攻撃の「前」「中」「後」をカバーする次世代エンドポイントセキュリティとは
~次世代・統合型アプローチ~

CTCsecセミナー2017図

「パッチはなるべく早めに適用しているし、アンチウイルスソフトを導入し、インターネットからの入口はファイアウォールで保護している。なのになぜ、不正アクセスによる被害が生じたのだろうか」この1~2年、このような嘆きの声を耳にする機会が増えている。

理由は簡単だ。サイバー攻撃の狙いが、いたずら目的から金銭や情報を狙った「犯罪」へと変化し、成功率を高めるため、より高度で巧妙な手段が使われているからだ。例えば、2016年に多くの企業に被害を与えた「ランサムウェア」ひとつ取っても、既存のアンチウイルスをかいくぐるために次々と亜種が登場したり、ユーザーをだますためもっともらしい文面のメールをばらまいたりと、あの手この手を講じてくる。

加えて、IT環境も大きく変化した。スマートフォンをはじめとするモバイルデバイスが普及し、仕事でクラウドサービスを活用するのも珍しいことではない。そんな中、10年前、20年前のシステムを前提とした従来からのセキュリティ対策で、企業を守ることができるだろうか? そろそろ、セキュリティのあり方にも「変化」が必要な時期に来ていると考えるべきではないだろうか。

これからのエンドポイントセキュリティに求められる2つの考え方のシフト

まず検討したいのは、「境界で守る」という考え方からのシフトだ。従来のセキュリティは、インターネットと社内システムの境目で不正なものを排除し、ネットワークや公開Webサーバを守る部分に力点が置かれてきた。実際、対策が進んできたこともあり、攻撃の難易度も比較的高くなっている。そこで攻撃者が目を付け始めたのが、ユーザーが利用するクライアントPC、すなわち「エンドポイント」だ。

ランサムウェアにせよ標的型攻撃にせよ、最近のサイバー攻撃は、Webやメールを介して比較的対策が不十分なエンドポイントへの侵入を試みる。そして感染に成功すると、エンドポイントを足がかりにしてシステム内で横展開し、重要なサーバへと侵害領域をを広げていく。情報漏えいなど深刻な被害を防ぐには、ネットワークの境界だけでなくエンドポイント保護をどのように強化するかが課題となっているのだ。

同時に、エンドポイントセキュリティのあり方そのものについても検討が必要だ。

これまでのエンドポイントセキュリティは、「攻撃前」の段階でいかに脅威を見つけ出し、守るかという部分に力が注がれてきた。シグネチャをいち早く作成して既知の脅威を検出するだけでなく、振る舞い検知やクラウドベースの脅威情報データベース、最近では機械学習などのテクノロジを活用し、未知の脅威も検出して端末を防御しようとする努力が続けられている。

確かにこうしたテクノロジは有用だ。しかし、攻撃者はわれわれの対策の手の内を探った上で、新たな手を講じてくる。残念ながらその全てを100%検出し、防御することは不可能だ。そこで、可能な限り攻撃を阻止しつつ、侵入が起こり得ることも視野に入れて早期に異常を検出し、被害を封じ込める手段をエンドポイントに用意しておく必要がある。

今エンドポイントに必要な対策よは

伊藤忠テクノソリューションズ セキュリティビジネス部 セキュリティインテグレーション課の池田薫明氏は、「止めるべきものはなるべく止めるに越したことはないが、100%はあり得ない。それを踏まえ、攻撃前だけでなく、攻撃中・攻撃後も見据えていく必要がある」という。

できるだけ脅威を検出しつつ、攻撃中・攻撃後の対処も支援する「SentinelOne」

では、攻撃中や攻撃後も見据えた対策とは、どんなものだろうか。

例えば、ある端末が防御網をすり抜けてきたマルウェアに感染し、社外へ不審な通信が発生していることが明らかになったとしよう。管理者として気になるのは、外部にどんなデータが送信されているか、そして他に同様の被害に遭った端末がないかといった事柄だ。こうした事柄を調査する前に、感染端末をネットワークから隔離し、被害拡大を防ぐ一次対処も行う必要がある。

しかし、数十台程度の規模ならばともかく、複数の拠点にまたがって数百、数千台の端末があるような環境では、調査指示を出して結果をまとめるだけでも多大な時間がかかり、その間に感染が広まる恐れがある。また「端末をネットワークから切り離してほしい」と指示を出しても、無線ネットワークの設定方法が分からず適切に対処できず、電話で説明するだけで一苦労、ということになりかねない。

こう考えていくと、攻撃を受けたとしても速やかに対応が取れるようにエンドポイントの状況を可視化し、「IoC」と呼ばれるマルウェアの痕跡情報を活用して感染した恐れのある端末を洗い出したり、必要に応じて不審なプロセスを停止し、ネットワークから遮断する仕組みを整えておく必要がある。このように「攻撃中」「攻撃後」をカバーするセキュリティ対策は「EDR」(Endpoint Detection and Response)と呼ばれており、海外の先進的な企業で採用されつつある。

CTCが取り扱いを開始した「SentinelOne」も、こうしたEDR製品の一つだが、より包括的な機能を備えている。端末で何が起こったかを記録し、封じ込めを行うEDRとしての機能だけでなく、機械学習を活用した動的な振る舞い解析によって脅威を検出する「攻撃前」の機能や、ランサムウェアなどによって改変されたファイルをもとの状態に復旧させる「攻撃後」の支援に至るまで、エンドポイントセキュリティに必要な機能を一通り提供する。

SentinelOneのカバー範囲

池田氏は「攻撃前と中、後、どれか一つにばかりフォーカスしていては、バランスの良い対策とは言えない。フォレンジックや事後対応ばかりに注力していて防御がおろそかになると、ランサムウェアなどの前には効果がなくなってしまう」と指摘。その意味で、全てのフェーズをカバーできるSentinelOneは次世代型のエンドポイント保護を実現するものであり、投資対効果は高いと説明している。

CTCでは、SentinelOneを中心に、次世代のエンドポイントセキュリティのあり方を紹介するセミナー「エンドポイントリスクを考慮した新しいセキュリティ戦略」を2月24日に開催した。セミナーでは、企業として取り組むべきセキュリティの重要なアジェンダや、IoTや機械学習などを活用した今後のセキュリティ技術の方向性を示すセッションが行われ、SentinelOneのデモンストレーションも行われた。EDRに興味を持つ人はもちろん、漠然と「これまでのエンドポイントセキュリティでは不十分だろうが、具体的にどうすればいいか分からない」と悩まれている方は、エンドポイントセキュリティセミナーのレポートも紹介しているので、参考にしてほしい。

 

 

講師:セキュリティビジネス部 セキュリティインテグレーション課 池田薫明
編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント