マルウェアの入口対策と出口対策を体系的に設計する

本記事は学習用です。作成には ChatGPT と GitHub Copilot を使用しています。

1. 入口対策・出口対策の位置づけと基本概念

マルウェア対策を設計する際、単に「ウイルス対策ソフトを入れる」だけでは、現在の攻撃には対応できない。
多くの公的ガイドラインやベストプラクティスでは、ネットワーク全体を 入口対策・内部対策・出口対策 に分けた「多層防御」を前提にしている。(独立行政法人情報処理推進機構)

• 入口対策
  外部（インターネットなど）から組織のネットワークや端末に、マルウェアや不正通信が入り込むことを防ぐ対策群。
  例：ファイアウォール、メールフィルタリング、Webフィルタリング、IPS/IDS、WAF など。(SkySea Client View)
• 出口対策
  入口対策をすり抜けて内部に侵入したマルウェアが、外部の C&C（Command & Control）サーバや攻撃者と通信し、情報窃取や破壊を行うことを検知・遮断する対策群。(独立行政法人情報処理推進機構)

公的な指針でも、例えば金融庁のガイドラインは、

• 入口対策（ファイアウォール・アンチウイルス・IDS/IPS 等）
• 出口対策（通信・イベントログの取得・分析、不適切通信の検知・遮断 等）
  を組み合わせる多層防御を求めている。(金融庁)

また IPA や JPCERT/CC は「サイバー攻撃を入口だけで完全に防ぐのは不可能であり、侵入を前提とした多層防御とログ活用が必要」と明示している。(独立行政法人情報処理推進機構)

この前提に立つと、マルウェア対策は次のような目標に分解できる。

1. 入口対策：
   • できる限り侵入させない（ブロック・隔離・検疫）
2. 出口対策：
   • 侵入後の不正通信・情報持ち出しを検知し、遮断する
   • 痕跡をログとして残し、影響範囲を特定する

2. マルウェア侵入を防ぐ 入口対策

2-1. 入口対策の役割

入口対策は、

• マルウェアそのもの
• 悪意ある添付ファイルや URL
• 脆弱性を悪用する攻撃（エクスプロイト）
  が、ネットワークや端末に届く前の段階で止めることを目的とする。

IPA や各種解説では、多層防御における入口対策として、以下のような技術を挙げている。(SkySea Client View)

• ファイアウォール / UTM（Unified Threat Management）
• メールフィルタリング・アンチスパム・添付ファイル検査
• Web フィルタリング / プロキシ / URL レピュテーション
• IDS/IPS（不正侵入検知・防止システム）
• WAF（Web Application Firewall）
• エンドポイントのアンチウイルス・EDR

入口対策だけを厚く重ねていくと、コストは上がる一方で限界があることも IPA は指摘しており、出口対策とのバランス設計が前提になる。(独立行政法人情報処理推進機構)

2-2. メール経由マルウェアに対する入口対策

マルウェア感染の初動として、標的型メールやスパムメール経由の侵入は依然として多い。

代表的な入口対策は次の通り。

1. メールゲートウェイ / クラウドメールセキュリティ
   • 送受信メールを中継するサーバで、以下を実施
     • スパム判定（SPAM フィルタ）
     • 添付ファイルのアンチウイルス検査（シグネチャ / 機械学習）
     • サンドボックス（仮想環境）での動的解析による未知マルウェア検知(〖NTT西日本〗法人向けICTサービス・ソリューション)
2. URL フィルタ・レピュテーション
   • メール中の URL を抽出し、悪性 URL 情報との照合
   • クリック時にプロキシ側でブロック
3. なりすまし・フィッシング対策
   • SPF / DKIM / DMARC による送信ドメイン認証
   • 取引先を装ったドメインの類似度チェック（ブランド保護サービス等）
4. クライアント側対策
   • メールクライアントのマクロ自動実行を無効化
   • Office マクロの制限ポリシー（署名付きのみ許可など）

これらは、メールゲートウェイ製品 や クラウド型メールセキュリティ（MTA / API 連携）としてパッケージ化されているケースが多い。(nvc.co.jp)

2-3. Web 経由マルウェアに対する入口対策

改ざんサイトやマルウェア配布サイトへのアクセス、ドライブバイダウンロードは、現在も主要な侵入経路となっている。(nvc.co.jp)

Web 入口対策の代表例は以下。

• Web プロキシ / セキュア Web ゲートウェイ
  • 全ての HTTP/HTTPS アクセスをプロキシ経由に集約
  • URL カテゴリベースのフィルタリング（不審カテゴリ・不審サイトのブロック）
  • ファイルダウンロード時のアンチウイルス、サンドボックス解析
  • HTTPS 復号（SSL インスペクション）による中身の検査
• DNS フィルタリング
  • 不審ドメインへの名前解決要求をブロック
  • 既知 C&C ドメインやマルウェア配布ドメインを DNS レベルで遮断
• WAF（Web Application Firewall）
  • 公開 Web アプリケーション側の入口対策
  • SQL インジェクション、XSS 等によるサーバ側侵入を防止する。(ITトレンド)

IIJ などのクラウド型 Web ゲートウェイは、URL フィルタ・アンチウイルス・プロキシ機能を統合提供する例として参考になる。(インターネットイニシアティブ-IIJ)

2-4. ネットワーク境界・エンドポイントにおける入口対策

1. ファイアウォール / UTM
   • インターネット接続境界に設置
   • ポート・IP アドレス単位のアクセス制御に加え、
     • アンチウイルス
     • IDS/IPS
     • アプリケーション制御
       を統合した UTM として提供されることが多い。(〖NTT西日本〗法人向けICTサービス・ソリューション)
2. IDS/IPS
   • IDS（Intrusion Detection System）：不正侵入検知
   • IPS（Intrusion Prevention System）：不正侵入防止
   • 既知シグネチャ＋異常検知により、攻撃トラフィックを検知・遮断する。(SkySea Client View)
3. エンドポイントセキュリティ（AV / EDR / XDR）
   • アンチウイルス（シグネチャ＋ふるまい検知）
   • EDR（Endpoint Detection and Response）：端末上の疑わしい挙動を常時監視・記録し、検知時に隔離・調査を行う仕組み
   • XDR：エンドポイントだけでなくネットワーク・メール・クラウド等も含めて相関分析する拡張版
4. 認証・アクセス制御
   • VPN / ゼロトラストアクセスポータルを通さないと内部資源にアクセスさせない
   • MFA（多要素認証）の強制

これらの入口対策は、金融庁や各種ガイドラインでも推奨される基本セットとされている。(金融庁)

3. 侵入後の被害を抑える 出口対策

3-1. 出口対策の目的と定義

出口対策 は、IPA の資料では次のように整理されている。(独立行政法人情報処理推進機構)

• 入口対策をすり抜けて内部に侵入したマルウェア
• あるいは内部の不正端末
  が、
  • 外部の攻撃基盤（C&C サーバ）と通信し、指令を受ける
  • 盗み出した情報を外部に送信する
    ことを 検知・遮断 し、組織への実害（情報窃取・破壊）を避けるための対策群。

重要なポイントは、

• 「侵入を完全に防げない」前提で、
• 通信の出口 を監視・制御することによって被害を止める
  という設計思想にある。(独立行政法人情報処理推進機構)

3-2. プロキシ / ファイアウォール / DNS を用いた出口対策

1. 外向き通信の経路統制（フルプロキシ化）
   • すべてのインターネット向け HTTP/HTTPS 通信をプロキシサーバ経由にする
   • 直接外部に出る通信を禁止し、プロキシで
     • URL / ドメインレピュテーション
     • カテゴリフィルタ
     • マルウェア検査
     • C&C 通信シグネチャ検知
       を行う。(ランスコープ)
2. Egress ファイアウォールポリシー
   • 内部から外部への通信ポート・宛先を「必要最小限」に制限
   • 例：
     • Web 通信はプロキシのみ許可
     • 直接の外部 DNS・SMTP・SSH を禁止
   • 不審な外向き通信を検知したら自動で遮断・アラートを上げる仕組みを導入。(金融庁)
3. DNS 出口対策（DNS フィルタリング）
   • マルウェアが C&C サーバへ接続する前に行う、ドメイン名解決を監視
   • 既知の悪性ドメインや DGA（Domain Generation Algorithm）パターンを検知してブロック

JPCERT/CC のログ活用レポートは、ファイアウォールより Web プロキシログの方が C&C 通信の詳細を把握しやすいケースが多いと指摘しており、出口対策におけるプロキシログの重要性を強調している。(JPCERT/CC)

3-3. DLP と暗号化による情報持ち出し防止

情報漏えい防止の観点では、DLP（Data Loss Prevention） が代表的な出口対策となる。(ハンモック)

• DLP（Data Loss Prevention）
  • 機密情報（個人情報・設計図・ソースコード等）のパターンや分類情報（ラベル）に基づき、
    • メール添付
    • Web アップロード
    • USB へのコピー
      などの送信・持ち出しを監視し、ポリシー違反時にブロック・承認要求・記録を行う。
  • Office 365 / Google Workspace 等のクラウドサービスにも DLP 機能がある。
• データ暗号化
  • 万一、外へ出てしまっても、暗号鍵がなければ内容を読めない状態にする
  • ディスク暗号化（BitLocker 等）と、ファイル単位暗号化（IRM/DRM）の併用が望ましい。

3-4. SIEM / SOC とログ分析による出口対策の強化

出口対策は「機械的に怪しい通信を遮断する」だけでなく、ログ分析による異常検知 を組み合わせることで、初めて有効に機能する。

• SIEM（Security Information and Event Management）
  • 各種ログ（プロキシ、ファイアウォール、DNS、Windows イベントログ、EDR ログ等）を統合収集
  • 相関ルールや機械学習により、異常な振る舞い（例：深夜に特定国の IP へ大量通信）があればアラート
  • サイバーキルチェーンの C&C / 目的達成フェーズでの振る舞いを早期検知する手段として紹介されている。(ハンモック)
• SOC（Security Operation Center）
  • SIEM や EDR のアラートを 24/7 (24 hours a day, 7 days a week) 監視し、インシデントのトリアージと初動対応を行う運用組織
  • 自前で難しい場合は、マネージド SOC / MDR サービスとして外部委託が一般的。(〖NTT西日本〗法人向けICTサービス・ソリューション)

JPCERT/CC は、「高度サイバー攻撃は入口対策だけでは防ぎきれないため、ログを適切に採取・長期保存（1年以上が一つの目安）し、分析により侵入痕跡を発見すべき」としている。(JPCERT/CC)

4. ログ活用と監視体制：入口・出口対策を支える基盤

4-1. どのログをどのくらい残すか

出口対策を含む多層防御を運用するには、ログの設計 が不可欠といえる。
JPCERT/CC や NISC の資料では、以下のログ種別を長期保存の候補として挙げている。(JPCERT/CC)

• ファイアウォールログ（外向き・内向き通信記録）
• Web プロキシログ（URL・User-Agent・レスポンスコード 等）
• DNS サーバログ（問い合わせドメイン・応答 IP）
• 認証ログ（AD/IdP のログオン/ログオフ、失敗認証）
• ホスト OS ログ（Windows イベントログ 等）
• EDR / アンチウイルスログ

JPCERT/CC は一つの目安として「1 年分のログ保存」を推奨しているが、長期の標的型攻撃では数年単位での調査が必要になるケースもある。(JPCERT/CC)

4-2. ログ設計と出口対策の関係

出口対策におけるログの主な用途は次の通り。

• C&C 通信の痕跡特定（特定端末と特定 IP/ドメインの不審通信）
• 大量データ送信や長時間セッションなど、情報窃取を疑わせる挙動の検知
• 同じ宛先にアクセスした他端末（横展開の有無）の特定
• インシデント後の影響範囲調査

特に Web プロキシログは、URL・User-Agent・参照元など多くのコンテキストを含むため、マルウェア通信の分析に有用とされる。(JPCERT/CC)

4-3. 監視運用（SOC / CSIRT）とプレイブック

入口・出口対策を導入しても、監視・対応体制がなければ、アラートは放置される。

• CSIRT（Computer Security Incident Response Team）
  • 組織内でインシデント対応を統括するチーム
  • 公的ガイドラインでも設置が推奨されている。(ITトレンド)
• プレイブックの整備
  • 例：
    1. 出口対策で C&C 通信疑いのアラート発生
    2. 対象端末のネットワーク隔離（EDR or ネットワーク側）
    3. プロキシ・DNS・EDR ログから他端末への横展開有無を調査
    4. IOC（Indicator of Compromise）をフィードバックし、シグネチャやルールを更新

このようなフローを事前に定義し、机上演習・インシデント対応訓練を実施することが、出口対策を「形だけではなく実際に機能させる」条件になる。(JPCERT/CC)

5. 中小企業・小規模組織における現実的な入口・出口対策構成

5-1. 小規模（〜数十ユーザ）のケース

入口対策

• インターネット境界
  • UTM（ゲートウェイセキュリティ） 1 台
    • ファイアウォール
    • IDS/IPS
    • アンチウイルス
    • URL フィルタ
    • クラウドサンドボックス（オプション）(〖NTT西日本〗法人向けICTサービス・ソリューション)
• メール
  • クラウドメールサービス（Microsoft 365 / Google Workspace 等）のセキュリティ機能
  • 追加でクラウド型メールセキュリティ（標的型メール対策サービス）を導入
• エンドポイント
  • 次世代アンチウイルス（NGAV）＋軽量 EDR
  • OS・ソフトウェアの自動更新（WSUS / Intune 等）

出口対策

• UTM で外向き通信をログ取得・基本的な不審通信遮断
• 全端末の Web アクセスをクラウド型 Web セキュリティ（セキュア Web ゲートウェイ）経由にする構成
• DNS フィルタリングサービス（悪性ドメインブロック）を利用

ログは最低限として、

• UTM の通信ログ
• Web ゲートウェイのアクセスログ
  を保存し、月次でざっと異常を確認する運用から始める。

5-2. 中規模（〜数百ユーザ）のケース

入口対策

• 境界ファイアウォール＋専用 Web ゲートウェイ＋メールセキュリティ
  • Web プロキシは SSL インスペクションを有効化し、サンドボックスと連携
  • メールゲートウェイは多段防御（アンチスパム＋アンチウイルス＋サンドボックス）構成にする。(nvc.co.jp)
• エンドポイント
  • フル EDR を導入し、SOC サービスと連携

出口対策

• すべての外向き HTTP/HTTPS はプロキシ経由のみ許可
• 外向き DNS は社内 DNS サーバ / セキュア DNS サービスに限定
• SIEM（自社 or マネージド）に以下のログを集約
  • ファイアウォール
  • Web プロキシ
  • DNS
  • 認証（AD/IdP）
  • EDR

運用

• 毎日のアラート確認（SOC or 内部運用）
• 週次のレビュー会 / 月次レポート
• 年 1 回以上の机上演習（インシデント対応訓練）

この規模になると、自前で 24/7 監視を行うのは現実的でないケースが多く、MDR / MSSP（マネージドセキュリティサービス） にアウトソースする構成が一般的になっている。(法人のお客さま｜NTT東日本)

6. よくある誤解・アンチパターン

6-1. 「入口対策さえ強ければ十分」という発想

多層防御の文脈では、入口対策に投資を集中しすぎると、かえってコスト効率が悪くなると指摘されている。(独立行政法人情報処理推進機構)

• ゼロデイ攻撃や標的型攻撃は、シグネチャベースの入口対策をすり抜ける前提で設計されている
• 社員のミス（誤クリック）や設定不備など、「人」を起点とする侵入は防ぎ切れない

そのため、

• 入口：侵入リスクを下げる
• 出口：侵入後の被害を最小化する
  という役割分担で考える方が現実的と考えられる。

6-2. 「出口対策＝DLP だけ」と誤解する

出口対策を「情報漏えい防止（DLP）だけ」と理解するケースも多いが、公的資料では、

• 通信ログ・イベントログの取得と分析
• 不適切通信の検知・遮断
  も出口対策に含めている。(金融庁)

実際には、

• C&C 通信遮断
• 横展開の検出
• 不審ふるまい分析（SIEM / EDR）
  などを含む、ネットワークとホストの両方を対象とした対策セット として捉える必要がある。

6-3. ログを残しているだけで「出口対策済み」と見なしてしまう

ログ保存だけでは出口対策として不十分といえる。

• ログ設計が不十分（必要な項目が出ていない）
• 保存期間が短く、長期攻撃の痕跡が辿れない
• 分析する人と時間がない

JPCERT/CC のレポートでは、

• 「ログの長期保存と適切な分析体制」が高度サイバー攻撃対策の成否を分ける
  と強調されている。(JP CERT)

したがって、

• ログ設計
• 保存ポリシー
• 分析体制（ツール＋人）
  まで含めて出口対策と考える必要がある。

6-4. テレワーク・クラウド移行時に入口・出口が崩れる

クラウドサービス・テレワークの普及に伴い、

• 社外から直接クラウドにアクセスする
• VPN を通らない通信が増える
  ことで、境界型の入口・出口対策だけではカバーし切れないケースが増えている。(3Qクラウド｜成長企業のためのパッケージ型オフィスITサービス)

この場合、

• SASE / SSE（クラウド型セキュア Web ゲートウェイ＋ゼロトラストアクセス）
• クラウドサービス側の DLP・アクセス制御
• エンドポイント側の EDR
  を組み合わせる必要がある。

7. まとめ：入口・出口対策の優先順位とロードマップ

マルウェアの入口対策・出口対策は、次のような考え方で整理すると設計しやすい。

1. 前提の確認
   • 侵入はゼロにはできない
   • 入口対策と出口対策をセットで考える
   • ログと運用（監視・対応）がセットでないと機能しない
2. 入口対策の最小セット
   • UTM or 境界ファイアウォール＋IPS
   • クラウドメール＋メールセキュリティ（標的型メール対策）
   • Web プロキシ or セキュア Web ゲートウェイ＋URL フィルタ＋サンドボックス
   • エンドポイントの NGAV / EDR
3. 出口対策の最小セット
   • 全 HTTP/HTTPS 通信のプロキシ経由化
   • 外向き通信のポート・宛先制限（egress ファイアウォール）
   • DNS フィルタリング
   • 通信ログ（FW・プロキシ・DNS）の 1 年以上の保存と、簡易な定期レビュー
4. 規模に応じた強化ポイント
   • 中規模以上：SIEM＋SOC / MDR の導入
   • 高度な機密情報を扱う組織：DLP・暗号化・ゼロトラストアクセスの導入
5. 運用と教育
   • CSIRT / セキュリティ担当者の明確化
   • インシデント対応プレイブック・演習
   • 利用者教育（フィッシング訓練など）

実環境では、既存システム・予算・人員・クラウド利用状況によって最適な組み合わせは変わる。
そのため、

• 現状のネットワーク構成・クラウド利用状況・ログ状況を棚卸しし
• リスクとコストのバランスを見ながら
• 段階的に入口対策・出口対策を強化していくロードマップを描く
  ことが重要になる。

A. 参考サイト

1. IPA「サイバーセキュリティリスクに効果的に対応する仕組みの構築」 (独立行政法人情報処理推進機構)
2. IPA / JPCERT/CC「高度サイバー攻撃への対処におけるログの活用と分析方法」 (JPCERT/CC)
3. 金融庁「事務ガイドライン（サイバーセキュリティ関連記述）」 (金融庁)
4. NTT東日本「多層防御として有効なセキュリティ対策12選」 (法人のお客さま｜NTT東日本)
5. SKYSEA CLIENT VIEW メディア「多層防御とは？ 仕組みやメリット、事例を紹介」 (SkySea Client View)
6. LANSCOPE ブログ「サイバーキルチェーンとは？7つのフェーズ別に対策を解説」 (ランスコープ)

B. 関連書籍