24時間365日体制のセキュリティ監視 自社では無理な施策を実現するには：誰でも導入できるMDRで守るビジネスの未来

100人規模の企業でも、取引先との関係からPCやサーバなどを常時監視するEDRの導入が必要になってきた。問題は土日や深夜に来るサイバー攻撃を監視する人材が社内にはいないことだ。これに対応できるMDRサービスのメリットを紹介する。

[PR／ITmedia]

　昨今、ランサムウェアをはじめとするサイバー攻撃によって個人情報が持ち去られたり、重要なシステムが動かせなくなって業務に支障を来したりする被害がたびたび報じられている。自社は対策していたけれど、取引先や業務委託先側の不備を突かれて芋づる式に被害に遭う、いわゆるサプライチェーンリスクが顕在化したケースも多い。

　こうした背景から、グループ会社や取引先も含めてサプライチェーン全体でセキュリティ対策の底上げを図る動きが広がってきた。

　問題は、何をどこまでやればいいのかだ。セキュリティ対策を求めてくるサプライチェーンの上流側は企業規模が大きく、対策に投じる予算や人的リソースを確保して専門の組織やチームを設けることも可能だろう。しかし中堅・中小企業は人手不足が深刻で、セキュリティやITに詳しい人材の確保は難しい。

　そんな中で「自分たちの会社は大丈夫なのか。取引先から求められる水準を満たすには、何をしなければならないのか」という悩みを抱えているなら、工数や管理負担を軽減できるソリューションを活用することが解決の鍵といえる。

よりスピードを増すサイバー攻撃には、24時間365日体制の監視が不可欠に

　「セキュリティ対策として何をすればいいのか分からない」といっても、Windows標準のセキュリティ機能やサードパーティーのアンチウイルス製品を導入していない企業はほとんどないだろう。近年のサイバー攻撃の増加や巧妙化を背景に、「侵害される可能性はゼロではない」と考えてさらに対策を一歩進め、PCやサーバなどのエンドポイントを対象としたEDR（Endpoint Detection and Response）やXDR（eXtended Detection and Response）といった検知や対応に特化したソリューションを導入する企業もある。

ソフォスの野口 みどり氏

　しかし、攻撃と防御はいたちごっこといわれる通り、攻撃はさらに高度化してEDRによる検知さえかいくぐろうとしている。OSやアプリケーションの脆弱（ぜいじゃく）性を突くなどして侵入した後、システム内で侵害範囲を広げる横展開（ラテラルムーブメント）を素早く進め、検知される前に実害を及ぼすようになっているのだ。

　「当社は多くのお客さまのインシデントレスポンスを支援してきました。その実績に基づいたデータによると、ランサムウェア攻撃の90％が営業時間外に、そして43％は金曜日か土曜日に始まります。木曜日に攻撃が始まったとすると金曜日の朝には社内で攻撃に気付いて対処できる可能性がありますが、金曜の夜に攻撃されると対処が難しい。月曜日に出社してきたころには、全てが終わった後です」と、ソフォスの野口 みどり氏（セールスエンジニアリング本部　インサイドセールスエンジニア）は指摘する。

　侵入してからシステム内で横展開する際の滞留時間も短くなる一方だ。野口氏によると、滞留時間の中央値は、2022年の9日間に対して、2023年前半には5日間に短縮した。システムの要となる「Active Directory」に到達するまではわずか16時間で、1日とかからない。

　「言い換えれば攻撃のスピードが速くなっており、対応が遅れるとすぐに被害が拡大してしまいます。そこで24時間365日体制で監視し、いかに早く気付いて手を打つかが重要になっています」

攻撃者が侵入してから内部の探索を終えるまでの時間は1日以内だ（提供：ソフォス）

　だが、ここで再び問題が浮上する。EDRを導入して24時間365日で監視できる体制を整備するとなると、SOC（Security Operation Center）だけでセキュリティエンジニアが十数人は必要になる。そんな大規模な投資は、大企業ならばともかく中堅・中小企業にとっては非現実的だ。「EDRをしっかり運用するには、SOCやCSIRT（Computer Security Incident Response Team）といった組織をつくって運用し、いざというときに対応する必要があります。しかし、多くの企業にとってそこに人を割くのは困難です」。

アナリストが高度な監視、分析、対処を実施

　中堅・中小企業に対策を求められても、具体的な手が打ちづらい中、サイバー攻撃者は手を緩めることなく活動している。「自分たちの会社は大丈夫だろうか、取引先からの要求に応えられるだろうか」という不安を抱える中、しっかりセキュリティを強化し、ビジネスを継続するために、野口氏は2つのポイントを挙げた。

　一つは「侵入前提」という言葉の意味にとらわれ過ぎず、止められる攻撃はしっかり止めることだ。昨今の高度な攻撃を100％防ぐのは不可能だ。しかし適切なエンドポイントプロテクション製品を導入することで、9割以上の攻撃を防げる。

　その上で、残るわずかな、しかし侮ることのできない高度な攻撃を、EDRと監視体制を組み合わせて検知し、適切に対処することが重要だ。そこを補うのが、ソフォスが提供するMDR（Managed Detection and Response）となる。

　「侵入前提で対策し、入ってきたものを全て調査すると多くの工数がかかります。ソフォスは、止められる脅威はしっかり止めてその後の検知や調査をプロフェッショナルが担うことで、より効率的かつ迅速に対処する仕組みを提供し、ビジネスの継続を助けます」

　ソフォスはエンドポイントセキュリティ製品の「Sophos Intercept X Endpoint」やファイアウォール製品の「Sophos Firewall」に加え、メール、クラウド、NDR（Network Detection and Response）といった幅広いセキュリティプラットフォームを提供している。これらの製品からさまざまなログやデータを「データレイク」に集め、脅威インテリジェンスと付き合わせながらソフォスのセキュリティスペシャリストが相関分析し、脅威を検出するのが「Sophos MDR」だ。

　Sophos MDRには、脅威の調査と封じ込めに対応する「Sophos MDR Essentials」と、それに加えてインシデントレスポンスを支援し、侵入経路の調査から影響範囲の特定、再発防止策の提案までを包括的に提供する「Sophos MDR Complete」という2つのサービスメニューがある。PC1台、サーバ1台からでも導入でき、中堅・中小企業でも導入しやすい。グローバルで約2万3000社が採用しており、その経験がサービスにさらにフィードバックされて多様なケースに対応できるようになっている。

Sophos MDRのサービス対応範囲（提供：ソフォス）

　「Sophos MDRは24時間365日、同じ品質で調査を続けます。夜間や週末に攻撃や怪しい振る舞いがあっても日中と同様に調査し、一次対応まで終えて結果を報告します。当社の通知を受け取ってから、お客さま側で何らかのアクションを取る必要はありません」。誰かがVPNのアカウントを乗っ取って侵入を試みたり侵入後の端末で管理者権限を奪取しようとしたりする動きがあると、EDRやネットワークセキュリティ製品から情報を受け取って調査し、早期に対処する。

　結果として、脅威の検出、調査、封じ込めといった対応を平均1時間未満で実現しており、IT管理者の目が届かない隙に横展開しようとする脅威に迅速に対応できる。これにより、「セキュリティを強固にしつつ、お客さまはビジネスに集中できるソリューションになっています」と野口氏は述べる。

　Sophos MDRの一つ目の特徴は世界約500人のセキュリティアナリストによってクオリティーの高い監視・対応サービスを提供していることだ。特に、同社のサービスにおいて最もレベルの高いL3アナリストによる脅威ハンティングの状況は同社のデモサイトで公開されており、毎月どのくらい新たな脅威を確認しているかという定量的な情報でスキルが分かる。

　「インシデントレスポンスにおいても、業務復旧を優先するのか、情報漏えいの有無を確認したいのかといったお客さまの優先順位を踏まえ、的確に調査、対応します。実際にインシデント対応をさせていただいたお客さまからは満足の声をいただいています」（野口氏）。

　二つ目の特徴は拡張性の高さだ。Sophos EndpointやSophos Firewallを利用している場合は、「エンドポイントから得られた情報をファイアウォールと連携させ、悪意あるIPアドレスとの通信を自動的に遮断する」といった具合でより容易に封じ込めができる。ソフォス製品に限らず、サードパーティーの多様なセキュリティ製品を利用している場合でも連携できる。

　特に評価が高いのは、追加料金なしで「Microsoft 365」と「Google Workspace」のセキュリティアラートのログをAPI経由で取り込んで包括的に調査・対応できる点だ。

　「米国のあるお客さまに対して、Microsoft 365で受信したメール経由でマルウェアが侵入した際に経路を調査し、不審な通信に対処した例があります。Sophos Endpointとログ情報を組み合わせることで調査と対処の精度が高まり、お客さまに安心していただけます」

企業が本業に専念できるように支援するSophos MDR

　Sophos MDRは、国内でも、筑豊製作所や細田工業、ヤスヒラといった、物作りや技術提供を本業とする従業員数100人前後の企業にも多く採用されている。いずれもITやセキュリティが専業ではないにもかかわらず、取引先から高いセキュリティ水準を要求され、どう対応するのかを検討した結果だ。顧客の中には、「もっと早くソフォスのことを知っておけばよかった」という声もあるという。Sophos MDRのサービス理念として、「お客さまには、日中はビジネスに集中していただき、夜は安心してお休みいただける環境を提供したい」と野口氏は話す。

　サイバー攻撃が激しさを増し、セキュリティ対策はサプライチェーンを構成するあらゆる規模の企業に必要となった。ソフォスは、Sophos MDRを通してあらゆる企業に幅広く高度なサイバーセキュリティを提供し、支援するという。