エンドポイントセキュリティに今求められる「次世代」の対策の姿とは

 ランサムウェアや標的型攻撃など、従来型の対策だけでは防御が困難な脅威の広がりを背景に、エンドポイントセキュリティのあり方を問い直す動きが始まっている。伊藤忠テクノソリューションズ(CTC)はこうした背景を踏まえて2017年2月24日、「CTCセキュリティセミナー2017 エンドポイントリスクを考慮した新しいセキュリティ戦略~最後の砦で防御する、次世代・統合型アプローチ~」を開催した。その模様を紹介する。

▼ ハイライト
1. CTC が SentinelOne と提携した理由
2. デジタルトランスフォーメーション時代に求められるセキュリティ対策とは?
3. 次世代セキュリティに取り組むセキュリティスタートアップに集まる視線
4. シグネチャベースの対策を完全に置き換えるSentinelOneの新しいアプローチ
5. 防御から初動対応、復旧まで、全ステップを支援するソリューション
6. Sentinel One デモンストレーション

1. CTC が SentinelOne と提携した理由

 CTCで執行役員クラウド・セキュリティ事業推進本部長を務める藤岡良樹は、冒頭の挨拶の中で、Internet of Things(IoT)デバイスを狙った攻撃や猛威を振るうランサムウェアの状況に触れ、「こうした中、対策の考え方も変わってきている。完全に防御することより、仮に攻撃を受けたとしてもいかに被害を最小化し、早く復旧するかが問われるようになった」と述べた。脅威インテリジェンスや人工知能、クラウドといった技術に取り組むのも、またSentinelOneと提携を結んだのも、こうした対策を支援するためだ。

次世代セキュリティソリューション

 藤岡は「CTCはセキュリティに関する専門性を備えたパートナーとして、診断から製品、ソリューション、サービスに至るまで幅広いセキュリティ事業を手がけてきた。そしてSentinelOneとの提携によって、次世代のエンドポイント対策製品にポートフォリオを拡張した」と宣言。引き続き顧客のセキュリティライフサイクル全てをサポートしていく姿勢を示した。

2. デジタルトランスフォーメーション時代に求められるセキュリティ対策とは?

 続けて、ガートナーリサーチのリサーチディレクター、礒田優一氏が「日本におけるセキュリティの重要アジェンダ 2017年」と題して基調講演を行った。礒田氏は「デジタルビジネスの波が押し寄せ、AIや機械学習、ビッグデータ、ブロックチェーン、あるいはドローンといった具合に、業界を再編するような破壊的なテクノロジがどんどん出てきている。そうするとセキュリティも新しいステージに入る」と指摘した。

次世代セキュリティソリューション

 ガートナーでは、デジタルトランスフォーメーションの波の中で「セキュリティもまたトランスフォームしていく」(礒田氏)と考えているという。そして、予測、予防・防御、検知・対応、ガバナンスという4つの取り組みからなる「アダプティブ・セキュリティ」という枠組みを提唱している。

 課題は、何をどこまで対策すべきかだが、礒田氏によると、「伝統的なセキュリティ対策だけでなく、標的型攻撃のように対策をすり抜けて入ってくる脅威をどのように検知するか、という部分への問い合わせが増えている」という。未知のマルウェアによる攻撃が増加した数年前から、日本では一時、サンドボックス技術への注目が高まった。だが「必ずしも全てをリアルタイムにブロックできるものではない。そこで、あらためてエンドポイントに注目が集まっている」(同氏)。特に、機械学習などを活用したシグネチャに依存しない防御技術と、「EDR」と呼ばれるマルウェア感染後の検知・対応を支援するソリューションへの関心が高いそうだ。

 礒田氏はまた、「アダプティブ・セキュリティは、日本の城の作り方に例えるとよく分かる。縄張りはポリシーや設計であり、石垣は個々のプロダクトを組み合わせて侵入者を防ぐ。それでもすり抜けて入ってくる敵は、城の真ん中に高く築いた天守閣で見つけ出すが、これはSOCやSIEMの役割だ。そして、それでも侵入を見越して守備部隊が駆け付けられるように作った通路、武者走りはCSIRTとなる」と説明した。決して一日でできるものではなく、形は千差万別という点もサイバーセキュリティに似通う部分があるそうだ。その上でセキュリティ担当者は、対策にはどんな選択肢があり、どのくらいの投資が必要かを経営者に説明するファシリテータとしても機能する必要があるとした。

次世代セキュリティソリューション

 最後に礒田氏は「クラウドやモバイルといったトレンドによってITインフラが大きく変化している中、セキュリティにも転換が必要になっている。今後もIoTやスマートマシン、AIといった要素を踏まえ、今までとは違ったセキュリティが必要になる」と説き、デジタルビジネスを推進していく上でセキュリティは非常に重要な項目だと会場に呼び掛けた。

3. 次世代セキュリティに取り組むセキュリティスタートアップに集まる視線

 続けて、伊藤忠テクノロジーベンチャーズのプリンシパル、土川哲平氏が「ベンチャーキャピタリストが注目するセキュリティ技術」と題して講演を行った。伊藤忠テクノロジーベンチャーズは、イー・ガーディアンをはじめさまざまなスタートアップに出資し、これまでに4本のファンドを設立した実績を持つ。その同社から見てもセキュリティの重要性は日々高まっている。市場全体を見渡しても、米国のセキュリティスタートアップへの投資額は増加の一途をたどっているそうだ。

次世代セキュリティソリューション


 土川氏は、社内業務の高次化によるコスト削減と、競争力強化による収益拡大の両面から、セキュリティが求められているとした。一方で市場には多くのベンダーがひしめいている。特に、足下を固めるためのセキュリティという意味合いでは、予防・検知の高度化、対処・復旧の自動化といった部分で実現の素地が整っており、機械学習の適用範囲としてもセキュリティがダントツだと説明した。

 「世の中のデジタライゼーションが進む中、セキュリティもまた次世代化が進んでいる。単機能のファイアウォールからUTMや次世代ファイアウォールが登場したのと同様に、エンドポイントにも新しい切り口が求められるのは必然であり、事実、世代交代が進行中だ」と土川氏は述べた。そして、デジタライゼーションのメリットを最大限に享受し、セキュリティの技術と運用の両面を視野に入れつつ次世代を目指す企業に注目した結果が、SentinelOneへの出資につながったと説明した。

4. シグネチャベースの対策を完全に置き換えるSentinelOneの新しいアプローチ

 続いていよいよ、米SentinelOneの共同創業者でCEOを務めるトーマー・ウェインガーデン氏が登場。「エンドポイントセキュリティはどうあるべきか~革新的なエンドポイント保護アプローチ~」と題して講演を行い、なぜ新しいアプローチが求められているかを説明した。

次世代セキュリティソリューション

 SentinelOneは2013年に設立されたセキュリティベンダーだ。セキュリティ業界畑の人間だけでなく、政府や軍関係者らも加わって成長を続けており、既に多くの顧客がある。

 同氏はまず前提として、エンドポイントを巡る状況の変化を説明した。「残念ながらエンドポイントは最も弱い鎖であり、攻撃者が企業に侵入するエントリーポイントになっている」という。

 具体的には、「マルウェアの手口はますます洗練されている。ペイロードがファイルではなくメモリのみに存在したり、スクリプトベースでPowerShellやWMI、VBSといったシステム内にある正規のツールを利用し、組織の中に入り込もうと試みる。これに対し既存のウイルス対策ソフトはファイル志向で、こうしたメモリやスクリプトベースの攻撃には対処できない」(ウェインガーデン氏)。

 その上、マルウェアの数は増加の一途をたどっている。「1日に約39万種類ものユニークなマルウェアが登場している。日々これらに対応するシグネチャを作成し、提供するのは非常に困難な状況だ。伝統的なアンチウイルスにとって、マルウェアのペースに追いつくのはとても難しい」(ウェインガーデン氏)。そのうえ、せっかくシグネチャを作っても、大半のマルウェアは「使い捨て」という状態だ。

 これに対しSentinel Oneは、新しいアプローチで問題の解決を試みている。それが、独自技術「ディープファイル検査(DFI)エンジン」を核としたマルチレイヤーのアプローチだ。

 「まず、DFIエンジンによって、機械学習でファイルのヘッダーや構造といった特徴点を学習し、シグネチャを用いることなく悪意あるファイルを実行前に検出し、『予防』する。またファイルの実行中には、ダイナミックなビヘイビアプロファイルエンジンで振る舞いをモニタリングし、レジストリへの書き込みのような悪意ある振る舞いをリアルタイムに『検出』する。仮に実行されたとしても、あらゆるプロセス、あらゆるアプリの動きを調査し、フォレンジック用のレポートを作成し、その痕跡情報に基づいて環境全体を検索する。同時に、ロールバックによって元の状態に復元させ、被害を緩和し、『対応』を支援する」(同氏)

 中でも最大の特徴はDFIエンジンだ。「これはシグネチャベースというコンセプトを完全に置き換えるもので、もはやシグネチャは不要となる。高度な機械学習アルゴリズムによって、3万1000以上のファイルの特徴をプロファイルし、あらゆる悪意ある動作を実行前に防止する」とウェインガーデン氏は述べる。

 SentinelOneでは他にも、収集したデータに基づく「ストーリーライン」によって、何がきっかけで感染し、どのようなアクションがあり、システム内で感染が広がったか、一連の流れを把握できる。同氏は「ネットワークおよびエンドポイントの状況をコンテキストに沿って可視化し、何が起きたかについて洞察が得られる」と説明した。さらに、ファイアウォールなど他のセキュリティ製品と連携することで、これまで人手で行っていた作業を自動化し、管理者が本来専念すべき高度な作業に力を注げることもメリットという。

 「エンドポイント保護に必要な全てのコンポーネントを1つに統合しており、1つのコンソールからすべてを把握できる。これは非常に革命的なことだ」と同氏は述べ、AV-TESTをはじめとする第三者機関のテストでも高い評価を得ていることを紹介した。

次世代セキュリティソリューション


 続けてCTOのアルモグ・コーエン氏が登場し、あらためて「実行前と実行時、実行後のマルチレイヤで防御することがSentinelOneの特徴だ」と説明した。

 コーエン氏は、他社製ウイルス対策ソフトとSentinelOneとで、最新のマルウェアサンプルを用いた検出率の比較デモを行った。SentinelOneでは、ドライブバイダウンロードや権限昇格などのさまざまな攻撃を確実に検出できる。同氏は実機を用いて、Powershellにコードを挿入してユーザーのログイン情報を奪う攻撃をSentinelOneが検出する様子を紹介した。さらに、一連の悪意ある動きをモニタリングし、「点」ではなく「線」で、何がどのように起こったのかをトレースできることも説明した。

5. 防御から初動対応、復旧まで、全ステップを支援するソリューション

次世代セキュリティソリューション


 最後に、ウェインガーデン氏らの説明を補足する形で、CTCのセキュリティビジネス部部長の磯野哲とCTCセキュリティインテグレーション課の池田薫明が、デモンストレーションを交えながらSentinelOneの位置付けを説明した。

 繰り返しになるが、CTCではアセスメントやポリシー作成を支援するコンサルティング、対策の導入と運用支援、監視サービス、CSIRT構築・運用支援に至るまで、幅広いソリューションを展開してきたが、2016年からは、あらためて次世代型エンドポイントセキュリティ製品に注力している。磯野はこれを「ピースを埋めるソリューション」と表現している。

 背景には、エンドポイントの領域で脅威が増加している現実がある。ウェインガーデン氏も指摘したことだが、「攻撃側が新種や亜種を作って攻撃しており、守備側は非常にリアクティブな状況だ。シグネチャベースの対策では、守る側が新種のマルウェアを発見してから分析し、パターンファイルを作るまでの間、保護が受けられない期間、すなわちセキュリティギャップが生じてしまう」(磯野)。

 CTCではエンドポイントセキュリティ対策を、パターンファイルに基づいて既知のマルウェアに対処する「従来型」、人工知能を使ってゼロデイ攻撃の検出率を高めたが、ファイルレスの攻撃までは検知できない「現世代型」に分類している。これに対しSentinelOneに代表される「次世代型」エンドポイントセキュリティ製品は、これらの弱点を補い、防御・検知だけでなく対応も支援するものだ。「挙動解析をシステムレベルまで深く行い、ファイルレス攻撃にも対応する。しかも、検知や阻止だけでなくレスポンス・復旧の機能も持ち合わせており、エンドポイント領域の各フェーズを網羅できる」と磯野は説明した。

次世代セキュリティソリューション

 続けて池田が、日本でも多くの被害を及ぼしたランサムウェア「Jigsaw」を用いて、SentinelOneのデモンストレーションを行った。端末がランサムウェアに感染すると、SentinelOneはそれを速やかに検知し、初動対応として管理コンソールから当該端末を隔離できる。管理コンソールとの通信のみを残してそれ以外の全ての通信を遮断することで、横への拡散を止め、被害拡大を防ぐ仕組みだ。池田はさらに、フォレンジックに必要な細かな情報をコンソールから収集したり、ロールバック機能によって感染した端末をもとの状態に復元する様子を紹介し、「もうランサムウェアに感染しても金銭を支払う必要はなくなる」と述べた。

6. Sentinel One デモンストレーション

 従来型の対策では発見が難しかったさまざまな脅威を検知するSentinelOneだが、中には、疑わしいもの全てをいきなり止めてしまう運用は難しいと感じる企業もあるだろう。そうしたケースに備え、SentinelOneには隔離モードだけでなく監視モードも用意されている。まず監視モードで導入し、アラートを見ながらポリシーを改良した上で厳密な運用に移行していくことも可能だ。またCTCでは、無償の評価ライセンスによる「評価支援サービス」も用意しており、エンジニアの支援を得ながら導入前の実証評価も行える。将来的には、MSSのメニューとしてSentinelOneの運用支援を行うことも計画しているという。

お問合せボタン

関連記事はこちら