近年、“プロ”の組織によるサイバー犯罪の深刻化が指摘されている。攻撃が高度化し、脅威の侵入を完全に防ぐのが不可能な以上、マルウェア感染や疑わしい挙動の検知、感染端末の隔離といった対応をいかに早く的確に行うかが、サイバー攻撃対策の勘所となる。ソリトンシステムズの荒木粧子・エバンジェリストは、このような課題に有効なソリューションとして、エンドポイント(端末)で脅威の検知・対応を行う「EDR(Endpoint Detection and Response)」ツールを紹介した。
予防から対処までの自動化にニーズ
荒木粧子
マーケティング部
エバンジェリスト
かつてサイバー攻撃といえば、愉快犯、いやがらせ、個人的な利益を目的としたものが主流だったが、ここ数年でその主体は個人から犯罪組織に移り、一部では反社会的勢力の資金源になっているともいわれている。
荒木エバンジェリストは、昨今のサイバー犯罪の傾向として「“ビジネスセンス”が非常に高いグループが犯罪に手を染めている」と指摘する。例えばランサムウェアでは、大もとの犯罪組織が自らサイバー攻撃を行っているのではなく、開発者、運用担当者、マーケティング担当者など、さまざまな役割をもった複数のチームから構成される「攻撃代行サービス」に委託して、マルウェアの開発、送信、集金など、一連のプロセスを実行している。高度な専門性をもったチームが実行犯を担当するため、一般企業には感染の検知や被害の防止が難しくなっている。
このように高度化する攻撃に対して、さまざまなセキュリティ製品が提案されている。例えば、社外との通信の中身を監視し、遠隔操作に使われるC&C(命令・制御)サーバーへの接続が発生した場合、「社内に感染端末あり」とアラートをあげるゲートウェイ型製品などは代表的だ。
しかしユーザーの視点に立てば、マルウェアが通信を開始する前に、活動を封じてほしいというのが当然の要求だ。また、IT管理者がいない支社でマルウェア感染が起こった場合、本社から感染端末の切断などの指示を出しても、現場の従業員が正しく対応できるとは限らない。さらに、事後の対応として顧客や取引先、監督官庁にインシデント報告が必要となるが、単にアラートがあがるだけでは感染経路や被害規模を把握することもできないため、端末上で何が起こったかのログを取得しておく必要がある。ゲートウェイ型のサンドボックス製品では、これらの要求に十分応えられないのが現状だ。
荒木エバンジェリストは、このような問題に対して有効なソリューションとして、エンドポイントで脅威の検知・対応・記録を行う、EDRを紹介。米国では2年ほど前から提案され、最近は日本でも販売されている。EDRは、脅威を検知すると、端末をネットワークから隔離したり、稼働中のマルウェアを終了して実行禁止にしたりと、管理者が行うべき対応をツール側で自動化してくれるのが特徴。あわせて、端末上のプロセスやユーザー操作を記録することで、事故発生時の感染経路・被害の特定が可能となるほか、内部不正対策としても役立てることができる。
EDR製品の選択ポイントは
EDRは、製品によって機能や特徴がさまざまで「どの端末が感染したかを洗い出すことに重点を置く製品もあれば、事前対策に力を入れて感染を極力未然に防ぐ設計思想のものや、クラウド側でログを分析し脅威を検知するものもある」(荒木エバンジェリスト)という。このため、導入にあたって自社の情報セキュリティ対策におけるEDRの目的を明確にして、それに合った製品を選択することが重要になる。
また、既存のセキュリティ製品と同様、EDRにおいても正規の通信を誤って脅威と判定してしまう「過検知」の問題は存在する。過検知による端末の自動隔離が多発すると、その復帰のために管理者の業務がかえって増えるということにもなりかねない。荒木エバンジェリストによると、「初期のEDR製品は、インシデントの全容解明に重きを置いたものが多かったが、ランサムウェア被害などの拡大もあり、最近出てきた製品は事前の予防を重視したものが多い」という。予防重視型の製品では、その性質上過検知が発生しやすいため、脅威を検知したときに、その理由を詳細に知ることができる製品や、ポリシーの設定作業を支援してくれるベンダーの製品を選ぶのが望ましい。
ソリトンシステムズでは、自社開発のEDR製品「InfoTrace Mark II for Cyber」を販売しており、すでに一部顧客のセキュリティオペレーションセンター(SOC)などで採用されている。また、不正や事故の調査において電子データの保全・分析などを行う「デジタルフォレンジック」サービスも合わせて用意しており、事前の対策からインシデント発生時の対応まで、顧客のセキュリティ体制をトータルで高められる製品・サービスを提供できる仕組みを整えているという。
