〇 限られた人的リソースで、対策を強化し続けるには。
激化するサイバー攻撃に対応するため、セキュリティ対策は日進月歩で進化している。特にコロナ禍におけるテレワークの普及以降、重要度を増したのがエンドポイント対策だ。企業ネットワークの外と内の境界があいまいになった現在は、個々のデバイスや機器を守ることがセキュリティ対策の基本の「き」といえるだろう。
エンドポイント対策自体も、押さえるべきポイントはどんどん変化している。ウイルス定義ファイルを基に既知のマルウェアをブロックするEPP(Endpoint Protection Platform)のほか、未知のマルウェアにも対応可能なNGAV(次世代アンチウイルス)を導入する企業が増加。また、侵入済みの脅威の検知・事後対処を担うEDR(Endpoint Detection and Response)は、今や多くの企業が注目するソリューションとなっている。
さらに、EDRの先のソリューションとして、エンドポイントやネットワーク、クラウドなど、様々なリソースの情報を融合して脅威の検出・事後対処を行うXDR(Extended Detection and Response)や、EPP、EDR、MTD(Mobile Threat Defense)を単一コンソールで管理できるUES(Unified Endpoint Security)も、注目を集める新アプローチといえるだろう。
だが、これらの対策を検討する上では、多くの組織がある問題にぶつかる。それが、管理・活用する側の人的リソースには限りがあるということだ。紹介したような対策を個別に導入していくと、その管理は恐ろしく煩雑なものとなる。特にEDRは検知・対処のPDCAを継続的に回すことが効果を引き出すカギになる。そこに手が回らなければ、効果は半減してしまうだろう。
これからの時代、セキュリティソリューションの選定時に押さえるべきは、必要機能を網羅した統合型製品であること、そして、将来的な拡張性や変化への対応力を備えた製品であることだ。果たしてそのようなソリューションは存在するのか。次ページで考えてみたい。
XDR、UESにも対応した最新EDR製品とは?
そもそも、EDRの導入が目的化してしまっている企業は多いのではないだろうか。EDRは決して「ゴール」ではない。継続的な使いこなしはもちろんのこと、その後も新たな技術を積極的に取り入れながら対策を進化させていかなければ、ビジネスリスクを適切にコントロールすることは難しいのである。
「このような、EDRの『その先』を見据えたアプローチに向けて当社が提案しているのがシマンテックのエンドポイントセキュリティ製品です。シマンテックの魅力は、『ワンベンダー、ワンコンソール』をコンセプトにした機能の統合化や検出領域の拡張性です」と話すのは、SB C&Sの矢部 和馬氏だ。
「Symantec Endpoint Security Complete(SESC)」は、Symantec Endpoint Protection(SEP)の機能を有したまま、新しい機能を搭載した製品である。「Symantec Endpoint Securityにはエンタープライズ版とコンプリート版があるが、攻撃を検知・対応するEDR機能を搭載し、総合的なエンドポイントセキュリティを実現するソリューションがSESCである。
またSESCは、脅威の拡張検出と対応を行うXDRも実装している。PC、サーバー、モバイルなどの機器のほか、セキュアWebゲートウェイ(SWG)やCASB(Cloud Access Security Broker)などに拡張された防御ポイントを監視して脅威を検出し、迅速な対応や復旧を支援するのだ。
機械学習と専門家による動向分析を併用することで、侵入した脅威を調査・発見して事前に対策を講じる「脅威ハンティング」にも対応する。これはほかのソリューションでは珍しい特徴といえるだろう。AIによる分析と人の目の2軸で、ゼロデイおよび未知の脅威をいち早く検知して対処を進めることが可能だ。
自組織に適した防御ポリシーをAIが提案してくれる。
さらに先進的な機能も搭載している。ここでは代表的なもの2つを紹介しよう。
1つ目は「Adoptive Protection(適応型保護)」だ。ユーザーの行動をAIが分析することで、企業ごとに最適化したセキュリティ対策を提示する。
「はじめに、お客さまごとのエンドポイントデバイスの挙動や行動をAIが約90日間監視します。その後、MITREやシマンテックの脅威データベースとの相関分析によってレーティングを行い、そのお客さま専用の防御ポリシーを作成して提示します」と矢部氏は紹介する(図1)。
提示されたポリシーを採用する場合は有効化すればよい。顧客企業のIT部門が自ら保護ポリシーを策定する必要なく、わずか1クリックで業務の実態に即したセキュリティ対策が実行できる。従来の機械学習エンジンでは、どうしてもあらゆる企業に対して一律の対策ポリシーが適用されてしまう課題があった。そのため、一部の正規ツールを悪用する攻撃や標的型攻撃など、黒と断定できないグレー判定されるような行為はブロックできず、EDRツールが発するアラートが増加しがちだったが、適応型保護を使えばそのような事態は防げる。また、一度は攻撃とみなして禁止した行動も、継続的なレーティングを経て正規のものと確認できればふたたび許可する。このように、自動的かつ自律的に対策を高度化できる点も大きなメリットとなるだろう。
“アラート疲れ”は、EDRの効果的な運用を阻む課題の1つである。SESCなら、これを抑制し、少ないリソースで対策のスパイラルアップを実現していくことができるはずだ。
大量のダミー情報を紛れ込ませてAD乗っ取りを防ぐ。
2つ目が「Active Directory脅威保護(TDAD:Threat Defense for Active Directory)」である。攻撃者は企業・組織の情報を窃取する目的でエンドポイントを攻撃するが、無事侵入できた場合、まず狙うのがActive Directory(AD)だ。ADの管理者権限やクレデンシャル情報を奪えば、ラテラルムーブメント(水平移動)によってより多くのシステムへのアクセスが行えるようになるからだ。
「攻撃者がエンドポイントデバイスに侵入してからADを乗っ取るまでの時間は平均7分程度といわれます。『仮想環境をリフレッシュすれば大丈夫だ』という見解もありますが、この短時間で端末をリフレッシュするのは難しいのが実情です」と矢部氏は指摘する。
そこでTDADでは、正規のクレデンシャル情報の中におとりになるダミー情報を紛れ込ませることで、管理者権限を乗っ取られにくくする。おとりの数は現環境の10倍まで自動作成され、攻撃者がどのクレデンシャル情報を奪えばよいのか分からない状況をつくりだせるという。「手こずっている攻撃者のふるまいを監視・検知することで、攻撃者がラテラルムーブメントを始める前に阻止します。おとりを使うことで過剰検知を押さえつつ、侵入の早期検知と自動対処が可能です」と矢部氏はTDADのメリットを話す。
このように、先進的な機能を含め、統合的な機能群を提供するSESC。さらにAPIによる外部連携も可能なので、将来的な拡張性も備えたソリューションといえるだろう。
インシデントやアラートそのものを減らしつつ、有事には自動で対処する。同時に、人手による対処が必要なプロセスでも分かりやすい分析と対処が行える。EDRをこれから導入しようと考えている企業、あるいは既に導入済みの企業でも、将来にわたる対策強化に向けてSESCを一度検討してみることをお勧めする。
