侵入されることを前提にエンドポイントで被害拡大を食い止める
現在、企業では様々なセキュリティツールがあり、対策が取られている。しかし、国家レベルでのハッキングツールが流通する中で、鉄板だったセキュリティ対策にも変化が現れているという。
たとえばSSL通信httpsはもともとセキュリティレベルを上げるものだったが、標的型攻撃で狙われるセキュリティホールとなっている。さらに、メールに文書を添付する際に、圧縮してzipファイルで送ることが多いが、検査するためにzipの暗号化パスワードを解除できないとメールの遅延が起こるため、そのままノーチェックで受信されてしまう。そこもまた抜け穴といえるだろう。また働き方改革で外に出て働く端末などはVPNから離脱することもあり、エンドポイント自体をしっかり守るEDR(Endpoint Detection and Response)が注目されている。
「なぜ100%防げないのか」その問いに対し、増田氏は3つ理由があると解説する。まず1つ目は、標的を研究し尽くしたテイラーメードの攻撃手法であること。いつもメールのやり取りをしている人から、いつもと同じ表題でメールが届けば、開いてチェックするのは当然だろう。また2017年11月に日本であった攻撃として、特定のドメインの人が訪れた時だけ、悪いコードを落とすという仕組みになっているサイトまである。
またWindows 10では利便性を高めるためにPowerShellなどスクリプトが入っているが、ここに攻撃の命令を投げ込みさえすれば、コードが動いて悪さをするという流れになっている。いわゆる「ファイルレスの攻撃」は従来のセキュリティシステムでは検知が難しい。
増田氏は「侵入を防ぐ対策としては大変難しいところに来ている。そこで、攻撃を100%防げないことを前提に、侵入後の侵害の拡大防止と監視強化を目的とした対策を考える必要がある」と語る。そしてさらに「投資対効果はあるのか、本当に使えるソリューションなのかが重要」と語り、Cybereasonのソリューションを提案した。
出所:「Security Online Day 2018」、サイバーリーズン・ジャパン株式会社講演資料より[画像クリックで拡大表示]
Cybereasonを使うユーザー企業が行うことは主に2つ。まず1つ目はセンサーを各端末にインストール/アップグレードすることだ。インストールしたセンサーからエンドポイントの振る舞いのメタデータが収集され、お客様専用に構築するCybereasonの解析サーバーに送信されるという仕組みだ。解析サーバーは、既知の攻撃については、脅威インテリジェンスに突き合わせ、合致すれば即座にアラートを発する。そうでない未知の攻撃については、収集したビッグデータを機械学習と行動分析アルゴリズムを用いて相関分析を行ない、未知の脅威を特定・検知する。
すると、マネージドセキュリティサービスの担当者が遠隔から監視しており、解析・リスク判断まで行ない、緊急の場合には電話で即座に知らせるという流れだ。
そして、ユーザー企業が行う作業の2つ目が「資産の判断」である。セキュリティを優先できる場合は、端末隔離を行いしっかり根絶から始める。業務を優先しなければならない場合は、端末隔離は行わず悪いプロセスだけをピンポイントで潰す。サイバーリーズンのアナリストが脅威を解析し、資産の判断と実際の対応をユーザー企業に行うという連携によって、時間・品質・コストにおいて投資対効果の高いソリューションになるというわけだ。
攻撃の進行状況を可視化し、遠隔から端末隔離も可能
ここで増田氏はCybereasonのデモンストレーションを実施。攻撃の進行状況が直感的に可視化できるようになっており、攻撃フェーズごとの感染状況や感染規模がひと目でわかる。たとえば、右に行けば行くほど攻撃フェーズが進んでいることになり、感染規模は円の大きさ、感染時間は色で識別できるようになっている。
「これまでは防御までがメインで、侵入したあとは状況がつかめなかった。しかし、Cybereasonであれば侵入後の様子もトレースできる。なるべく右の方にある明るく大きい丸から対応することが望ましいなど、対処の優先順位が明らかに示される」と増田氏は説明する。またプロセスや端末などをクリックするとドリルダウンして詳細を調べていくことも可能だ。
対応が必要という端末がわかれば、つないだままプロセスを潰すか、端末を 隔離するかを判断し、遠隔から操作が可能だ。一度隔離してしまえば、あとはゆっくりと原因特定やその後の対応に当たればいい。そして、ファイルを削除するなど対応すれば、再び遠隔操作で端末をネットワークに復帰させていけばよい。もし検体を分析し、リバースエンジニアリングして攻撃者の意図を探ろうということであれば、管理コンソール上から安全な形で検体を取り出すことも可能だ。また一連の対応についてはレポートとして取り出すことができ、インシデントレスポンスの報告義務についても効率化されている。その後、増田氏は攻撃が進行する状況を想定し、段階ごとの対応をデモンストレーションしてみせた。
