対策強化に欠かせないインシデント分析
重要なのは、
レイヤーを越えて活動する
サイバー攻撃の相関分析

重要な情報が置かれているエンドポイントをいかに守るか。これは、企業・組織の情報システム部門の方にとって非常に大きな課題です。このコーナーでは、近年、さまざまなセキュリティ対策の中でも注目度が高いエンドポイントのセキュリティ対策について、SKYSEA Client Viewが連携しているエンドポイントセキュリティメーカー様にお話を伺います。第8回の今号は、「Trend Micro Apex One」などのサイバー攻撃対策プラットフォームを提供されている、トレンドマイクロ株式会社様にご協力いただきました。

セキュリティ対策を怠ることは、
経営リスクにつながる可能性があります

貴社のご紹介をお願いします。

トレンドマイクロ株式会社
ビジネスマーケティング本部
エンタープライズソリューション部
シニアマネージャー
釜池 聡太

当社は1989年にアメリカで創業しました。そのため海外の企業と思われている方もいらっしゃるのですが、現在は本社を東京に置いている日本の企業です。約6,900名の従業員のうち、日本を拠点にしているのは約800名で、大半がグローバルに活躍しています。リサーチセンターをフィリピンなど数か国に設け、台湾やカナダで製品開発を行っているなど、国境を越えて事業を展開しています。

当社は、世界中の潜在的なセキュリティリスクを監視し、製品やサポートを提供しています。日本をはじめ世界各地に点在し、グローバルと日本国内、双方の視点で脅威を分析しています。サイバー攻撃の多くが欧米で流行してから日本でも増加する傾向にあり、現在、日本で増加しているビジネスメール詐欺も、もともとは数年前に欧米で多発していました。しかし、初めから日本をターゲットとした日本限定で発生している攻撃も存在するため、国内にリージョンを置いていることは、日本のお客様に向けた脅威情報の発信に役立っていると感じています。

グローバル規模に発生しているサイバー攻撃の実情を知ることは、この先日本の組織が対策しなければならない攻撃をいち早く知ることになります。日本を含め世界各地のリージョンで調査・分析した結果は、四半期ごとに発表しているセキュリティレポートや「トレンドマイクロセキュリティブログ」などで公開していますので、ぜひご確認ください。グローバルに発信している情報であっても、日本で公開する際には、攻撃から組織を守るために必要な情報を日本のお客様にわかりやすくご紹介しています。日本語での情報のわかりやすさは、日本企業である当社だからこそだと思います。

そのほかの情報発信手段として、セミナーにも注力しています。コロナ禍では対面のセミナーは難しくなっていますが、ウェビナーを随時開催していますので、ぜひお申し込みください。

今、日本限定で行われている攻撃についてお聞かせください。

日本を狙った攻撃の多くは、海外で行われたものが日本を攻撃対象にするものですが、最近では日本独自の制度について調べた上で、それを攻撃の材料に利用している特徴が見られます。当社の調査では、2020年11月時点で実施されている、新型コロナウイルス感染症緊急経済対策における税制上の措置や、そのほかのさまざまな補助金・助成金・給付金などの支援制度に便乗した攻撃を確認しています。近年、世界的にフィッシング攻撃が増加していますが、コロナ禍に便乗したサイバー攻撃も、その多くがフィッシングメールを使用しています。

数年前までは翻訳機能の精度があまり高くなかったため、日本語があまりにおかしくすぐに怪しいと気づくことができましたが、今ではテクノロジーの進歩により言葉の問題が解消され、なりすましメールを偽物だと疑わない人が増えてしまっています。メールの差出人名は、攻撃者が正規の組織になりすまして名称を変えていることもあります。メールアドレスがGmailなどのフリーメールになっていないか、従業員各自が確認する習慣を身につけることが重要になってきます。

2020年、脆弱性「Zerologon」が話題になりましたが、脆弱性対策の重要性についてお聞かせください。

「Zerologon」の脆弱性が悪用されると、ドメインコントローラーとして機能しているWindows Serverが乗っ取られてしまうため、10段階の脆弱性深刻度スコアでレベル10と評価される、最も深刻度が高い脆弱性です。しかし、すでに更新プログラムが公開されていますので、自組織のネットワーク環境に鑑みて適切なタイミングで適用すれば被害に遭うことはなくなります。

セキュリティ更新プログラムの適用などの脆弱性対策は、システムが止まってしまうかもしれない不安から、対応を後回しにしている組織も多いと思います。しかし、その間に攻撃を受ければ大事な情報が盗まれる可能性があります。セキュリティ対策に対しては「コストと考えず投資と捉えましょう」といわれますが、まさにここが重要なポイントです。コロナ禍以前、大半の方は飲食店を選ぶ基準は味や値段ではなかったでしょうか。しかし、コロナ禍の今、安全性を基準にしている方が増えていますし、飲食店側も感染症対策を怠り感染者を出してしまえば、休業を余儀なくされます。ITを活用したビジネスでも、それと同じで、本来優先すべきセキュリティ対策を怠ったことでマルウェアに感染した結果、情報漏洩等の甚大な被害が発生すれば、たちまちビジネスは立ち行かなくなってしまいます。

また、脆弱性対策と共にセキュリティ対策において重要なのは、自組織の情報の棚卸です。守るべき情報は組織によって違いますので、組織ごとに保有している情報の種類や重要度を把握し、アクセス権の設定など適切に管理しなければならないのですが、実はこれができていない組織が多いといわれています。部署異動が発生していても、アクセス権がそのままになっていないかなど、今一度見直しを行ってください。

テレワークが増えたことで感じられている変化についてお聞かせください。

以前はテレワークを導入している組織でも、利用できるのは営業など一部の従業員に限定している場合が多かったのですが、緊急事態宣言下ではテレワークがどうしても難しい業種・職種を除いて一斉に実施されました。そのため、情報システム部門の方もテレワークで業務をされるようになり、セキュリティ対策を社外から円滑に行うためにクラウドベースのSaaS型製品に対するお問い合わせが増加しています。従来のオンプレミス型のエンドポイントセキュリティでは、持ち出しPCのアップデートが問題になりましたが、クラウドベースであればインターネット経由でクラウド上の管理サーバーに直接アクセスできるため、運用効率を考えて切り替えられるお客様が多くなっています。

SaaS型製品への切り替えは、エンドポイントセキュリティ以外でも進んでいます。近年、エンドポイントのセキュリティ対策の重要性が叫ばれていますが、一方で、当社の調査ではマルウェア感染の9割以上はメールが起点になっていると判明しています。この数値から、入口で止められるものは止めることの重要性がわかります。また、Microsoft 365などセキュリティが強化されているクラウドベースのメールソフトウェアに切り替える流れも加速しています。当社が提供するメールセキュリティは、そういったクラウドベースのメールソフトウェアとAPI(Application Programming Interface)連携し、メールのコピーを受け取ってメールの中身をチェックします。脅威が見つかった場合は、そのメールを隔離して、受信フォルダには入れません。今後はWebゲートウェイ製品などもクラウドベースで検討される組織が増えていくと思いますし、SaaS型の製品をご提案する機会がさらに増えると予想しています。

図1 SaaS利用のメリット

※ エッジリレーサーバーの構築が必要

貴社製品「Trend Micro Apex One」の特長についてお聞かせください。

当社のエンドポイントセキュリティソリューションは、マルウェアへの感染防止に特化したEPP(Endpoint Protection Platform; 図2 左側)と、EDR(Endpoint Detection and Response; 図2 右側)の2つに大きく分けることができます。EPPには従来型のパターンマッチングや、AI・機械学習を取り入れた次世代型と呼ばれる技術も搭載していますが、マルウェアがそこをすり抜けてしまった場合でも、EDRがインシデントを調査して検知・ブロックします。この2つの流れを1つのエージェントで行えるのが、「Trend Micro Apex One」の特長です。他社のEDR製品から「Trend Micro Apex One」に切り替えられたお客様の中には、EPPとEDRが別のベンダーの製品だったために運用が煩雑で困っていたが、1つのソリューションで対応できるようになり助かっているというお声もいただいています。

図2 Trend Micro Apex One のコンセプト

サイバー攻撃は、マルウェアに感染したクライアントPCからサーバーへ横展開し、ネットワークを通じてあっという間に拡大します。そのため、セキュリティ対策において、インシデントの発生を前提としたインシデントレスポンスで、攻撃の全体像を把握できる体制を持っていることが非常に重要です。攻撃者はセキュリティレイヤーを意識することなく攻撃を仕掛けてきます。一方、攻撃された側はインシデントが発生すると、クラウドワークロードやネットワーク、メールなどそれぞれのレイヤーに対応した別々のセキュリティ対策製品を個別に確認して紐づける作業が発生します。EDRはインシデント対応の最初のステップを担いますが、可視化できる範囲はエンドポイントに限定され、各レイヤーのセキュリティ製品の情報を横断的に把握することはできません。そのため、SIEM(Security Information and Event Management)に対応した統合ログ管理ツールを導入される組織もありますが、レイヤーごとのセキュリティ製品の相関までは確認できず、導入・運用コストがネックになる場合もあります。

そこで、当社ではこの問題を解決するため、「Trend Micro XDR」という、レイヤーを横断した検知と対処を実現するソリューションを提供しています。エンドポイントやネットワーク、クラウドワークロード、メールの各レイヤーからデータを吸い上げて分析し、当社の脅威インテリジェンスを活用した検知により、攻撃の全体像を可視化します。今後のセキュリティ対策は、インシデント対応にフォーカスが当たり、レイヤーを越えたサイバー攻撃を相関分析することが欠かせなくなるため、XDRの必要性が高まっていくと考えています。

セキュリティインシデント対応で重要なのは、
対症療法ではなく、抜本的な対策

近年、パターンマッチングによるマルウェア検知の不要論を目にしますが、貴社の見解をお聞かせください。

各レイヤーに対応したセキュリティ製品には、さまざまな検知・防御技術が使われています。その中には、従来のパターンマッチングに代表される伝統的な技術もあります。パターンマッチングは非常に精度が高い防御策なので、私どもではそれをあえて捨てる必要はないと考えています。もちろん、当社でも「Trend Micro Apex One」や「Trend Micro XDR」をご提供しているように、決して機械学習やAIを否定しているのではありません。より先進的なAIや機械学習、挙動監視など次世代と呼ばれる技術は当然必要ですが、どうしても過検知や誤検知が発生する確率が高い傾向にあります。そのため、効率的にマルウェアを検知するためには、従来の技術と新しい技術を組み合わせ、互いの得手不得手をうまくカバーすることが必要ではないでしょうか。不要なアラートが減れば、調査にかかる負荷の削減という効果も期待できます。

情報システム部門ご担当者にメッセージをお願いします。

先にも申しましたが、今後、セキュリティ対策を強化する上で、インシデント対応が重要なテーマになってくることは間違いありません。セキュリティインシデントの発生時、対症療法的に対応するのではなく、抜本的な対策が打てる状況が確保されていることが重要です。数年前に比べると、サイバー攻撃が経営に与える影響について、多くの経営者が理解するようになっています。ぜひこのタイミングで、セキュリティをコストではなく投資として捉えることの重要性を、情報システム部門の皆さまからご提案ください。

新しいシステムの導入は、セキュリティの強化にもつながりますが、情報システム部門の方の業務量が増える場合もあります。その際は、マネージドサービスの視点で一部の業務をアウトソーシングするなど、業務負荷を高めないことも合わせてご検討ください。

トレンドマイクロ株式会社 https://www.trendmicro.com/

トレンドマイクロは、サイバーセキュリティのグローバルリーダーとしてデジタル情報を安全に交換できる世界の実現に尽力しています。私たちの革新的なソリューションは、データセンター、クラウド、ネットワーク、エンドポイントにおける多層的なセキュリティをお客様に提供し、50カ国6,000人以上の社員と共に、先進的なグローバルの脅威研究、インテリジェンスで、つながる世界の安全に貢献してまいります。

(「SKYSEA Client View NEWS vol.76」 2021年1月掲載 / 2020年11月オンライン取材)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら