セキュリティとコストを最適化!理想のランサムウェア対策

 ランサムウェアは深刻化するサイバー脅威のひとつとなっています。2017年は国内でもランサムウェアによる被害が相次ぎ、特にWannaCryによる大規模感染は大きな話題となりました。新種や亜種の登場が絶えないランサムウェアへの今後の対策としては、いかにコストとリソースをかけずに防御力を高めていくかが重要な鍵となります。

 本記事では、ランサムウェア対策で検討すべき点の解説、人工知能 (AI) や機械学習を活用したランサムウェア対策のご紹介、今後のランサムウェア対策について提言します。

▼ 目次
1. 防御かバックアップか? ランサムウェアの脅威に対抗するには
2. ランサムウェア対策で検討すること
3. ずばり提言!! 今後のランサムウェア対策とは





1. 防御かバックアップか? ランサムウェアの脅威に対抗するには

 2017年のWannaCryは広範囲に感染が広がりました。公開されていない被害も多く、ランサムウェアはあらゆる企業において発生しうる脅威といえます。ランサムウェアに感染すると、重要なファイルが暗号化され開けなくなったり、PCが起動できなくなる被害を受け、企業は大きなダメージを受けてしまいます。ランサムウェアの被害から免れるためには、下記が重要になります。

  • 攻撃を未然に防ぐ
  • いちはやく異常に気付く
  • バックアップからシステムを復旧する

 しかし、企業のPCやサーバ等のエンドポイントに最新のマルウェア対策が導入されていたとしても、急増する新種、亜種への対策に追いつくことができず、知らぬ間に被害を受けていた事例が後を絶ちません。

マルウェア対策

 では、最悪の事態から免れるために、企業はどの様な対策を練る必要があるのでしょうか?





2. ランサムウェア対策で検討すべきこと

 ランサムウェアの被害からPCやサーバなどのエンドポイントを守る為には、下記の観点で対策を検討する必要があります。

    1. メールやWebサイトから侵入する新種や亜種のランサムウェアを、どの様に検知するか? 
    2. 巧妙化するスクリプト攻撃に対する防御策は?
    3. ランサムウェア被害の拡大を阻止する軽減策とは?

 上記の観点を踏まえた上で、最適に実現できるソリューションをデモと併せてご紹介します。




2-1. 新種や亜種のランサムウェアをどの様に検知するか?

 近年はランサムウェアの侵入を前提としたセキュリティ対策の考え方も浸透してきています。これは重要な考え方ですが、エンドポイントにおいては事前の防御が欠かせないことは言うまでもありません。従来のマルウェア対策製品では、過去に観測されたマルウェアを見つけるためのシグネチャ(またはパターンファイルとも呼ばれます)が用いられてきました。この方式ではどうしても脅威との“いたちごっこ”となり、新種や亜種に対する検出力の低さが課題となっていました。
 そこで昨今、人工知能(AI)や機械学習を活用し予測的にマルウェアを識別する方式が普及してきています。

 この方式ではマルウェアを見つけるためにシグネチャを使用しないため、日々のシグネチャ更新の作業と管理の手間の削減と、更新のためのネットワークの負荷を削減できる付加価値を得られます。

マルウェア対策



デモ① (人工知能(AI)を活用したファイル検査による防御)

 人工知能(AI)を活用したマルウェア対策製品の防御力を、過去の観測データに基づいてマルウェアを検出する従来型製品との対比でご覧いただけるデモ動画 (約 2 分) をご案内します。

人工知能(AI)を活用したファイル検査による防御




2-2. 巧妙化するスクリプト攻撃に対する防御策は?

 人工知能(AI)を活用したマルウェアの予測的な検出は大きな実績をあげてきています。一方で、攻撃手法が多様化し、スクリプト(JavaScriptやPowerShellなど)を使った攻撃や、ファイル検査の回避技術をもつマルウェアが急増しています。

 これらに対応するためには、実行ファイルの検査による予測的な防御に加えて、システムで発生している活動から脅威を検出することが重要です。この方式は振る舞い型分析技術とも言われますが、これまでに存在した多くの製品では主に脆弱性に対し悪用する攻撃を、攻撃の振る舞いをパターン化したリストと突合する形で検出していましたが、対応範囲が限られることと過剰に検知してしまうことが課題でもありました。

マルウェア対策




デモ② (人工知能(AI)を活用したシステム挙動の検査による防御)


 システム挙動による防御力を実演する目的で、一旦、人工知能(AI)によるファイル検査の予測的な防御機能を無効にした状態でマルウェアを実行し、瞬時に阻止する様子をご覧いただけるデモ動画 (約 1 分) をご案内します。CPUやメモリ、ファイルアクセス、レジストリといったシステムの挙動の検査にも人工知能(AI)を活用してマルウェアの共通してみられる活動をモデル化しているため、高い精度で脅威の検出・阻止が可能です。

人工知能(AI)を活用したシステム挙動の検査による防御




2-3. ランサムウェア被害の拡大を阻止する軽減策とは?

 リスク管理、セキュリティ対策において善後策を持つことは非常に重要です。エンドポイントのセキュリティ対策では、EDR(Endpoint Detection & Response)と呼ばれ、注目が集まっています。

 具体的には、脅威発生の検出、封じ込め、被害内容の詳細な調査、軽減活動の実施が含まれます。ランサムウェア被害の場合には、ファイルが暗号化され開けなくなりますので、軽減活動にはファイルの復旧も必要となってきます。

 企業のITシステムではバックアップシステムが構築されているかと思いますが、日々、PC個々のバックアップを取られている企業は多くはないでしょう。新たなバックアップの仕組みやストレージ領域を用意することなく、エンドポイントのみで復旧まで実現することができれば、セキュリティ機能、コスト面で有効な対策となります。

マルウェア対策




デモ③ (ランサムウェア被害からの復旧デモ)


 ランサムウェアに感染したPCのシステム復旧の様子をご覧いただけるデモ動画 (約 4 分) をご案内します。

  1. ランサムウェアの防御機能を無効にし、検知のみを行う動作モードで、実際にランサムウェアに感染させます。
  2. システムのファイル暗号化活動を検知(Detection)した後、インシデント対応(Response)を行います。
  3. 検出イベントから脅威の詳細を確認します。
  4. 初動対応として、PCをネットワークから切り離します。
  5. 脅威によってシステムに加えられた変更の軽減策として、復旧活動を実行し、暗号化されたファイルを安全な元の状態に戻します。
  6. ネットワークへの接続を復旧させます。

マルウェア対策




3. ずばり提言!!今後のランサムウェア対策とは

 セキュリティ対策にコストとリソースを惜しみなく投資できるのであれば、多数のセキュリティ製品を組み合わせて対策する考えもひとつです。しかし、セキュリティ担当者は限られたコストとリソースとコストで対策を講じなければなりません。新種や亜種のランサムウェアが発生する都度、セキュリティシステムの複雑性が増せば、運用コストと時間がいくらあっても足りません。

 これからのランサムウェア対策では防御力を高めるだけでなく、被害の拡大を軽減する仕組みと、投資対効果も考えていくことが重要です。ランサムウェア対策を中長期的に見据え、部分的に対策を講じるのではなく、様々な脅威に対して統合的に対策できるセキュリティ製品の方が、セキュリティシステムの構成をシンプルにするとともに、結果としてコストとリソースを最少限に抑えることができ、運用負担からも解放されるでしょう。






さいごに

 本記事ではランサムウェア対策に欠かせない3つの観点より、エンドポイントのセキュリティを最適なコストで強化できる製品「SentinelOne Endpoint Protection Platform (以下、SentinelOne EPP)」をご紹介しました。

    1. メールやWebサイトから侵入する新種や亜種のランサムウェアをどの様に検知するか? 
    2. 巧妙化するスクリプト攻撃に対する防御策は?
    3. ランサムウェア被害の拡大を阻止する軽減策とは?

 ランサムウェア被害に備えた予測的な防御機能と被害発生時に欠かせない対応機能を持つ統合型のエンドポイントセキュリティ対策製品「SentinelOne EPP」は、シグネチャを使用せず、人工知能(AI)を活用した解析エンジンによりファイル検査とシステムの挙動から脅威を識別し、PCやサーバといった狙われやすいエンドポイントを保護します。加えて、被害発生時の攻撃過程の可視化や軽減策の実施、さらには復旧機能を提供します。

 エンドポイントのセキュリティの強化をご検討されている方、対策や運用に関わる投資対効果の最適化にお悩みの方は、是非、お問合せいただけますと幸いです。

お問合せボタン

 SentinelOne EPP の概要については以下よりご覧いただけます。

関連記事を読む
_

著者プロフィール

著者アイコン
中島嗣晶
伊藤忠テクノソリュージョンズ株式会社在籍中 | 1. 現在の担当業務 : セキュリティ対策商材の調査、システム連携や実装を担当 | 2. これまでの担当業務 : ネットワークセキュリティやログ解析のプリセールスを担当 | 3. 趣味 : ドライブ | 4. 好物 : シャインマスカットまたはコストコのぶどう

関連記事はこちら