数年前に波紋を広げた「アンチウイルスソフトはもう死んだ」発言の真意

 数年前、あるセキュリティベンダーの幹部が「アンチウイルスソフトはもう死んだ」と語り、業界内外に大きな波紋を広げた。

 この発言は、「アンチウイルスソフトだけではもう防ぎきれない」という真意だといわれている。というのも、攻撃手法が、マルウエア型から非マルウエア型へとシフトしつつあるからだ。ある調査レポートによれば、2018年にはマルウエア型攻撃は61%まで減少し、非マルウエア型攻撃が39%に上っているという。マルウエア型攻撃ならアンチウイルスソフトの精度を高めることによって対応可能だが、非マルウエア型攻撃ではこの防御方法が通用しない。つまり、アンチウイルスソフトが仮に100%近くの精度で攻撃を防いだとしても、約4割は素通りすることになるわけだ。

 残念ながら、この傾向は今後さらに進んでいくことになるだろう。AI技術の発展やIoT製品の利用拡大によって、それらを悪用したサイバー攻撃が増えてくると予想されているからだ。さらに、専門知識を持つ人材の不足も目立つようになってきた。セキュリティ人材を確保したくても、それが難しいと悩んでいるIT部門も少なくないはずだ。

 このような攻撃に対応するには、「侵入を前提にした」セキュリティ対策が不可欠だ。米国では政府機関が調達する製品/技術などの開発/製造を行う企業に対し、米国標準技術研究所(NIST)のサイバーセキュリティガイドライン「NIST SP800-171」への準拠が義務化されているが、ここでも侵入を前提としたセキュリティ対策が求められている。

 なおこれは米国企業だけの課題ではない。日本でも2019年度以降、防衛関連の企業にはNIST SP800-171と同等のセキュリティレベルが求められるようになる。さらにこうした動きは、規模の大小を問わず、一般企業にも波及していくと予想されている。

 それでは具体的に、どのような対策を行えばいいのか。このような疑問や不安に応えるため、ITベンダー側の対応も活発化している。ユーザー企業の安全性を確保するために、強力な防御網を作り出そうという動きが進みつつあるのだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。