エンドポイントセキュリティ対策において、シグネチャをベースとした従来型のアンチウイルスはもはや役に立たないといわれている。そこで今、注目されているのが「次世代エンドポイントセキュリティ」だ。従来型の対策と一体何が違うのか。新興企業の次世代型製品にスポットをあてながら、今求められるエンドポイントセキュリティ対策を追う。(取材・文/前田幸慧)
従来型アンチウイルスの限界
「次世代エンドポイントセキュリティ」登場
「アンチウイルスソフトは死んだ」──2014年、エンドポイントセキュリティベンダーである米シマンテック幹部によるこの発言が注目を集めた。当時のアンチウイルスソフトでは、サイバー攻撃の半分以上は検知できず、より高度化、巧妙化する攻撃に対しての限界を指摘していた。
昨今、後を絶たないセキュリティインシデントの発生をみても、エンドポイントセキュリティの世界で、シグネチャをベースとした従来型のアンチウイルスがマルウェア感染の防御にもはや役立たないというのは、周知の事実となっている。確かに、この技術は既知の脅威においては高い効果を発揮する。しかし、攻撃者は次々に新たなマルウェアや亜種を作成している。パターンマッチングはこうした、いわゆる“未知”のマルウェアへの対応には弱く、対策を打っている間にも攻撃者は新たな攻撃手段を用意するため、対応が追いつかない現状がある。
最近では、PowerShellなどの正規のツールを悪用してレジストリを改変する「ファイルレスマルウェア」など、ファイルという形態をとらずに攻撃活動を行うサイバー攻撃も確認されている。従来型のセキュリティ製品ではファイルベースでマルウェアを検出するため、こうした攻撃には対応することができない。
また、近年はモバイル端末の利用やクラウドサービスの普及に伴って、端末がVPNを経由せず、外部のネットワークに直接アクセスするケースも増加している。自社のネットワーク、ゲートウェイで構築したセキュリティも及ばないため、別途何らかの特別なセキュリティ対策を講じていなければ、それだけセキュリティ脅威に晒されるリスクが高まってしまう。そうした場合を含め、詰まるところ、最後に端末を守るのはエンドポイントセキュリティということだ。
ITベンダーの間では、既存のものとは異なる新たな技術を搭載した製品に対し、マーケティング的意味合いも含めて「次世代」ということばがしばしば用いられる。とくにセキュリティ分野においては「次世代ファイアウォール」が製品カテゴリの一つとして広く認知されている。今、そうした次世代化の波が、エンドポイントセキュリティにも到来している。従来型のエンドポイントセキュリティ製品の課題を克服するものとして注目されているのだ。
未知の脅威への対応と
検知の後に対処するEDRの機能も重要
「次世代エンドポイントセキュリティ」とは何か。明確な定義は存在していないものの、次世代と称するうえで最も重要な要素とされるのが、従来のアンチウイルス技術ではできなかったことができるということ。すなわち、既知だけでなく未知の脅威も検知し、感染を防ぐことだ。次世代エンドポイントセキュリティベンダーとして注目される企業のなかには、AI(人工知能)技術の活用を打ち出しているところもあるが、これらの技術が次世代エンドポイントセキュリティであるための十分条件というわけではなく、未知の脅威を検知することができることが肝になる。
それに加えて重要なのが、エンドポイントへの侵入後に起こす不正な挙動の検知と対処を行う「EDR(Endpoint Detection and Response)」の機能。検知力を高めるアンチウイルス技術を搭載していても、それだけで100%感染を防御できるわけではない。検知を免れるマルウェアの存在も考慮に入れて、何らかの攻撃に遭ってしまった場合に被害を最小限に食い止める策を講じておくことも大切だ。
セキュリティ業界関係者の間では主に、これら2つの要素をもつ製品が、「次世代エンドポイントセキュリティ」であるとされている。一般的に、次世代エンドポイントセキュリティベンダーとして注目されているのは、設立が2010年代の新興企業に多い。今回はなかでも、Cylance、SentinelOne、CrowdStrike、Carbon Blackの4社について紹介する。
次世代アンチウイルスの推進役
AIを使った検知率の高さが強みのCylance
次世代エンドポイントセキュリティの分野でまず名前が挙がるのが2012年設立の米Cylanceだろう。マルウェアの実行を防御することに対して機械学習を活用し、既知・未知の脅威にも対応することが可能なエンドポイントセキュリティ製品「CylancePROTECT」を提供している。
日立ソリューションズ 写真左から、
セキュリティソリューション本部 セキュリティプロダクト第1部
塩田尚志グループマネージャ、真島秀一課長、押田勇三主任技師
CylancePROTECTの機械学習エンジンでは、プログラムファイルを対象に、あらかじめ「よい」「悪い(=マルウェア)」とラべリングした約10億に及ぶファイルデータを教師データとして学習させて特徴点を抽出し、「よい」「悪い」を見分けるためのしきい値を見出す。このしきい値をもとにして、マルウェアかどうかを判定している。昨年4月から同製品の販売を手がける日立ソリューションズの真島秀一・セキュリティソリューション本部セキュリティプロダクト第1部課長は、「CylancePROTECTでは、シグネチャレスで予測防御を行う。未知のファイルであってもマルウェアがどういうものかを学習結果として理解しているので、どんなものが入ってきても予測して判断できるのがAIのアプローチだ」と説明する。
国内で提供するCylancePROTECTは、今のところEDRの機能をもっていない。そこで、万が一マルウェアに感染してしまったとしても被害の影響範囲を抑えるために、日立ソリューションズでは今年8月、同社の情報漏えい対策製品「秘文」の最新版で、CylancePROTECTとの連携を実現した。ホワイトリストの方式で、正規のプログラムだけが機密データへのアクセスを可能にし、不正なプログラムや不正なDLLを組み込まれた正規のプログラムなど、安全性が確認できないプログラムについてはアクセスを禁止する。その他、ランサムウェアによる機密データの暗号化や削除を防ぐ機能を搭載。また、CylancePROTECTのマルウェア検知情報と秘文のユーザー操作ログを組み合わせて分析することにより、マルウェアの侵入経路を可視化し、再発防止を支援する。「入口で守れなかったところは秘文で守る」と、押田勇三・主任技師は強調する。
AIを使った2種類の検出エンジン
検知から復旧までを行えるSentinelOne
2013年設立の米SentinelOneは、エンドポイントセキュリティソリューション「SentinelOne Endpoint Protection Platform(SentinelOne EPP)」を提供している。日本市場には、今年1月末に本格参入。伊藤忠テクノソリューションズ(CTC)が販売代理店を務めている。
SentinelOne EPPの特徴は、機械学習を活用した2種類の検出エンジンで脅威を検出すること。および、脅威の検知から対応、被害の軽減、復旧までを一つのプラットフォームで実行できることだ。
SentinelOneの検出エンジンでは、機械学習で抽出したマルウェアの特徴点をもとに、攻撃前は静的にファイルを分析し、攻撃中はシステムの挙動を動的に解析することで、脅威を見つけ出す。検出した脅威に対しては、プロセスの停止や感染した端末をネットワーク接続を遮断するなどの対応をポリシーにもとづいて自動で実行し、被害の軽減を図る。攻撃後はインシデント影響範囲の調査が可能で、ランサムウェア感染時にはファイルの復旧を行うこともできる。
伊藤忠テクノソリューションズ(CTC) クラウド・セキュリティサービス本部
セキュリティビジネス部 セキュリティインテグレーション課
中島嗣晶課長(右)と吉田悠一氏
「脅威を見つけるだけでなく、被害の軽減、復旧まで迅速に対応できるEDRの機能ももっている」とCTC クラウド・セキュリティサービス本部セキュリティビジネス部セキュリティインテグレーション課の吉田悠一氏。製品自体は、ユーザーがすでに利用しているアンチウイルス製品との共存も可能だが、現状は「置き換えのニーズが多い」と、同課の中島嗣晶課長は説明する。
今年7月からは、CTCのセキュリティ監視・運用サービス「CTCマネージドセキュリティサービス(CTC-MSS)」と連携し、SentinelOne EPPも監視対象に加わった。中島課長は、「サービスとして提供するので、幅広い層の企業に利用していただくことができる」と話している。
[次のページ]CrowdStrikeはインテリジェンスにルーツ 最後の砦はSOCチームにあり
