【第4回】ライフサイエンス業界における効果的なサイバーセキュリティ対策とは

　7月19日に非常に大きなニュースとして、CrowdStrike社のセキュリティソフトFalcon Sensorのアップデートに起因する障害で、Windowsを搭載したパソコンでの全世界的なシステム障害につながり、Microsoft社の発表によると全世界850万台のWindowsパソコンに影響がでました。特に、発生直後は大規模なサイバー攻撃が原因ではと指摘される声が上がりましたが、実のところ、CrowdStrike社のセキュリティソフトのアップデートに起因する障害と判明しました。しかしながら、これがサイバー攻撃であったなら、大変な事態になったのではと容易に想像されます。また、日本では記憶に新しいところですと、2024年6月6日に新日本製薬株式会社から公開された情報によると、同社がランサムウェアの被害あったことが報告されました。7月5日の続報によるとは同社サーバに保管されていた一部の業務関連データ等が暗号化されるなどのランサムウェアによる攻撃被害にあい、社内に対策本部を設置した上で、該当システムの一部をサーバから切り離し、外部の専門家や警察機関等と連携の上で調査と復旧対策の対応進めて、現在は全ての業務が通常どおり稼働しているとことも報告されました。同社の例は氷山の一角に過ぎず、ライフサイエンス業界におけるサイバー攻撃、特にランサムウェアに代表されるマルウェアへの対策が益々重要となっています。
　さて、前回まで、マルウェアの脅威そのものを除去する技術であるDeepCDRとファイルベースの脆弱性評価及びSBOMレポートで中身を判定することで、悪意のある攻撃者による社外（院外）から社内（院内）に対する攻撃に対して、効果的に守る方法を紹介いたしました。今回は、OPSWATの深層防御の三つ目の方法を紹介します。
　それは、複数のアンチウイルスソフトウェアを駆使して、マルウェアを検知する方法です。DeepCDRは脅威そのものを排除する、脅威除去を提供する技術ですが、実は、DeepCDRと並行して、既知のマルウェアを検出することがマルウェア対策に有効な手段となります。なぜなら、悪意のある者により開発されたマルウェアは、一度インターネットの世界に放たれると、当然誰も回収することなく、永遠にインターネットの中をさ迷うことになるからです。迂闊にそのマルウェアが社内や院内に入ってくる可能性があり、それを効果的に防ぐ手段がマルチスキャン技術になります。

　そもそも、アンチウィルスソフトウェアとは、どのような役目をするソフトウェアでしょうか。アンチウイルスソフトウェアは、コンピュータウイルスやマルウェアを検出、阻止、削除するためのプログラムの総称となります。アンチウイルスソフトウェアの機能として、ファイルがアクセスされたり、ダウンロードされたりする時に、それらをスキャンしてウイルスやマルウェアを検出し、即座に対処します。また、検出されたウイルスやマルウェアを隔離したりして、システムに影響を与えないようにします。そのアンチマルウェアソフトウェアは、新しいウイルスやマルウェアに対応するために、シグネチャーというウイルス定義ファイルやプログラム自体を定期的に更新することにより機能を保ちます。
　多くの企業や病院は、コーポーレート契約や一括購入により通常どれか１社のアンチウィルスソフトウェアを導入しているのが現状です。OPSWATの調べでは、実に９割近くの企業がどれか１社のアンチウイルスソフトウェアしか導入しておりません。では何故、単一のアンチウィルスソフトウェアだけでは不十分なのでしょうか。それは、マルウェアは単一のアンチウイルスエンジンを簡単に回避し、組織を危険にさらす可能性が高いからです。特定の企業や病院を狙う標的型攻撃^＊1の場合、悪意のある攻撃者は、標的とする企業や病院が利用しているアンチウイルスソフトを事前に調べ研究し、それを回避するマルウェアや攻撃手法を用いるからです。また、アンチウィルスソフトウェアは、開発するベンダーの立地により特製があります。ヨーロッパ、例えば、ウクライナで流行したマルウェアは、ウクライナ製のアンチウイルベンダーがいち早く、シグネチャーというウイルス定義ファイルやプログラムを提供する傾向にあります。一般に、新種のマルウェアが発見され、それに対応するシグネチャーの提供（開発）には、5時間から15時間要すると言われております。つまり、その空白の時間を狙われる可能性が高くなります。また、個々のアンチウイルスソフトのベンダーにより、注力している市場に違いがあります。例えば、政府や教育など公共に強いベンダーもあれば、民間を主要マーケットにしているベンダーなどがあります。また、通常個々のアンチウイルスソフトは、各社異なるカテゴリに特化する傾向があります。例に出すと、ワーム^*2、トロイの木馬^*3、スパイウェア^*4、アドウェア^*5、ランサムウェアなど特定のタイプの脅威に強みや特色があり、反対にそれ以外のマルウェアの検出は不得意な場合があります。