重要な情報が置かれているエンドポイントをいかに守るか。これは、企業・組織の情報システム部門の方にとって非常に大きな課題です。このコーナーでは、近年、さまざまなセキュリティ対策の中でも注目度が高いエンドポイントのセキュリティ対策について、SKYSEA Client Viewが連携しているエンドポイントセキュリティメーカー様にお話を伺います。第6回の今号は、「Cybereason EDR」などのサイバー攻撃対策プラットフォームを提供されている、サイバーリーズン・ジャパン株式会社様にご協力いただきました。
サイバーリーズン・ジャパン株式会社
執行役員副社長
渡部 洋史 氏
当社は、世界で最も手強い諜報機関の一つといわれている、イスラエル国防軍の諜報部隊組織「8200部隊」出身を含む3人の創業者によって、2012年にイスラエルで設立しました。2000年代に入り、もともと軍事レベルで使用されていた高度なハッキングツールが、インターネット上で簡単に入手できるようになりましたが、創業者たちは民間企業がそのような高度な攻撃から自社の資産を守るためには、軍事レベルの防御技術が必要だと考えていました。そのため、当社の製品には、政府レベルのオペレーション構築や、攻撃と防衛、両方の側面を経験してきた彼らの経験が生かされています。
日本では、ソフトバンク株式会社が当社の製品を採用していたことが縁で合弁会社を設立、2016年に「サイバーリーズン・ジャパン株式会社」としてスタートしました。EDR(Endpoint Detection and Response)製品としては後発でしたが、サイバー攻撃が事業継続に与えるリスクが日本でも広く浸透し始めたタイミングと当社のマーケティング戦略が合致し、広く製品を知っていただく機会を得ることができました。数社のリサーチ機関から、国内のEDR市場においてシェア1位として位置付けられています。
日本では、2018年に「政府機関等の対策基準策定のためのガイドライン」や各種ガイドラインにEDRのようなツールについての具体的な内容が記載されたことで、EDRの認知度が高まりました。それまでのセキュリティ対策は、ファイアウォールやIDS・IPS(不正侵入検知・防御)、アンチウイルスソフトウェアなど、入口に重点が置かれていましたので、侵入された後の対策強化が重要だと公的な文書に記載された影響は、非常に大きかったと思います。
製品そのものについては、誤検知をなくし正しい検知ができる解析能力、さらに、今受けている攻撃を正確に見える化できる点を評価いただいていると思います。怪しい動きを検知するためには、まず収集する情報量の多さが求められます。しかし、誤検知が多ければ対策のための正しい判断ができなくなり余計な作業も増えてしまうため、解析能力の高さがセットになっていることが必要です。解析には、脅威インテリジェンスのデータベースから、怪しいふるまいの相関分析・関係づけを行うことが必要ですが、軍事レベルのノウハウや知識を生かした当社製品の解析力は、第三者のリサーチ機関からも他社製品とは大きく異なると評価されています。
また、高度な解析ができるアナリストが国内にあるSOC(Security Operation Center)に常駐し、お客様のエンドポイント環境の監視・解析サービスを提供できることも、日本市場でのシェア拡大の要因でもあります。EDRは海外の製品が大半なので、日本のお客様向けのWebサイトであっても、翻訳機能で訳した日本語を使っていることが多いと思います。当社では、ITに詳しくない方にもわかりやすいことを心掛け、セキュリティの専門家が日本語への対応作業を行っています。UIについては完全に日本語化しています。
日本では、セキュリティ対策をSIerに委託されることも多いため、EDRを検討されるお客様の中には、使い勝手やわかりやすさを重視されない方もいらっしゃるかもしれません。しかし、最終的に対策を決めて実施するのはお客様です。また、インシデント発生時のインシデントハンドリングでは、お客様を交えて私どものMSS担当とSIerの三者が同じ画面を見て会話することになります。そのため、当社の製品はセキュリティの専門家ではないお客様がご覧になっても、実際に何が起こっているのか、ダッシュボードの画面を見ればすぐに状況がわかることにこだわりました。実際にデモをご覧いただいたり、お客様の環境で実証実験を行うと、わかりやすさに驚かれます。
青いバブルが攻撃の数、感染規模、経過時間を示し、左から右へ進むほど攻撃が進行しダメージが大きいことを表す。攻撃にはインシデントを起こすまでのステップがあり、サイバーキルチェーンとも呼ばれる。「Cybereason EDR」のダッシュボード画面では、サイバーキルチェーンのどの段階まで攻撃が進んでいるかを確認でき、攻撃の種類や侵入経路、被害を受けた端末、影響範囲などの解析結果を基に、攻撃の全体像が時系列に可視化できる。
セキュリティインシデントが起こったときには、発生原因、影響範囲を明確にし、的確な対応とセキュリティ対策の強化を図る必要がありますが、多くの時間とリソースが必要で簡単なことではありません。「Cybereason EDR」は、原因追及と影響範囲を特定し、即時に対応できるよう、感染状況を表示した管理ダッシュボードから、マルウェア感染端末を一覧表示させ、それらのセッションをボタン一つで切断できるようにしました。また、解析サーバー向けのセッションだけは接続して、外部通信のみ切断することも可能です。
端末がマルウェアに感染したとき、まずは端末使用者に対してネットワークから遮断するよう指示を出し、その後、端末を回収して調査することになると思います。しかし、端末を回収してしまえば、その間、端末使用者は作業ができなくなり、代替機を貸与しても、いつもとは違う使い勝手に作業効率が落ちてしまいます。「Cybereason EDR」は、管理者がネットワークからの切断を遠隔で実施し、その間にリモートでマルウェアの拡張子を変えて安全な場所に隔離できるので、端末使用者はマルウェア感染発覚後もいつもの端末で業務の継続が可能です。業務終了後に端末を提出してもらい、そこからしっかり調査ができます。
企業ネットワークへのセキュリティ侵害が発生した際、企業にとって重要なのは侵害への即時対応はもちろん、事業を継続させることです。私どもでは、事業継続を意識したセキュリティ対策が重要だと考え、マルウェアに感染した際の端末の運用効率を意識しています。
サイバー攻撃の最初のアプローチは、従来の方法から今もほとんど変わっていません。そのため、従業員の方に向けての注意喚起やメールの訓練には一定の効果はありますが、それだけでは高度化・巧妙化したサイバー攻撃から守ることは難しくなっています。一度感染してしまうと、侵入した証拠を消去したり、バックドアを作って再び侵入できるようにするなど、気づくことが難しい攻撃が数年にわたって何度も実行されてしまいます。ランサムウェアの被害に遭って身代金を払ってしまった場合、攻撃者は仕掛けておいたバックドアを使って攻撃を仕掛け、再び身代金の支払いを要求するというのはよくあるパターンです。
今年、大手自動車メーカーが再びランサムウェアの被害に遭ったという報道がありました。詳細は公表されていませんが、その企業でしか動かない標的型のランサムウェアによる攻撃だったといわれています。大企業だから狙われたと思う方もいらっしゃるかもしれませんが、攻撃者は何年もかけてその企業に関わる情報を徹底的に調べているので、セキュリティ対策が脆弱な取引先を見つければ、そこから侵入を試みます。攻撃が仕掛けられるのは大企業だけではありませんし、標的型攻撃の侵入を防ぐことは非常に難しいため、被害を受けた際の対応について想定しておくことが大切です。
入口対策やログの収集、多層防御による日頃のセキュリティ対策も重要ですが、これまで日本の企業が、セキュリティインシデントが発生した際のインシデントハンドリングにあまり注力されてこなかったことも、何度も被害に遭ってしまう要因だと思います。高度なセキュリティ対策を行っても100%攻撃を防ぐことができない今、インシデントハンドリングをしっかりと行うことは最も重要な対策です。
また、近年、レベルの高いセキュリティ対策を求めて、セキュリティ対策の管理・運用をアウトソースするサービス、MSS(Managed Security Service)を導入される企業が増えています。当社のMSSは、高度なスキルを持つセキュリティの専門家が、お客様のセキュリティご担当者に代わって端末を監視し、検知したリスクの判定を行います。システム全体をリアルタイムで監視し、すべてのエンドポイントから収集される情報を専門のアナリストがレポートにまとめるなど、お客様が脅威に対して的確に対応できるようサポートします。EDRを提供しているベンダーが、自社でMSSまで提供する体制を日本国内に整えているのは、おそらく当社だけだと思います。海外ベンダーの製品の場合、導入後のサポートが心配というお客様もいらっしゃると思いますが、当社の製品は、日本のお客様に安心して運用していただけるよう、UIやWebサイトの完全日本語化を含め、日本国内でのサポート体制を強化しています。
まずやるべきことは、社内システムの見える化だと思います。今のサイバー攻撃は、これまでに構築されてきた次世代ファイアウォールやIDS・IPSなど多層防御の環境を、さらに何層も重ねて強化しても、残念ながらすり抜けてしまいます。SKYSEA Client ViewでPCの資産情報、ソフトウェアのバージョン管理や脆弱性情報を見える化することも必要ですし、未知の攻撃に対しては、EDRで攻撃の有無を見える化することが必要です。テレワーク中の業務に制限をかけることで、ある程度のセキュリティは保てるかもしれませんが、それでは生産性に影響が出てしまいます。生産性を保ったままセキュリティを確保しようとするならば、エンドポイントのセキュリティを強化することに注力していただくべきではないかと考えます。
今やどうしてもテレワークできない業種・職種を除いて、テレワークの導入は避けて通れません。テレワークをやってみて、実は意外と生産性が落ちないことに気づかれた方も多かったと思います。これを維持するためのセキュリティ対策を急がれているなかで、スマートフォンやタブレット端末などのモバイル端末のセキュリティ対策に悩まれているセキュリティご担当者も多いのではないでしょうか。テレワークでは、オフィスワークよりもスマートフォンやタブレット端末などのモバイル端末の活用が増えます。モバイル端末にはデータを保存しないからセキュリティは大丈夫と思われる方もいらっしゃるかもしれませんが、攻撃者は企業のシステムに入る入口として狙ってきます。そこで当社では、モバイル端末向けのEDRのリリースを予定しています。モバイル端末のセキュリティ対策も、テレワークのセキュリティ強化の検討項目としてご検討ください。
セキュリティご担当者には、引き続き「Emotet」への警戒を忘れないでいただきたいと思います。もともとはオンラインバンクの認証情報を盗むバンキングトロジャンでしたが、現在は完全に日本企業向けにチューニングされ、さまざまなマルウェアの感染・拡散を行うためのツールに進化しています。今後、さらに進化を続けても、EDRが導入されていれば検知することができますので、テレワークの実施に伴いセキュリティ対策の強化を検討されているのであれば、ぜひEDRの導入を検討いただきたいと思います。最近報道された大手通信事業者を狙った攻撃では、BYOD経由での不正アクセスも存在したという情報もありますので、できるだけ早く攻撃の有無が見える化できる環境を整えてください。また、ランサムウェアも、当初のばらまき型から特定の相手を狙った攻撃に進化し、「Snake」と呼ばれる産業制御システムを狙うタイプが登場するなど、今後も特定の企業・業種にターゲットを絞った高度な攻撃が出てくると予想されます。
セキュリティインシデントを100%防ぐことは不可能です。未知なる攻撃への対策をどう打っていくか、PCはもちろんですが、さまざまなデバイスに対しても対策強化を検討されるタイミングではないでしょうか。
サイバーリーズン・ジャパン株式会社
サイバーリーズン社は、サイバーセキュリティへの革新的なアプローチによって防衛側を優位に変える最適なサイバー攻撃対策ソリューションを提供するベンダーです。サイバー攻撃対策プラットフォームであるCybereasonは、AIを活用して膨大なログデータを相関分析してサイバー攻撃の兆候をリアルタイムに検知・対処する「Cybereason EDR」や、既知および未知のマルウェアやファイルレスマルウェアなどの侵入をブロックする次世代アンチウイルス「Cybereason NGAV」を提供し、企業のPC、サーバーそしてモバイル端末などエンドポイントセキュリティ対策の強化を支援します。
(「SKYSEA Client View NEWS vol.74」 2020年9月掲載 / 2020年7月取材)
テレビCM
SKYSEA Client Viewコラム
