Special
» 2018年05月08日 10時00分 公開

「侵入を100%防ぐことは困難」 防御の網をすり抜ける脅威、いち早く検知・警告 EDRとMSSの“両輪”で

サイバー攻撃の変化に伴い、従来の対策がすり抜けられるのは当たり前になってきた。サイバーリーズンは、忍び込んだ脅威をリアルタイムに見つけ出すEDR製品と、適切なアドバイスとともに提供するマネージド・セキュリティ・サービスを組み合わせ、致命的な事態を防ぐ手助けをしている。

[PR/ITmedia]
PR

 サイバー攻撃は年々変化してきた。そのため、数年前ならば定石だった対策も、今となってはそれほど有効とはいえないこともある。

 近年特に目立つのは、一時期、標的型攻撃対策として注目を集めたサンドボックスをはじめとするゲートウェイセキュリティのすり抜けだ。未知のマルウェアを用いるだけでなく、サンドボックスの存在を前提に、仮想マシン上で動作していることを検知すると動作を停止し、検出の網の目をかいくぐるマルウェアが増加している。

photo サイバーリーズン・ジャパンのエバンジェリスト、増田幸美氏。増田氏によれば、攻撃者は、本来ならばユーザーのプライバシーを守るはずのSSL通信も逆手に取り、セキュリティ機器による検出をすり抜けているという

 本来ならばユーザーのプライバシーを守るはずのSSL通信も逆手に取り、セキュリティ機器による検出をすり抜ける手口も増えてきた。「今やSSL通信はネットワークトラフィック全体の半数を占めるが、セキュリティ機器の多くは暗号化通信を解析できない。いったん復号して検査する方法もあるが、それには高価な専用機器が必要になる上、パフォーマンスが著しく落ちるため、業務に支障が出かねない。このため標的型攻撃でSSL通信を使うことが非常に多くなってきている」と、サイバーリーズン・ジャパンのエバンジェリスト、増田幸美(そうた・ゆきみ)氏は指摘する。

 もう1つ厄介なのは、Windows PCが標準で備えるコマンドやツールを用いて侵入するファイルレス攻撃だ。何らかの手段で盗み取った正規のアカウントを悪用するケースもあり、単純なやり方では防御が非常に難しい。

 その上、2017年に大きな被害をもたらしたランサムウェア「WannaCry」で明らかになった通り、米国家安全保障局(NSA)から流出したゼロデイ脆弱性やそれを悪用する攻撃コードが、政府や関連機関だけでなく、サイバー犯罪者やテロリスト、ハクティビストなどさまざまな組織・人物に悪用され始めている。こうした状況について、増田氏は「(2017年は)サイバーの世界における軍事革命が起こった年だと捉えている」と述べている。

「侵入を100%防ぐことは困難」

 こうした結果、ゲートウェイやアンチウイルス、サンドボックスといった多層防御した既存のセキュリティ対策をすり抜け、個人情報や機密情報の漏えい、ランサムウェアによるデータ損失といった被害を受けた企業は少なくない。

 それ以上に問題なのは、既に侵入されているにもかかわらず、その事実に気付けないでいる企業が非常に多いことだ。増田氏は「警察からの連絡を受けたり、取引先企業から指摘されてはじめて侵害の事実に気付く企業は少なくない」という。

 サイバーリーズン・ジャパンがいくつかの企業に対して行った検査の結果からもそれは明らかだ。「おそらく大丈夫だけれど、念のため確認してほしい」と同社にハンティング(侵害調査)を依頼してきた、つまり一定水準以上のセキュリティ対策を施してきた国内企業が対象だったにもかかわらず、多数のRATやバックドア、ランサムウェアが見つかったという。この結果を見れば、決して人ごとだとはいえないだろう。

photo これまで侵入を防ぐためにコストを割いてきた企業が多かったが、今では「侵入を100%防ぐことは困難」ということを前提に対策が求められている

 これまで企業の多くは、侵入を防ぐためにコストを割いてきた。しかし今、「侵入を100%防ぐことは困難だ」という事実を前提に、侵入後の活動をいち早く検知し、ダメージを最小化する対策が求められるようになっている。例えば、経済産業省がまとめた「サイバーセキュリティ経営ガイドライン Ver2.0」も、企業としてサイバーセキュリティリスクの管理に取り組み、多層防御の実施と同時に、攻撃を監視・検知する仕組みやインシデントに備えた対応・復旧体制を整備するよう求めている。

 それを支援するソリューションが「EDR」(Endpoint Detection and Response)だ。増田氏は「侵入自体は成功すると考えて取り組むべきだ。この、侵入後のダメージコントロールにフォーカスした製品が、Cybereason EDRだ」と話す。さらに、EDRが検知した攻撃を、企業のセキュリティ担当者に代わり、セキュリティ専門家が解析、リスク判断する「マネージド・セキュリティ・サービス」(MSS)を併用すれば効果は一段と高まる。

運用可能な形で支援するCybereason EDR

 EDRは、事故前提型の対策の重要性が認識されるにつれて注目を集めるようになったセキュリティソリューションだ。「検知」「封じ込め」「調査」「復旧」という4つの機能を通じて、防御をすり抜けて侵入した脅威を見つけ出し、早期に対応することで、情報漏えいなどの致命的な事態に至る前に侵害を食い止める。

photo 防御をすり抜けて侵入した脅威は、悪性通信、ネットワーク内拡散、ID/パスワード窃取、情報流出・破壊と進むほど企業へのダメージが大きい。EDRは、そうした脅威を見つけ出し、早期に対応するセキュリティソリューションだ

 日本国内でも複数のベンダーがEDR製品を提供し始めているが、いかんせん動作が重たいことが課題の1つだった。マルウェアの感染元となる不審なIPアドレスやURL、ファイルのハッシュ値などのIoC(Indicator of Compromise)の情報をもとに検索クエリを投げてもなかなか応答が得られず、ユーザーにもストレスを与える製品が少なくない。その上、日本語対応や国内のサポート体制が整っていないこともあり、運用に耐えないと判断する企業もあるという。

 これに対しCybereason EDRは、エンドポイント上に導入し専用の解析サーバに収集したデータを送信するセンサーがユーザーモードで動作するため、軽量で、CPUやメモリに負荷をかけないことが特徴の1つだ。解析サーバに蓄積されたデータをもとにビッグデータ解析を行って、不審なプロセスやスレッドの動きにフラグを加えていく。1つ1つの行動は怪しくなくても、振る舞いを積み重ね、攻撃による怪しい事象と判断すれば警告する仕組みだ。

 警告を受け取ったら、管理者は次に、当該端末をネットワークから隔離したり、不審なプロセスだけを停止させて被害を封じ込める作業に取り掛かることになる。こうした遠隔からのコントロール・調査もEDRの主要な機能の1つだが、中には1台1台個別に操作を行わねばならず、大量感染(アウトブレーク)発生時の迅速な対処が難しいツールもある。しかしCybereason EDRならば、100台ならば100台のPCに対して一斉に対応できる。

 「しかも、侵害された恐れのある端末を、IPアドレスではなく端末名やユーザー名で把握できるため、いちいち情報を付き合わせて確認する必要がない。ユーザー名をもとに『この人の端末はネットワークから隔離しても大丈夫か』を素早く判断できる。もし業務に支障が出そうな場合はいきなり隔離するのではなく、不審なプロセスのみをピンポイントで停止させるといった対処も可能だ」(増田氏)

 一連の状況は、日本語化された管理インタフェースで可視化されており、「どんな問題があるか」「今、何台が影響を受けているか」を直感的に把握できる。1台1台個別にドリルダウンして戻る必要はない。攻撃のタイムラインをさかのぼって、最初のエントリポイントからどのように攻撃が進行したかを確認することも可能だ。「ガートナーの評価で満点を取ったEDR製品で、日本語化されている唯一の製品だ」と増田氏は説明する。

photo 日本語化された管理インタフェース

「判断に迷うアラート」見極めるマネージド・セキュリティ・サービス

 このようにEDRによって、防御をすり抜けて入ってきた脅威を把握し、対処する手段が手に入ることになる。だが、まだ厄介な問題が残っている。どの脅威から先に対処すべきか、どのように優先順位を付け、適切な対応策を判断することだ。さもなければ、せっかくEDRを導入しても、日々のアラートに追い回されるうちに深刻な脅威を見逃してしまうかもしれない。

 その部分を支援するのが、サイバーリーズン・ジャパンが提供するマネージド・セキュリティ・サービス(MSS)だ。EDRというツールだけでなく、独自のMSSを提供しているセキュリティベンダーは珍しい存在だ。

 MSSを利用している場合、Cybereason EDRが上げたアラートの一次解析は、サイバーリーズン・ジャパンの専門チームが行う。前後の情報を確認し、正規の管理者が行っている操作か、それとも攻撃者による挙動かを見極め、危険度に応じて顧客に連絡する仕組みだ。

 「攻撃の足掛かりになる恐れがあるが影響の少なそうなアドウェアなどは『低』、怪しい挙動が見られるが正規のソフトウェアの可能性があるものは『中』、攻撃を受ける可能性が高いが今の時点ではアクティブではないトロイの木馬、ばらまき型攻撃は『高』といった具合に分類する。ランサムウェアや、今まさに攻撃者がネットワークの向こう側でコマンドを打っているような狙いすました標的型攻撃については『緊急』と判断し、即座に電話で連絡するとともに、翌営業日中に解析レポートを提供する」(増田氏)

 サイバーリーズンは、これまで蓄積してきた知見をもとにこうした判断をしている。「プロセスの起動元や親子関係、プロセスに対する署名の有無など、細かな行動の解析を積み重ね、自動では見つけるのが難しいIoA(Indicator of Attack)を見つけていく。IoCを用いれば既知の攻撃を自動で止められるだろうが、自社だけを狙い撃ちにした未知の攻撃を検出するには、知見を備えた人の目でIoAを見つける必要がある」(増田氏)。MSSはまさにこの部分にフォーカスしているという。

 日本オフィスには日本語、英語だけでなく、中国語やロシア語など13カ国語の読み書きができるアナリストが所属しており、深いレベルまで解析できることも特徴だ。また、アラート情報のうち「不審事項」という項目には、なぜアラートを出したかの根拠が列挙されるため、判断に悩むグレーなアラートを受け取ったときでも、白、黒の目星を付けやすい。

 しかもアラートだけでなく、「速やかに隔離すべき」といった具合に、推奨対策もともに提案される。企業側はこうした情報をもとに、「誰が影響を受けるのか」を確認し、対処すべきか否かを判断するだけでよい。さらに「往々にして、一時的なインシデント対応だけではすまない場合が多い。隔離などの対処を取った後に、ユーザー権限の見直しやポート設定、脆弱性を修正するパッチ適用といった根本的な解決のための推奨策も提案している」という。

 一連のサービスは、もちろん日本語で提供。サイバーリーズン・ジャパンの社員の約半数がエンジニアで、時差や言語の壁がない日本法人が手厚く、迅速にサポートする仕組みだ。緊急レベルのアラートについては、翌営業日までに解析レポートが提供される他、定期的に月次レポートも提供される。

 ただでさえセキュリティ人材不足が叫ばれる中、SOC(Security Operation Center)を構築しても、ゲートウェイ機器の面倒を見るだけで手いっぱいという企業は多い。サイバーリーズン・ジャパンでは、顧客ごとに「カスタマーサクセスマネージャー」という専任の担当を付け、「既存のインシデントレスポンスプロセスにEDRをどう組み入れるか」といった部分にまで踏み込んでサポートしている。こうしたきめ細かな対応を評価し、Cybereason EDRを導入する企業の大半は、MSSもセットで利用しているという。

photo サイバーリーズン・ジャパンのオフィスには、13カ国語に対応するアナリストが所属し、深いレベルまで解析するのが特徴

社員の業務効率を落とさず、セキュリティ強化を支援

 攻撃は日々変化しており、数年前ならば十分だった対策でもすり抜けられるケースは少なくない。特に、全てのPCが社内LANにつながることを前提としてきたゲートウェイでの対策は、働き方改革の中で広がる持ち出しPCの保護には無策となる。エンドポイントそのものを見張るCybereason EDRは、そんなふうに防御の網の目をすり抜けてきた脅威を、振る舞いを解析してリアルタイムに検出し、社内ネットワーク何が起こっているかを分かりやすく可視化し、遠隔から一斉に、確実に対処できるよう支援する。

 そもそもセキュリティは、あらゆるところで安心して業務が行えるようにし、生産性向上を手助けするためのもの。制約が加えられたり、業務が妨げられては本末転倒だ。Windows10ではOSのアップデートが頻繁にあるが、Cybereason EDRは、OSやカーネルの変更に影響を受けないユーザーモードで動作している。PCのリソースにも負荷をかけないCybereason EDRは、「社員の業務効率を落とさずにセキュリティを実現する唯一のEDRではないか」と増田氏は述べた。

 セキュリティの重要性は認識していても、無限に投資できるわけではない。「多層防御を否定するものではないが、限られた投資の中で効率的に対処するには、既存の対策をすり抜けてくるものをEDRを用いてしっかり見張ることが重要だ。サイバーリーズンではそれに必要な知見をMSSでサポートする」(増田氏)。この先も攻撃者は、新たな手口、すり抜け策を生み出し、防御をかいくぐろうとしてくる可能性がある。攻撃が最終的な目的に至る前に検出し、致命傷にならないよう対処するCybereason EDRとMSSは、大きな手助けになるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:サイバーリーズン・ジャパン株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2018年6月7日

関連リンク:サイバーリーズン・ジャパン株式会社