答した企業と同じ回答母体になります。

情報セキュリティ事象被害状況調査@2014より引用 f:id:yonetin:20160123112859p:plain

1-4台の感染は日常茶飯事です。肌感としては、ウイルス検知は誤報を入れて年に数回、ガチなウイルスは年に1回あるかないかなので、大体は調査結果通りと思われます。

ここで大事なのが大部分のユーザが感染していることですね。エンドポイントにデータを集積しているPCを運用している企業は気が気じゃないでしょうから、エンドポイントセキュリティ製品に金を出すわけです。転じて、サーバのエンドポイントセキュリティには製品を購入するほどの訴求力がないとも言えます。

まとめ

個人的な所感となりますが、サーバのエンドポイントセキュリティが蔑ろになりがちな状況は怖いです。

ハッカーズ その侵入の手口 奴らは常識の斜め上を行く

ハッカーズ その侵入の手口 奴らは常識の斜め上を行く

ハッカーズでは、ゲートウェイセキュリティを(ソーシャルエンジニアリング等で)なんとか突破した先のセキュリティがザルであるがゆえに多数のサーバが踏み台として利用された例が出てきます。一番の脆弱性は(ソーシャルエンジニアリングが侵入経路なので)人間というのは、昨今のエンドポイントセキュリティの考え方と合致していますが、ユーザにとっては終端側となるサーバのエンドポイントも意識しないと意味がないでしょう。

最強なのは、エンドポイントセキュリティ製品がクライアントもサーバも区別なく利用でき、なおかつサーバ側のフィルタ等も定義変更し易いシンクライアント方式です。だけどBYODなどのトレンドには対応しきれません。どこかで誰かが線引をするのが、結局は現場もセキュリティも守れてWin-Winなんでしょうね。