セキュリティ情報

2017/11/30

巧妙化する攻撃に防御から対応まで効率良く対処するEDR
〜機能強化した新版「ATP」の実力を探る〜(全3回)
第1回:注目高まる「EDR」で得られるメリットとは
〜シマンテックが考える「EDR」と「ATP」〜

イギリスやロシアなど海外のみならず、日本国内でも被害が報じられたランサムウェアの「WannaCry」ですが、その記憶がようやく薄れ始めた2017年10月、別のニュースが飛び込んできました。新たなランサムウェア「Bad Rabbit」の登場です。

Bad Rabbitは、ロシアやウクライナを中心に感染を広げ、公共交通機関やメディアなどにも影響を与えました。WannaCryの直後に登場した破壊型ランサムウェア「Petya」との類似性なども指摘され、一部の報道によれば日本国内でも検知されています。

2017年5月に登場したWannaCryはメディアで広く報じられただけでなく、セキュリティベンダーや関連機関も繰り返し注意を呼び掛け、多くの人が危険性を認識しました。そしてこれまで講じてきたセキュリティ対策に穴はないか、徹底できているかを見直した企業・組織は少なくなかったはずです。にもかかわらず、再び大きな被害が発生してしまいました。

何か目立つサイバー攻撃が発生すると大騒ぎになるものの、「対策を徹底しましょう」というかけ声で終わってしまい、しばらくするとまた新たな被害が発生する……ここ数年、そのようなパターンを目にすることが増えています。なぜ、過ちが繰り返されてしまうのでしょうか。答えの一端は、「『不正なものの侵入を防ぐこと』こそセキュリティだ」という考え方があまりに強く根付きすぎていることにありそうです。

● 「防ぐことのみ」のセキュリティ対策ではもはや不十分

もちろん、セキュリティの第一歩は、ランサムウェアをはじめとするマルウェアや脆弱性を狙う不正アクセスがネットワーク内部やPCに侵入しないよう「防御」することで、そこを決しておろそかにしてはなりません。しかし、攻撃者は常に進化しつづけ、侵入するために巧妙かつあらたな手法を使ってきます。手厚い対策を講じても「完全に防御できる」と言い切ることが難しい時代を迎えているのです。

シマンテック セールスエンジニアリング本部 パートナーSE部 シニアプリンシパルセールスエンジニア 石橋寛憲氏は、「世の中全ての感染を防ごうというのは、非常に難しい」と指摘します。

シマンテック セールスエンジニアリング本部
パートナーSE部 シニアプリンシパルセールスエンジニア
石橋寛憲

「防御はすべき」、ただし、「100%防ぎ切ることはできない」というジレンマに私たちは直面しているのです。

どんなに防ごうとしても防ぎきれないのであれば、不正に侵入された後、マルウェアに感染した後にどう対処すべきかを考えないと、被害の拡大を食い止めることはできません。「『不正なものの侵入を防ぐこと』こそセキュリティだ」という考え方だけでは、もはや巧妙化するサイバー攻撃を防げないのです。

その証拠に多くのサイバー攻撃は、既存のマルウェアをベースに少しずつコードに手を加えた「亜種」により、定義ファイルに基づくアンチウイルスやIDS/IPSの網の目をかいくぐろうと試みています。また、未知のマルウェアを用いた標的型攻撃の増加に対抗すべく、仮想マシン上でファイルを動作させ、振る舞いを解析して悪意あるものかどうかを見分けるサンドボックス製品を導入する企業が増えてくれば、次はそれを回避する手段を探すでしょう。実際、感染先の動作環境を確認し、仮想マシン上では動きを止め、検出を逃れるマルウェアは少なくありません。シマンテックの調査では2016年に検知したマルウェアの20%が、仮想マシン環境の存在を検知したり、識別できるものでした。しかも2015年の16%から4ポイント増加しています。つまりこうしたマルウェアは、仮想マシン上のサンドボックスでは動作せず、検出をすり抜けてしまうのです。

このように攻撃者は、防御側の手の内を見透かした上で、日々手口を巧妙化、高度化させています。いわゆる「定義ファイル」のみに依存したマルウェア対策は限界を迎えたと言えますが、その意味で言うと、防御を目的としながらもポイント、ポイントで導入されるあらゆるセキュリティ製品も、攻撃側との「いたちごっこ」の中で「いずれ突破される運命にある」と言えるかもしれません。


図版1:既存のセキュリティ対策をすり抜けようと攻撃の巧妙化が進んでいる。

● 注目される「EDR」とは

だからといって、このまま手をこまねいている訳にはいきません。今必要なのは、セキュリティについての視野を広げることではないでしょうか。できる限り侵入を防ぐ手だてを講じつつ、同時に「100%侵入を防ぐことはあり得ない」と、侵害される可能性を念頭に置くことが大切です。そして万が一侵入された場合に、単にマルウェアの感染拡大を防ぐといった観点にとどまらず、企業にとって「本当の被害」とも言える事業停止といったビジネスへ与えるインパクトを最小化することこそ求められているのです。

ひとたび組織内部へ侵入を許した場合、従来以上に大きなダメージを負うこともわかっています。2016年に情報漏えいで盗まれた個人情報は11億件超で、2015年の5億6,300万件超からほぼ倍増しました。

しかし、情報漏えいの件数自体は、2015 年の 1,211件から 2016 年の 1,209 件へと横ばいからやや減少傾向にあります。つまり、2016年に1回の情報漏えいで盗まれた個人情報の平均件数が増加しているのです。2016年は約100万件にのぼり、これは過去 3 年間で最も多い数値です。侵入後における迅速な対策がいかに重要であるかが分かります。

事実、いくつかの痛い経験を経て、被害の縮小化にフォーカスしたアプローチを推奨する動きが広がっています。例えば、アメリカ国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」(*1)では、サイバーセキュリティ対策を「特定」「防御」「検知」「対応」「復旧」という5つの機能に分け、それぞれに対処するよう求めています。
(*1) https://www.ipa.go.jp/security/publications/nist/index.html

また独立行政法人情報処理推進機構(IPA)の「サイバーセキュリティ経営ガイドライン」(*2)では、「重要10項目」の1つとして、事前対策と同時に、サイバー攻撃を受けた場合に被害拡大を防ぐための準備を行うことを明記しています。
(*2) http://www.meti.go.jp/policy/netsecurity/mng_guide.html


図版2:「防止」は重要だが、完全に攻撃を防ぐことはもはや困難な状況。検知や対応など、いかにスムーズに行えるか、セキュリティ対策の鍵となる。

さて、事前対策、特に「防御」については、アンチウイルスやファイアウォール、IDS/IPS、サンドボックス、次世代ファイアウォール……と、さまざまな製品が提供されてきました。一方で、「検知」や「対応」のプロセスとなると、個別にログを確認したり、電話をかけてPCをネットワークから切り離すよう指示したりと、アナログなやり方に頼る時期が長く続いていました。

しかし、その状況は少しずつ変わりつつあります。それを可能にしたのが、「Endpoint Detection and Response」(EDR)と呼ばれるソリューションです。

EDRは、エンドポイント、つまりPC上でどんなファイルが開かれ、どんなプロセスが動作しているかといった動きを全て監視してログを収集し、マルウェアの疑いが高い不審な動きがあれば警告して「検知」します。同時に、ネットワーク内での拡散や外部への情報送信といった被害を防ぐため、当該端末をネットワークから切り離したり、詳細な調査・解析に必要なデータを確保したりするなど「対応」を支援します。

昨今、セキュリティインシデント発生に備えてCSIRTの構築・整備に取り組む企業も増えていますが、いざインシデント対応プロセスを回そうとすると作業の負荷が大きく、運用に悩むケースは少なくありません。EDRはこの部分を補うツールとしても注目されています。しかし一方で、EDRとはどういうものか、本来の機能や本質的な価値がきちんと理解されないまま、「EDRを入れておけば安心」と誤解され、単語だけがひとり歩きして「バズワード」化してしまっている状況も散見されます。

●多層防御と組み合わせることで発揮されるEDRの真価

これまでのあまたのセキュリティ製品がそうだったように、「EDRを導入したから、検知・対応の問題は解決できる」とはならないことに、改めて注意が必要です。

繰り返しになりますが、EDRはエンドポイントにおける全てのアクティビティを監視し、不審なものを通知します。ということは、従来のネットワークゲートウェイやプロキシに加え、エンドポイントも監視対象となることから桁違いの量のログが生成され、その中から脅威を見つけ出す必要があるのです。

ただでさえセキュリティ分野の人材不足が深刻な状況の中、セキュリティ監視に人を張り付ける余裕のある企業は少数派です。さらに自社のシステム構成やリスクを知った上で、日々発せられる大量のアラートに対処できる人材となると、ほとんどいないのが現実ではないでしょうか。こんな状況のままEDR製品だけを導入しても、ログの取りこぼし、ひいては脅威の取りこぼしが生じて、機密情報が盗みだされるなど知らぬ間に被害が拡大する恐れがあります。

シマンテック セールスエンジニアリング本部 パートナーSE部の世羅英彦氏は「これでは本来の意味のEDRとは言えないのではないでしょうか。『侵入されることを前提に』とはいえ、まずは多層防御でエンドポイントを精一杯守ることが大前提。それでもすり抜け、侵入されてしまった可能性があるときに対応し、被害を最小限に留めるのが本来のEDRです」と述べ、多層防御による「高い壁」と組み合わせてはじめて、EDRの真の効果を発揮できると説明します。

こうした考え方に基づいてシマンテックが提供するEDR機能が、「Advanced Threat Protection(ATP)」です。シマンテックのエンドポイントセキュリティ製品「Symantec Endpoint Security(SEP)」と統合された1つのソフトウェアとして提供され、多層防御と組み合わせた形で利用できるEDRとなっています。「守るべきところはしっかり守る」で無用なアラートを削減すると同時に、仮にその防御がすり抜けられた場合の検知と、端末切断・プロセス停止といった「対応」までを、1つの管理コンソール上で操作できます。

シマンテックではこのATP機能を強化し、最新の「SEP 14.1」と組み合わせることで、より少ない手間で被害を最小化できる環境を整えようとしています。次回の記事で、その具体的な機能を紹介します。


セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。