Webroot
テレワークで求められる変化への対応
アラート調査に要求されるスピード
機械化で時間と作業負荷を削減

重要な情報が置かれているエンドポイントをいかに守るか。これは、企業・組織の情報システム部門の方にとって非常に大きな課題です。このコーナーでは、近年、さまざまなセキュリティ対策の中でも注目度が高いエンドポイントのセキュリティ対策について、SKYSEA Client Viewが連携しているエンドポイントセキュリティメーカー様にお話を伺います。第5回の今号は、「McAfee Endpoint Security(ENS)」のメーカー、マカフィー株式会社様にご協力いただきました。

クラウドにFirewallやProxyを置くことが
テレワークのセキュリティ対策強化に

新型コロナウイルス感染症による緊急事態宣言で、多くの企業・組織がテレワークを実施しましたが、貴社のテレワーク実施状況についてお聞かせください。

マカフィー株式会社
セールスエンジニアリング本部
本部長
櫻井 秀光

当社では以前から、一部の部署・従業員に限定してテレワークを取り入れていましたが、基本はオフィスに出社することを前提とした勤務形態でした。全社一斉にテレワークを開始したのは、国内で新型コロナウイルス感染症による影響が深刻になった3月初旬からです。緊急事態宣言によってテレワークをスタートされた企業・組織の多くが、ほとんど何も準備できないまま突入することになったと思いますが、当社も一斉スタートのための準備期間なしに、本格的なテレワークが始まりました。

新型コロナウイルス感染拡大防止を目的としたテレワークでは、多くの企業がさまざまな問題に直面されたと思いますが、幸い私どもではほとんど問題が発生することなく業務を継続できました。大きな要因は、ほぼすべての業務アプリケーションがクラウド上で動作し、それらに対して自社のクラウドソリューションを活用した対策がうまく機能していることだと思います。

ほとんどの企業・組織が、何らかのクラウドサービスを導入されていると思いますが、セキュリティに対する懸念等で、一部のシステムに限定した導入にとどまっている場合もあるのではないでしょうか。このようにセキュリティがネックになって、クラウドサービスの導入が進んでいない場合、CASB(Cloud Access Security Broker)製品を活用されることも選択肢の一つだと思います。CASBは、クラウドサービスの「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」に対応しているため、近年ではクラウドサービスを介した情報漏洩防止を目的に取り入れる企業が増えています。当社でも自社のCASB製品を活用して、機密データを扱う業務アプリケーションを監視しています。個人の端末から業務で使用しているアプリケーションへのアクセス記録をすべて取り、操作内容に問題がないか分析することが、安全の確保につながります。

新型コロナウイルス感染症による緊急事態宣言中は、VPN(Virtual Private Network)回線が逼迫して通信速度が遅いという問題が多くの企業で発生しました。当社では、インターネットへの直接接続をセキュアにする製品を併用しているため、不必要なVPN利用の削減により負荷を軽減することができ、回線混雑の問題は発生しませんでした。急激なVPN回線の強化が難しく、自宅のインターネット回線から業務システムへ接続させる際には、やはり安全性が懸念されます。この問題をクリアするため、当社では、社内LANへ設置するシステムへの接続にはVPNを使用しますが、クラウド上で稼働している業務システムへの接続は、VPNを使用せず直接接続することを許可しています。直接接続する際には、自社のクラウドプロキシソリューションを活用してセキュアな経路を確保しつつ、認証時には、通常のユーザーIDとパスワードに加えて、ワンタイムパスワードを用いた多要素認証を行っています。自宅のインターネット回線のセキュリティが確保できれば、クラウド上で稼働している業務システムへのアクセスにVPN経由が必須ではなくなるため、VPNの通信負荷が原因で業務に支障を来す可能性を減らすことができます。

テレワーク環境を狙った攻撃に対して有効なセキュリティ対策についてお聞かせください。

テレワークを取り入れる企業・組織の増加に伴い、使用しているVPN機器の脆弱性への懸念はさらに増すと予想されます。現在、ほとんどの企業・組織ではオンプレミス上にVPNの仕組みを置いていると思いますが、クラウド型のVPNであれば脆弱性の管理を含めて提供ベンダー側が責任を持ちますので、脆弱性に関しての懸念は軽減できるでしょう。現状では、クラウド型のVPNはオンプレミス型と比較して高価ですが、導入によるメリットが大きいため、価格が下がってくれば採用する企業・組織が増えると思われます。コストと冗長化の観点から、オンプレミスとの併用が進んでいくのではないでしょうか。

セキュリティ確保のため、テレワーク中のインターネット接続はVPNに接続後、オンプレミス上のファイアウォールやプロキシを経由させている企業も多いと思います。業務で使用する端末のインターネット接続をクラウドプロキシ経由にすることで、自宅やカフェなど、外出先からの接続にも、社内と同じセキュリティポリシーを適用できます。当社の製品は、アンチウイルスやフィルタリングにも対応していますので、さらに安心していただけると思います。

テレワークでは、私物端末の利用を業務に取り入れるBYOD(Bring Your Own Device)を導入されている企業・組織もあります。この場合、アンチウイルス製品のインストールという最低限のセキュリティ対策が行われていることが条件になりますが、個人の端末に対して企業・組織がどこまで踏み込めるのかなど、安全性が課題に挙がります。テレワークにBYODを取り入れることの懸念点はいくつかありますが、当面の間、取り入れざるを得ない場合もあると思います。そういった企業・組織のセキュリティ対策に活用いただけるよう、当社のエンドポイントセキュリティ製品「ENS(McAfee Endpoint Security)」のライセンス形態は、端末課金ではなくユーザー課金です。

1ユーザーが5デバイスまでインストールが可能ですので、オフィスのPC1台にインストール済みでも、残りのライセンスを利用して自宅の端末にもインストールできます。すでに導入されているお客様は、すぐにご利用いただけます。

突然実施することになったテレワークでは、セキュリティ対策以外にもさまざまな想定外のコストが発生します。そのため、セキュリティ対策に高額なコストをかけるのが難しい場合もあると思います。そこで、通常は1年単位の契約をお願いしている当社製品のサブスクリプションライセンスを、特別に3か月の短期契約で使用できるようにしています(取材当時。特別3か月契約は5/31で終了)。短期間で自宅回線の業務利用を終えたいので、年単位の契約は費用が懸念される場合などにもご活用いただけます。コスト面のハードルを下げることで、テレワーク実施中のセキュリティ対策強化にご協力できればと考えています。

テレワーク時の課題と解決策

EDR製品は、
問題発生時の調査を意識した製品選定を

貴社のEDR製品「MVISION EDR」の特長についてお聞かせください。

当社は30年以上にわたり、エンドポイントセキュリティに取り組んできました。既知のマルウェアに対応したパターンマッチング型の製品だけでなく、次々に登場する新たな脅威に対応するため、最新のマルウェア感染防止に特化したEPP(Endpoint Protection Platform)や、エンドポイントでのマルウェアの検知と早期対応に特化したEDR(Endpoint Detection andResponse)製品もリリースしました。

EPP製品には機械学習の仕組みを取り入れ、静的解析と動的解析の両方に対応しています。まずは、静的解析でマルウェアが動く前にファイルの拡張子や性質から怪しいものかを判断し、すり抜けて実行されてしまった場合には、動的解析で対応します。ファイルの実行から数秒間のふるまいを分析し、怪しいと判定すればブロックする指示を出します。それら数々の防御壁をくぐり抜けてきたマルウェアに対しては、EDRで検知・対処を行います。

EDRはクラウドにデータを転送することで、不審なふるまいを検知してネットワークからの隔離などを行いますが、EDR製品の多くが検知したアラート調査を補完する機能が不足しています。2019年にリリースした当社のEDR製品「MVISION EDR」は、この「調査」機能に着目して開発しました。SOC(Security OperationCenter)のアナリストが行う調査の手順を製品に組み込み、エンドポイントから上がってきたデータを基にAIで解析します。最終的に判断するのはSOCのアナリストですが、「MVISIONEDR」により、これまで人がやっていた調査を機械化することで、作業負荷を大幅に削減できます。弊社の検証では、ある脅威に関する同じ結果を得るために、「MVISION EDR」での調査時間が6分だったのに対し、あるEDR製品とフリーツールの活用による調査では2時間10分だったという結果も出ました。問題発生時には、原因の素早い公表が求められるため、調査にはスピードが要求されます。EDR製品の選定時は、問題発生時の調査をいかに迅速に行えるのかという点も考慮していただけたらと思います。

しかし、SOCでの迅速な判断にはEDRのみでは要件を満たしません。どの情報が漏れたのかを追跡調査するためには、機密情報を識別できるDLP(Data Loss Prevention)製品が必要です。日本ではまだDLPの必要性が浸透していませんが、今後は暗号化やEPP、EDRとともにDLPを普及させていかなければいけないと思っています。

マルウェア対策に欠かせない EPP と EDR の役割

2020年後半もランサムウェアに注意してください

2020年後半の脅威予測についてお聞かせください。

当社では、年末に翌年の脅威予測レポートを公開していますが、2020年の脅威予測は前年には想像できなかった新型コロナウイルス感染症のパンデミックにより、予測した時点とは脅威の傾向が変わってきています。今、気になっているのは、ランサムウェアの勢いが増していることです。当初は無差別よりも標的型の増加を予測していましたが、このところ新型コロナウイルス感染症に便乗した無差別型も増えています。

一方で、業務が止まれば命に関わるため、多額の身代金を支払わざるを得ない病院をターゲットとしたランサムウェアも同様に増えています。2020年の後半もこの動きが継続されると予測していますが、ランサムウェアに対しては、セキュリティ製品を導入するだけでなく、重要なデータのバックアップもお願いします。

近年、攻撃の巧妙化が進み、システムによる防御への注力が重要だといわれていますが、従業員に対する教育・周知もしつこいくらいに続けていくべきです。単純に、怪しいメールを開かない、リンクをクリックしないなど、基本的な内容をしつこく伝えることで、従業員の意識は変わります。しばらく続く「withコロナ」の期間は、テレワークで注意するべきことを何度も周知していただきたいと思います。

最後に、情報システム部門の方へメッセージをお願いします。

まずは、オンプレミス中心になっているセキュリティ対策の見直しです。クラウドセキュリティ対策の重要性がますます高まってきますので、双方の環境に対して均等にセキュリティを担保するように意識をしていただければと思います。

オンプレミスで行ってきた対策をクラウドでも同様にできる環境が整えば、テレワークができない理由として挙げられた問題のいくつかはクリアできるはずです。私どもは、単なる製品説明ではなく、自社での実際の運用紹介と共に、お客様にとって最適なご提案をモットーとしています。ぜひ、働き方の変化が求められる時代の新しいセキュリティ対策をご相談ください。

マカフィー株式会社 https://www.mcafee.com/
マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を越えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリティソリューションを提供しています。

(「SKYSEA Client View NEWS vol.73」 2020年7月掲載 / 2020年5月オンライン取材)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ