次世代のアンチウィルス製品とはどうあるべきか
国立研究開発法人・情報通信研究機構(NICT)の調査によると、2016年に日本国内ネットワークに向けられたサイバー攻撃は1281億件。前年比2.4倍と急増しており、過去最高を記録した。この増加は一時的なものではなく、2020年のオリンピック・パラリンピックまで増加していくと見られている。さらなる警戒と対策が必要だ。
攻撃の多様化や高度化が進み、対策も進化していく必要がある。これまでのアンチウィルスあるいはエンドポイント対策製品は、一般的にパターンファイルと照合することで攻撃を検知する仕組みになっている。パターンファイルから既知の脅威かどうか調べてブロックするため、未知の脅威では防御しきれない。
これからのアンチウィルスはどうあるべきか。参考になるのが2016年にITセキュリティ教育機関となるSANS Instituteが発表した次世代型アンチウィルスの定義だ。それによると、次世代型アンチウィルスとは従来のアンチウィルスがしてきたような攻撃を防止することに加え、攻撃のコンテキストと可視化、クラウド分析と脅威インテリジェンスなどを加えたものになるという。攻撃の防止だけではなく、攻撃の背景や関連情報も把握できるものということだ。
一方、ガートナーは2017年1月にエンドポイントセキュリティ市場について将来予測を発表している。アンチウィルスなどエンドポイント防御のためのプラットフォームとなるEPP(Endpoint Protection Platform)市場と、脅威の検知と対応を行うEDR(Endpoint Detection & Response)市場が今後合流していくという。現在は別々の市場や製品だが、今後はEPPとEDRが統合されていくということ。先述したSAN Instituteの定義も合わせると、次世代型アンチウィルスとはEPP(防御)とEDR(検知と対応)の2要素を兼ねそなえたものになると考えられる。
EPPとEDRの2要素を持つカーボンブラック社「Cb Defense」
株式会社ネットワークバリューコンポネンツ プロダクトマーケティング部 佐藤佑樹氏は「現時点で次世代型アンチウィルスの要件を満たしているものはカーボンブラック社のCb Defenseのみ」と強調する。
株式会社ネットワークバリューコンポネンツ プロダクトマーケティング部 佐藤 佑樹氏
カーボンブラック社は日本ではなじみが少ないものの、実は海外では次世代エンドポイント市場を開拓した企業として実績と定評がある。2002年に設立したアプリケーション制御のBit9社がはじまりで、後にカーボンブラック社などの買収を経て成長してきた。2017年4月に日本オフィスをお披露目し、本格的に日本市場へと参入している。
カーボンブラック社の大きな特徴となるのが独自のクラウド「Cb Collective Defense Cloud」を保有していること。このクラウドにあらゆる情報を収集し、各種パートナーや専門家と情報を共有してエンドポイント防御に役立てている。このクラウドは防御の要であり、コミュニティのような役割も果たしている。
出所:株式会社ネットワークバリューコンポネンツ佐藤 佑樹氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
佐藤氏はあらためてEPPとEDRを兼ねそなえた次世代型アンチウィルス「Cb Defense」の特徴を4つ挙げた。エンドポイントの全てのアクティビティを継続的に記録、マルウェアと非マルウェアの両方の攻撃を防ぐストリーミングプリベンション、検出した脅威に対してキルチェーンを可視化、検出から復旧までのセキュリティフローを一元化、これら4つとなる。
ユーザーの動きを流れで監視するストリーミングプリベンション
こうした特徴がどのように最新の脅威に有効に働くかを見ていこう。近年情報漏えいが起きた企業を見ると、マルウェアだけではなくマルウェア以外の要因が増えている。2016年にベライゾンが発表したレポートによると、実際に情報漏洩が発生した原因の53%がマルウェア以外の攻撃によるものだという。サイバー攻撃対策として多くがネットワーク対策やマルウェア対策をしているものの、その隙をつかれている形だ。マルウェア以外の攻撃への防御を高めていく必要がある。
実際にマルウェア対策というと従来のアンチウィルスの延長となるため、既知のマクロや実行ファイルなどのファイルベースの脅威に対して防御する。しかし「Cb Defense」では全てのアクティビティを監視し、その流れで未知のファイルベースの脅威や、ファイルレスな防御まで可能な「ストリーミングプリベンション」を実装している。佐藤氏はストリーミングプリベンションについて「従来のように点ではなく線で防御します」と表現する。
子どものいたずらを脅威としてイメージしてみよう。手にクレヨンを持ち、塗り絵をしている。一通り塗り終えて、テーブルの上にはもう紙がない。まだ塗り絵で遊びたいという表情をしている。子どもは周囲に目を向ける。そしてクレヨンを手に白い壁に向かい歩き出す。……ここまで来たら、保護者なら「次はクレヨンで壁に描く」と察知して子どもの動きを止めるだろう。これが流れで動きを追うということだ。
従来型マルウェア対策だとあらかじめ脅威を定義し、脅威かどうかを検知する。子どもの例なら「クレヨンではなく“ナイフ”を持っている」又は「子どもではなく“指名手配された悪人”である」などだ。一方、ストリーミングプリベンションは脅威ではない通常のアクティビティも含めてずっと監視しているため、保護者が子どもの動きを止められるように事前に脅威の兆候を検知して攻撃をリアルタイムに防御できる。
より具体的に言うとストリーミングプリベンションではリアルタイムセンサーでWebの閲覧やPowerShell起動などの情報を常に収集し、各イベントにタグ付けをして、相関分析を行うことで脅威にスコアをつける。これをリアルタイムで処理していく。閾値を超えたところで脅威とみなし、実際の攻撃が発動する前に防御できる。そのため「Cb Defense」では従来のシグネチャを用いた防御に加え、ストリーミングプリベンションで未知の脅威も防御できる。
防御だけではない!検知から復旧までの対応もできる
次に脅威の検知と対応を行うEDR機能について見ていこう。ガートナーの定義によるとEDRに必要な要素は次の4つの流れとなる。脅威の「検知」、端末の隔離など「封じ込め」、全エンドポイントを対象に影響範囲の「調査」、攻撃を受けた端末の「復旧」を支援する。「Cb Defense」はこれらの全てのEDR機能が実装されている。
出所:株式会社ネットワークバリューコンポネンツ佐藤 佑樹氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
「Cb Defense」の管理者画面ではイベントごとにスコアが表示されており、どのような脅威が現在進行形で起きているかを監視できる。イベントはドリルダウンで詳細を確認できるようになっており、エンドポイントにてどのようなアクティビティが行われたかを時系列で把握したり、タグからどのような攻撃かを調査できる。
最後に佐藤氏は「Cb Defenseではこれまで防御しきれなかった未知の脅威への対策ができることに加えて、万が一すり抜けてしまった攻撃に対して検知から復旧までの対応も可能となります。これからはEPPとEDRの両方の機能を兼ねそなえた製品が必要になります。Cb DefenseはEPPとEDRの両方を実現可能な唯一の、真の次世代アンチウィルス製品です」と特徴を強調した。
本記事の講演資料『真の次世代アンチウイルスとは 』(全26頁、PDF版)を無料ダウンロードいただけます!
進化するサイバー攻撃に対し、エンドポイントでの対策として次世代ソリューションが注目されていますが、次世代化機能はベンダーによって異なっており、ユーザーが製品選定に迷われるケースが増えています。ITセキュリテイ調査会社SANS Instituteによる次世代アンチウイルスの定義では、マルウェアだけでなく、PowerShellやメモリベースの非マルウェア攻撃と呼ばれる攻撃への対応、更にEDR機能により、インシデント発生時の対処や原因分析ができることがあげられています。
本資料『真の次世代アンチウイルスとは 』(全26頁、PDF版)は、非マルウェア攻撃をブロックし、インシデント発生時の封じ込め、調査・復旧を実現している真の次世代アンチウイルスソリューションを解説しています。ぜひダウンロードいただき、自社のセキュリティ対策にお役立てください。
