セキュリティ製品を導入していても、組織内のEDRやEPPが正常に動作していない時間は発生しており、攻撃者はこのわずかな「防御の空白」を突いて侵入を試みてくる。デバイスの管理・自己修復にまつわるソリューションをグローバルで提供するAbsolute Softwareでシニアシステムエンジニアを務める藤田平氏に、PCのファームウェア内にある独自技術でセキュリティ製品を「あるべき状態」に保ち続ける仕組みを聞いた。

「入れたら安心」に潜む盲点。EDR・EPPの停止時間は約5時間30分にのぼる

　セキュリティ対策として、多くの組織がEDR（Endpoint Detection and Response）やEPP（Endpoint Protection Platform）を導入している。しかし、それらが常に正しく動作しているとは限らない。Absolute Softwareが管理する1600万台のデバイスから収集したデータをまとめた「Resilience Risk Index」によれば、導入済みのEDR・EPPのうち常に稼働しているものは7割程度しかない。残り3割の製品は本来あるべき正しい状態で機能せず、ポリシー違反の状態にあり、もしこの空白の時間を1日に換算するならば、約5時間30分にのぼる。

　「セキュリティ製品を入れた後、それがきちんと動いているかどうかまで確認している企業はごく少数だ」と、Absolute Software シニアシステムエンジニアの藤田平氏は語る。

　問題は、管理コンソールからは「デバイスの電源がオフ」なのか「EDRのサービスだけが停止している」なのかの区別がつかない点だ。実際、国内で発生したランサムウェア攻撃の詳細報告書には、被害拡大の要因として「EDRが強制停止されていたこと」がたびたび記録されている。攻撃による意図的な停止だけでなく、ソフトウェアの更新時や環境依存の障害でも強制停止は起こりうる。「ソリューションを導入したことで安心してしまい、その後は放置。それが今のエンドポイントセキュリティの危うい現状だ」（藤田氏）
 

ファームウェアに組み込まれた「必ず起き上がるエージェント」

　この課題に対してAbsolute Softwareが提示するのが、「Absolute Secure Endpoint」に搭載された「Application Resilience」だ。同社は2005年よりDell、HP、Lenovoをはじめとする28社のWindowsPCメーカーとOEM契約を結び、独自モジュール「Absolute Persistence」をファームウェア（BIOS/UEFI）に組み込んだ状態で出荷している。世界では既に6億台以上のデバイスに搭載済みであり、ユーザーはライセンスを購入して有効化するだけで機能が起動する。
 
　この仕組みの特徴について藤田氏は「ハードウェアレベルで動作するため、ソフトウェアが壊れたりOSが初期化されても必ず起き上がってくる」と語る。一般的なセキュリティエージェントは自身が停止すると自力では復旧できないが、Absolute のエージェントはファームウェアから起動されるAbsolute Persistenceのプロセスによって再生成されるため、一度インストールすれば以後はメンテナンスフリーで稼働し続ける。そのエージェントを使って他のセキュリティ製品を監視・修復することが可能だ。

　対象のセキュリティ製品の停止をApplication Resilienceが検知すると、まずサービスの再起動を試み、それでも復旧しない場合はアンインストールと再インストールを自動で実行する。管理者はダッシュボードや定期配信のレポートで全端末の稼働状況を把握可能だ。

セキュリティ投資を「下支え」する、競合しない商材

　Application Resilienceはセキュリティ投資の費用対効果（ROI）の面でも大きな意義を持つ。仮に100万円分のセキュリティ製品を導入していても、23%の時間で動作していなければ、実質的な効果は約80万円分にとどまり、20万円以上の損失といえる。

　「今までは、1つの網（防御層）をすり抜けられたら、また別の網を重ねるという足し算の対策ばかりだった。しかし、そもそも今ある網が破れていては意味がない。Application Resilienceは製品本来の価値を100％発揮させる”下支え”的存在だ」（藤田氏）

　NIST（米国立標準技術研究所）のサイバーセキュリティフレームワークが求める「検知能力強化」や「資産の整合性監視」という観点でも有効だ。ランサムウェア被害の報告書ではこうした監視の不備が課題として記録されており、対策の実施根拠となるだろう。

　Application Resilienceを活用し、Windowsパッチの適用率を従来の60～70%から99%まで引き上げた事例もある。医療機関や法律事務所といったコンプライアンス要件の厳しい業種だけでなく、大量の端末を少人数で管理する教育機関など、人手の限られる現場でも導入が広がっている最中だ。

　パートナー企業への訴求においては、既存製品と競合しない立ち位置が強みとなる。Application Resilienceは、EDRやセキュリティ製品の価値をさらに高める存在だ。他の製品を排除せず、どの製品とも組み合わせて提案できる。「セキュリティ製品間で競合が生じやすいパートナー環境において、唯一無二の下支えの基盤として新たな提案軸になるだろう」と藤田氏は最後に語った。