エンドポイントセキュリティに今求められる「次世代」の対策の姿とは(後半)
~CTCセキュリティセミナー2017|レポート~

CTCsecセミナー2017logo

ランサムウェアや標的型攻撃など、従来型の対策だけでは防御が困難な脅威の広がりを背景に、エンドポイントセキュリティのあり方を問い直す動きが始まっている。伊藤忠テクノソリューションズ(CTC)はこうした背景を踏まえて2017年2月24日、「CTCセキュリティセミナー2017 エンドポイントリスクを考慮した新しいセキュリティ戦略~最後の砦で防御する、次世代・統合型アプローチ~」を開催した。その模様を紹介する。

セミナーレポート前半はこちら

シグネチャベースの対策を完全に置き換えるSentinelOneの新しいアプローチ/Session 3

続いていよいよ、米SentinelOneの共同創業者でCEOを務めるトーマー・ウェインガーデン氏が登場。「エンドポイントセキュリティはどうあるべきか~革新的なエンドポイント保護アプローチ~」と題して講演を行い、なぜ新しいアプローチが求められているかを説明した。

[ウェインガーデン氏]

SentinelOneは2013年に設立されたセキュリティベンダーだ。セキュリティ業界畑の人間だけでなく、政府や軍関係者らも加わって成長を続けており、既に多くの顧客がある。

同氏はまず前提として、エンドポイントを巡る状況の変化を説明した。「残念ながらエンドポイントは最も弱い鎖であり、攻撃者が企業に侵入するエントリーポイントになっている」という。

具体的には、「マルウェアの手口はますます洗練されている。ペイロードがファイルではなくメモリのみに存在したり、スクリプトベースでPowerShellやWMI、VBSといったシステム内にある正規のツールを利用し、組織の中に入り込もうと試みる。これに対し既存のウイルス対策ソフトはファイル志向で、こうしたメモリやスクリプトベースの攻撃には対処できない」(ウェインガーデン氏)。

その上、マルウェアの数は増加の一途をたどっている。「1日に約39万種類ものユニークなマルウェアが登場している。日々これらに対応するシグネチャを作成し、提供するのは非常に困難な状況だ。伝統的なアンチウイルスにとって、マルウェアのペースに追いつくのはとても難しい」(ウェインガーデン氏)。そのうえ、せっかくシグネチャを作っても、大半のマルウェアは「使い捨て」という状態だ。

これに対しSentinel Oneは、新しいアプローチで問題の解決を試みている。それが、独自技術「ディープファイル検査(DFI)エンジン」を核としたマルチレイヤーのアプローチだ。

「まず、DFIエンジンによって、機械学習でファイルのヘッダーや構造といった特徴点を学習し、シグネチャを用いることなく悪意あるファイルを実行前に検出し、『予防』する。またファイルの実行中には、ダイナミックなビヘイビアプロファイルエンジンで振る舞いをモニタリングし、レジストリへの書き込みのような悪意ある振る舞いをリアルタイムに『検出』する。仮に実行されたとしても、あらゆるプロセス、あらゆるアプリの動きを調査し、フォレンジック用のレポートを作成し、その痕跡情報に基づいて環境全体を検索する。同時に、ロールバックによって元の状態に復元させ、被害を緩和し、『対応』を支援する」(同氏)

中でも最大の特徴はDFIエンジンだ。「これはシグネチャベースというコンセプトを完全に置き換えるもので、もはやシグネチャは不要となる。高度な機械学習アルゴリズムによって、3万1000以上のファイルの特徴をプロファイルし、あらゆる悪意ある動作を実行前に防止する」とウェインガーデン氏は述べる。

SentinelOneでは他にも、収集したデータに基づく「ストーリーライン」によって、何がきっかけで感染し、どのようなアクションがあり、システム内で感染が広がったか、一連の流れを把握できる。同氏は「ネットワークおよびエンドポイントの状況をコンテキストに沿って可視化し、何が起きたかについて洞察が得られる」と説明した。さらに、ファイアウォールなど他のセキュリティ製品と連携することで、これまで人手で行っていた作業を自動化し、管理者が本来専念すべき高度な作業に力を注げることもメリットという。

「エンドポイント保護に必要な全てのコンポーネントを1つに統合しており、1つのコンソールからすべてを把握できる。これは非常に革命的なことだ」と同氏は述べ、AV-TESTをはじめとする第三者機関のテストでも高い評価を得ていることを紹介した。

[ コーエン 氏 ]

続けてCTOのアルモグ・コーエン氏が登場し、あらためて「実行前と実行時、実行後のマルチレイヤで防御することがSentinelOneの特徴だ」と説明した。

コーエン氏は、他社製ウイルス対策ソフトとSentinelOneとで、最新のマルウェアサンプルを用いた検出率の比較デモを行った。SentinelOneでは、ドライブバイダウンロードや権限昇格などのさまざまな攻撃を確実に検出できる。同氏は実機を用いて、Powershellにコードを挿入してユーザーのログイン情報を奪う攻撃をSentinelOneが検出する様子を紹介した。さらに、一連の悪意ある動きをモニタリングし、「点」ではなく「線」で、何がどのように起こったのかをトレースできることも説明した。

防御から初動対応、復旧まで、全ステップを支援するソリューション/Session 4

[ 磯野 哲 ]

最後に、ウェインガーデン氏らの説明を補足する形で、CTCのセキュリティビジネス部部長の磯野哲とCTCセキュリティインテグレーション課の池田薫明が、デモンストレーションを交えながらSentinelOneの位置付けを説明した。

繰り返しになるが、CTCではアセスメントやポリシー作成を支援するコンサルティング、対策の導入と運用支援、監視サービス、CSIRT構築・運用支援に至るまで、幅広いソリューションを展開してきたが、2016年からは、あらためて次世代型エンドポイントセキュリティ製品に注力している。磯野はこれを「ピースを埋めるソリューション」と表現している。

背景には、エンドポイントの領域で脅威が増加している現実がある。ウェインガーデン氏も指摘したことだが、「攻撃側が新種や亜種を作って攻撃しており、守備側は非常にリアクティブな状況だ。シグネチャベースの対策では、守る側が新種のマルウェアを発見してから分析し、パターンファイルを作るまでの間、保護が受けられない期間、すなわちセキュリティギャップが生じてしまう」(磯野)。

CTCではエンドポイントセキュリティ対策を、パターンファイルに基づいて既知のマルウェアに対処する「従来型」、人工知能を使ってゼロデイ攻撃の検出率を高めたが、ファイルレスの攻撃までは検知できない「現世代型」に分類している。これに対しSentinelOneに代表される「次世代型」エンドポイントセキュリティ製品は、これらの弱点を補い、防御・検知だけでなく対応も支援するものだ。「挙動解析をシステムレベルまで深く行い、ファイルレス攻撃にも対応する。しかも、検知や阻止だけでなくレスポンス・復旧の機能も持ち合わせており、エンドポイント領域の各フェーズを網羅できる」と磯野は説明した。

[ 池田 薫明 ]

続けて池田が、日本でも多くの被害を及ぼしたランサムウェア「Jigsaw」を用いて、SentinelOneのデモンストレーションを行った。端末がランサムウェアに感染すると、SentinelOneはそれを速やかに検知し、初動対応として管理コンソールから当該端末を隔離できる。管理コンソールとの通信のみを残してそれ以外の全ての通信を遮断することで、横への拡散を止め、被害拡大を防ぐ仕組みだ。池田はさらに、フォレンジックに必要な細かな情報をコンソールから収集したり、ロールバック機能によって感染した端末をもとの状態に復元する様子を紹介し、「もうランサムウェアに感染しても金銭を支払う必要はなくなる」と述べた。

【デモンストレーション】

このように、従来型の対策では発見が難しかったさまざまな脅威を検知するSentinelOneだが、中には、疑わしいもの全てをいきなり止めてしまう運用は難しいと感じる企業もあるだろう。そうしたケースに備え、SentinelOneには隔離モードだけでなく監視モードも用意されている。まず監視モードで導入し、アラートを見ながらポリシーを改良した上で厳密な運用に移行していくことも可能だ。またCTCでは、無償の評価ライセンスによる「評価支援サービス」も用意しており、エンジニアの支援を得ながら導入前の実証評価も行える。将来的には、MSSのメニューとしてSentinelOneの運用支援を行うことも計画しているという。

 

 

編集:ビジネスon IT運営事務局(セキュリティ班)

 

Pocket

コメント