ネットワークを監視するNDRで網羅的に脅威を検知する
昨今のマルウェアなどは多様化しており、アンチウイルス・ソフトだけでは防げない。標的型攻撃も巧妙化しており、目的が達成されるまで執拗な攻撃が続く。また、新型コロナウイルス対策で急激テレワークが普及したことも、新たなリスクとなっている。
オフィス内のLAN環境であれば、ファイヤーウォールやプロキシ、サンドボックスといった境界防御で守られている。しかし、テレワークではファイヤーウォール等のない自宅からインターネットへアクセスすることとなる。また社内ネットワークへの接続を行う際は、VPN経由でアクセスすることになる。
「現状は、テレワークのためにVPNの環境を急ごしらえで準備しているケースも確認されます。VPN装置のバージョンが古いままな場合は、それが踏み台にされてしまう可能性もあります」と言うのは、マクニカネットワークス 第1技術統括部 第2技術部第1課 課長の井形 文彦氏だ。
取材はオンラインで実施した
ファイヤーウォールやプロキシ、サンドボックスといった境界防御は、もちろん重要だ。とはいえ、外部から侵入を試みる攻撃全てを検知・ブロックすることは現実的には難しい。
境界防御をすり抜けてきた脅威を検知し、迅速に対策を打てるようにしなければならない。そのためには「EDR(Endpoint Detection and Response)などの、侵入されることを前提とした対策は有効です」と井形氏。
ここ最近EDRなどを導入する組織も増えてはいるが、入ってきたものを素早く見つけ迅速に対処する体制としては、NDRもテーマとして欠かせない。「その対策を強化するのが、NDR(Network Detection and Response)です」と言うのは、マクニカネットワークス 第2営業統括部 第3営業部第2課 課長 羽田野 栄志氏だ。
EDRはユーザーのPCなど、エンドポイントの監視を強化して標的型攻撃やランサムウェアといった様々な脅威を、検出するものだ。一方NDRはネットワークを監視して、脅威をいち早く見つけ出す。EDRでは対象となるプラットフォームの制約から、展開において制約が出てくることがある。
たとえば工場のライン制御の端末などには、エージェントのインストールが許されないケースも散見される。NDRによるネットワークの監視であれば、個々の端末にエージェントなどをインストールする必要はなく、全体を網羅的に監視、把握でき効率的に脅威を検知できるのだ。
とはいえNDRさえあれば、EDRが不要になるわけではない。「NDRでは脅威の一次切り分けが、効果的に実施できます。NDRで脅威を見つけ、そこからさらに深い調査をするのにEDRが活用できます」と羽田野氏。EDRは、端末の中で何が起きているかを把握できる。NDRでは、そこまで深くは追いかけられない。「EDRとNDRの互いの良いところを活かすことで、よりサイバー攻撃対策の効果が発揮できます」と井形氏は言う。
ローカルとグローバルの学習で高い脅威検知率を誇るCognito Detect
NDRのソリューションを導入する際に重要となるのが、脅威の検知精度の高さだ。「過検知や誤検知が少ないことが重要です」と羽田野氏。これは検知の際のノイズの少なさとも言い換えられる。検知精度が高いことでユーザーから評価されているNDRソリューションが、VECTRA AI社が提供する「Cognito Detect」だ。
Cognito Detectでは、脅威検知にAI技術を活用している。さらにセキュリティフレームワークに基づいた60のルールを定め、そのルールに紐付いた検知も行う。AIとルールを組みあわせて利用することで、他のNDRよりも高い精度で脅威を検知ができるのだ。
「Cognito Detectでは脅威を検知した際に、重要度を自動で判定し提示します。ダッシュボードでネットワークの中のどのホストが怪しいかもすぐに把握でき、トリアージがしやすく対策が迅速にとれます」と井形氏。
VECTRA AIは2011年からNDRのソリューションを展開しており、すでにグローバルで数多くの実績がある。そこから世界中のさまざまな攻撃者の「振る舞い」を把握しており、典型的な攻撃パターンを掴んで検知精度の向上に利用している。
多くのNDRのツールでは、「ローカルラーニング」で企業環境特有の振る舞いを把握する。学習して企業における通常の振る舞いを把握し、その平均値から外れると怪しいと判定する。つまり平均から外れるものは、全て怪しいと判定しがちだ。
「通常と違う振る舞いだけで、怪しいとは判断できません。Cognito Detectでは、ローカル環境での怪しい振る舞いに加え、グローバルではこういったパケットの流れがあれば怪しいことも知っています」と井形氏。グローバル、ローカルの2つの振る舞い情報を活用して、誤検知や過検知を減らし検知精度を上げているのだ。
Cognito Detectの導入は容易だ。ネットワーク機器のコアスイッチに、ブレインと呼ばれるCognito Detectのアプライアンスを接続するだけですぐに監視を始められる。センサーと呼ばれる物理あるいは仮想の小さなアプライアンスをアクセススイッチに接続すれば、アクセススイッチ配下のサブネットワーク環境の情報をブレインに集めることもできる。
複数拠点がある場合は、拠点にセンサーを設置しブレインに情報を集約する。またCognito Recallを使えば、センサーが収集したネットワークメタデータを、クラウド上の基盤に集め可視化することもできる。Cognito Detectをリアルタイムの脅威検知に利用し、Recallは収集したデータを蓄積し後から詳細な調査や監査に活用するのだ。
もう1つ、Cognito Stream機能も用意されている。これは、収集したログを外部転送する機能で「Splunkなどに情報を送り、他のログ情報などと合わせより詳細なリスク分析に活用できます」と井形氏は言う。
企業がCognito Detectを導入する際には、事前にPOV(Proof Of Value:価値実証)を行うことが多い。コアスイッチにブレインを追加し、通常であれば数週間学習すれば環境に合わせた脅威の検知ができるようになる。学習段階では誤検知や過検知もあるが、学習が進めばそれらは減る。POV中に脅威の検知が上がってこなければ、擬似攻撃などでCognito Detectの効果を確認することもある。
Cognito Detectの検知画面では、攻撃の様子がフェーズ分けされ一元的に可視化される。これにより、現状どの攻撃フェーズにあり、次にどのフェーズに移行するかが明らかになる。攻撃フェーズの状況が把握できれば、次にどういった対策のアクションをとれば良いかも判断しやすいのだ。
NDRならセキュリティレベルを向上させつつオペレーション時間も削減可能
現状、企業などが置かれているセキュリティ対策の状況は、5つのステップに分けられる。
導入しているセキュリティ対策ツールが少なく、ユーザー環境のセキュリティレベルが低いステップ1では、扱うツールが少ないぶん対策に使われる時間も短くなる。セキュリティ対策ツールを増やし、ステップ2、ステップ3へとセキュリティレベルを上げると脅威の検知率は高まる。しかし多くのツールを扱うことになり、オペレーションに費やす時間は増えてしまう。
「今の多くの日本企業が、このステップ2やステップ3の状況にあります。一般にIT部門に投下できるリソースは限定される中で、オペレーション時間が増えると人的リソースの確保も厳しいでしょう。とはいえ攻撃は高度化しているので、脅威の検知度はさらに上げたい。検知率を上げつつオペレーション時間も減らし、ステップ4、5へとセキュリティレベルを向上させたい。それを実現できるのが、NDRだと言えます」と羽田野氏は言う。
実際にVectra AIを採用したある企業は、導入前SOCも設置しSIEMやEDRも導入しており、セキュリティレベルはそれなりに高いものがあった。しかしながらSIEMの相関ルールに有効なログを追加し、検知の精度をさらに上げたいとの課題も持っていた。この課題解決に採用されたのがVectra AI(Cognito Detect)だった。「潤沢にセキュリティ担当者がいないような場合に、効率的な脅威の一次調査のためにNDRを導入する例もあります」とも井形氏は言う。
脅威検知の精度を高めオペレーションを効率化したい。そのような組織にはNDRは最適なソリューションだと羽田野氏は言う。日本では多くの製造業がサイバー攻撃の脅威にさらされている。本社にセキュリティ担当者がいても、海外拠点や子会社には専任担当者がいない場合も多い。さらに、製造拠点などではさまざまなデバイスが稼働しており、それらはEDRがプラットフォームの制約から導入できないものある。
こういった製造業では、Cognito DetectのようなNDRが有効なセキュリティ対策手段となるのだ。他にも金融などより高度なセキュリティレベルが求められる組織において、既存の対策と組みあわせてNDRを活用し始めている。
マクニカネットワークスではすぐにNDRの効果が確かめられるよう、Cognito Detectの評価機の貸し出しを行っている。またPOVのためのコンサルティングやサポートも、適宜実施しており、他にもオンラインセミナーなどを企画し、NDRをどう活用できるかの啓蒙活動も行っている。侵入されていることを前提としたセキュリティ対策を改めて強化し効率化したい組織は、一度NDRの活用を検討してみてはどうだろうか?
