これまでの定石は通用しない IT部門から“見えづらい”環境のセキュリティをどう守る？：現場のインシデント対応を効率化するツールとは

サプライチェーン攻撃に関する被害報告が相次いでいる。サイバー攻撃者の標的が大企業だけでなく中小企業といったサプライチェーン関連企業にも拡大し、企業規模を問わず適切なランサムウェア対策が必要だ。

[PR／ITmedia]

PR

　近年、グループ会社や子会社、取引先を攻撃し、そこから標的の企業に侵入するサプライチェーン攻撃の被害が拡大している。大手企業への攻撃の足掛かりとして中小企業が狙われるリスクが高まる今、サプライチェーン全体でさらなるセキュリティ強化が求められている。

　サプライチェーン攻撃の多くはランサムウェアを使ったもので、侵入経路として増加傾向にあるのが「VPNの脆弱（ぜいじゃく）性を突いた侵入」や「リモートデスクトップからの侵入」だ。新型コロナウイルス感染症の拡大以降、テレワークシフトが急速に進み、社外からリモート接続する従業員のPCも新たなアタックサーフェスとなっている。

　今後IT部門では、オフィスやクラウドだけでなくオフライン環境や社外から接続する“見えづらいPC”を網羅的に保護する仕組みの重要性が一層増すはずだ。製造業においては、生産現場も守るべき対象になる。そのために今、IT部門はどのような対策を打つべきなのか。

「守るべきものを守れていない」　オフライン環境のセキュリティリスク

　トレンドマイクロの安斎祐一氏（ビジネスマーケティング本部　ビジネスソリューション部　プロダクトマーケティングマネージャー）は、ランサムウェア対策と見落としやすいポイントについて次のように指摘する。

トレンドマイクロの安斎祐一氏

　「防御が難しいランサムウェア攻撃に対しては、侵入を前提にした対策やゼロトラストの考え方で内部対策を講じることが重要です。全てのアクセスを疑って検証するゼロトラストモデルは、ランサムウェア攻撃に有効なセキュリティ対策として注目を集めています。ここで盲点となりやすいのが、インターネットにつながっていないオフライン環境やクローズド環境にあるPCです」（安斎氏）

　こうした環境の代表例として、製造業における工場の生産現場が挙げられる。工場の生産ライン管理や製品検査などで使われる業務用PCの多くは、インターネットに接続しないオフライン環境で動いている。これらは通常時、インターネットから隔離されているためマルウェアに感染するリスクは低いと思われがちだが、ドライバのアップデートやメンテナンスなどで一時的にインターネットに接続するタイミングがあり盲点になりやすい。

　また、インターネットとは直接つながっていないが、ネットワーク構成を確認すると、IT側のネットワークに存在するPCやサーバを踏み台にして、サイバー攻撃者が到達可能な状況になっているPCは数多く存在する。そのため、ひとたび侵入を許せば生産現場にも被害が及んでしまう。USBメモリを介してマルウェアに感染するケースも依然として存在する。

　安斎氏は、オフライン環境のPCが抱えるセキュリティ課題として「運用ポリシーや制約条件によってセキュリティソフトをインストールできない」「ベンダーサポートが切れたレガシーOSを使い続けているため、最新のセキュリティソフトをインストールできない」「インターネットに接続できない環境のため、パターンファイルが更新されていない」といった点を挙げる。こうした状態のPCは無防備のままランサムウェア攻撃にさらされることになる。

　「ランサムウェア攻撃の被害が拡大を続ける中、これからのIT部門は現時点でオンライン環境にあるPCやサーバだけでなく、オフライン環境のPCやIoT機器も網羅的に管理、保護し、セキュリティ対策の範囲を広げて穴を作らないことが重要になります」（安斎氏）

　しかし、IT部門にとってオフライン環境にある“見えづらいPC”まで管理するのは困難で現場任せになっているのが実情だ。その結果、オフライン環境のPCが取り残され、ランサムウェア攻撃に狙われるリスクが高まってしまう。

オフライン環境に潜むセキュリティリスクと課題（出典：トレンドマイクロ提供資料）

現場で扱いやすいオフライン環境向けのセキュリティ対策ツール、TMPS3とは？

　この状況を打開するセキュリティ製品として、ネットワークセキュリティ以外でトレンドマイクロが提供しているのがスタンドアロン／クローズド環境向けマルウェア検索・駆除ツール「Trend Micro Portable Security 3」（以下、TMPS3）だ。

トレンドマイクロの今井一希氏

　トレンドマイクロの今井一希氏（OTセキュリティ事業部　プロダクトマネジメントグループ　スペシャリスト）は「TMPS3はUSBメモリ型のセキュリティ対策製品で、セキュリティソフトをインストールできない端末でもマルウェアの検出と駆除が可能です。利用方法も簡単で、まずオンライン端末に接続してTMPS3のパターンファイルを最新の状態に更新します。次に、対象端末のUSBポートにTMPS3を挿して起動し、ウイルススキャンを開始します。スキャンが終了するとマルウェアの検索結果（未対処、駆除済み、未検知）をLEDの色で通知します」とTMPS3の特徴と利用法を説明する。

TMPS3の使用方法（出典：トレンドマイクロ提供資料）

　TMPS3は複数のOSに対応しているのもポイントだ。「Windows XP」や「Windows 10」だけでなく「Red Hat Enterprise Linux」や「CentOS」「Ubuntu」などのLinuxディストリビューションにも対応する。

　製品ラインアップとして「Lite Edition」と「Standard Edition」の2つのエディションがある。Lite Editionはスタンドアロン端末向けの製品で、基本機能であるマルウェアの検索・駆除機能を備える。Standard Editionは基本機能に加えて、集中管理機能を備えた管理者向け製品だ。集中管理機能は複数のTMPS3の検索結果をまとめて管理できる他、パターンファイルのアップデートや設定も一元的に管理することが可能だ。大規模、多拠点間などのスキャンログを集約できるのもメリットで、スキャン時に端末の資産情報を収集してCSV形式で出力できる。

「TMPS3 Pro Edition」でインシデント対応をさらに効率化

　TMPS3はオフライン環境にあるPCのセキュリティ対策に向け、すでに多くの企業で利用されているが、ユーザーからのニーズの高まりを受けて新たな機能も追加した。

　「ユーザー企業にヒアリングする中で、TMPS3を使って対象端末のマルウェア検索・駆除をした後、別のUSBメモリから復旧データを転送するケースもよくあることが分かりました。しかし、これではデータ転送用のUSBメモリからマルウェアに感染するリスクがあるため、データを安全に保存できるストレージ機能がTMPS3に欲しいという声が多く寄せられました」（今井氏）

　トレンドマイクロはこれに応えるため、TMPS3に「セキュアストレージ機能」を搭載した「Trend Micro Portable Security 3 Pro Edition」の受注を2022年6月23日に開始する。TMPS3 Pro EditionはUSBメモリ型ツールに64GBのセキュアストレージを搭載し、ファイル保存時にマルウェア検査を実行する。これによってマルウェアに感染していないクリーンなファイルのみを保存できるため、データ転送時のマルウェア感染リスクを低減できる。ハードウェア暗号化機能も備えており、より安全に機密データを持ち運ぶことが可能だ。

現場ニーズに応えたTMPS3 Pro Edition（出典：トレンドマイクロ提供資料）

　今井氏は「従来のTMPS3はマルウェアの検索・駆除が主な目的でした。TMPS3 Pro Editionは、セキュアストレージ機能を搭載したことでマルウェア検索・駆除から証拠保全、データ復旧までを1本で対応可能になりました。端末のデータ復旧時にデータ転送用のUSBメモリを別途用意する必要がなくなり、TMPS3とUSBメモリを挿し替える手間もなくなるため、対象端末の台数が増えても効率的な作業が可能です。TMPS3 Pro Editionを活用すれば、現場のインシデント対応業務を大幅に効率化できるでしょう」と強調する。

　TMPS3 Pro Editionは単にセキュアストレージ機能を搭載したオフライン環境向けのセキュリティ製品というだけでなく、インシデント対応の効率化を支援する製品へとTMPS3が大きく進化したと言える。

　安斎氏は「現在、CSIRTが利用しているインシデント対応ツールはログ監視・分析ツールが主流です。TMPS3 Pro Editionはそれとは異なるアプローチでCSIRTの業務効率化を支援するツールだと考えています。ランサムウェアなどによるサイバー攻撃から迅速に復旧するために、CSIRTなどインシデント対応を行う顧客に新たなインシデント対応ツールとして提案していきます」と意欲を見せ、インタビューを締めた。

トレンドマイクロ無料ウェビナーのご案内

インシデント対応を支援するソリューションとしては、ログ監視・ログ分析ツールやEDRおよびXDRが注目を集めているが、現場で対応できるツールの備えは十分だろうか。無料ウェビナーでは、本記事で紹介したTMPS3 Proの特長と使用方法を、製品デモを交えて解説する。

ウェビナーへのお申し込みはこちら（外部ページに遷移します）

インシデント発生現場で使えるツールとは　〜Trend Micro Portable Security 3 Pro Editionのご紹介〜

https://resources.trendmicro.com/jp-webinar-form-0465-tmps3prowebinar-it.html