ニューノーマル時代は点在するエンドポイント管理が必須
新型コロナウイルスの感染拡大前後では、働く環境が大きく変化している。以前はオフィスに出勤するのが常識であった。オフィス内であれば、パソコンにはアンチウイルスがインストールされ、社内ネットワークにはファイアウォールやプロキシ、URLフィルタリングなど、ネットワークセキュリティデバイスがあった。オフィス環境の下では、端末は多くのセキュリティの盾によって守られている。
ところが、ニューノーマル時代を迎えた現在、自宅や外出先などあらゆる環境から業務を行うようになった。問題は、オフィス内と比較して、セキュリティの盾の数は少ないことだ。また、DXの推進によりSaaSやパブリッククラウドなど、社外のコンピューティングリソースを利用するケースも増えており、こちらも社内のセキュリティゲートウェイの外にあるため、新たなセキュリティ対策が必要となる。
[画像クリックで拡大表示]
このような状況のセキュリティを確保する考え方に「ゼロトラストネットワーク」がある。これは、データにアクセスするすべての端末に対して検証を行い、正当性を保つというもの。また、論理的にネットワークを小さくし、漏えいした場合の被害を最小限にする。Cybereason社においても、ゼロトラストネットワークの考え方に則った製品を提供しているという。
菊川氏は、エンドポイントのデータを守ることが必須であると述べた。オフィス内の管理を離れた場所にエンドポイントが存在するようになった現在、PCやスマートフォンだけでなく、クラウド上のサーバーなども1つのエンドポイントと考え、その中のデータを守らなければならないのだ。
巧妙化するサイバー攻撃は点でなく面で捉えるべき
現在、企業を標的にした攻撃が行われており、数年前からランサムウェアの被害が拡大している。菊川氏は、その被害の事例として2020年6月に起きた、本田技研工業(以下、ホンダ)が受けた攻撃を紹介した。
この攻撃により、ホンダでは社内でのシステム障害が発生し、工場での生産も停止した。他にもカスタマーサービスや金融サービスにも影響を及ぼし、在宅勤務者のパソコンにも被害があった。この障害は、ランサムウェア「Snake (別名Ekans) 」による攻撃の可能性が指摘されている。
ランサムウェアは、システム内のプロセスの停止、ファイルを暗号化してロックし使用不可能の状態にし、身代金を要求する攻撃。今回のホンダの被害では、ホンダの内部ドメイン(mds.honda[.]com)の名前解決を行い、ランサムウェアがホンダの環境内で実行できていることを確認してから暗号化を行う手口となっていた。何らかの方法で社内のネットワークに侵入して端末上のファイアウォール設定を変更し、拡散されていったと推測されている。
菊川氏はこのほか、2020年に目立つようになった新型コロナウイルスを題材としたフィッシングメール「Emotet」の例も挙げた。誰もが注目する新型コロナウイルスに関する情報を装った攻撃だ。メールの内容は不審と判断できる不自然さはなく、悪意のあるマクロが仕組まれたWord文書が添付されている。メールは巧妙で、たとえば取引先とのメールのやり取りの内容を装ったものも登場しているという。
この背景には、近年目立ってきた「サプライチェーン攻撃」があると菊川氏は指摘する。これは、標的の企業を直接攻撃するのではなく、よりセキュリティが手薄な取引先を狙うものだ。侵入が成功するとそこから標的企業とやりとりするメール情報を盗み取り、その返信を装って標的企業にマルウェアを送りつける。
[画像クリックで拡大表示]
IPAが公表した「情報セキュリティ10大脅威 2020」でも、サプライチェーンの弱点を悪用した攻撃が4位となっている。
このように、標的型攻撃は場当たり的なものではなく、周到な準備をしていることが分かる。これまでのサイバーセキュリティ対策は、初期侵入や初期感染の検知を優先していたが、ひとたび侵入・感染が起きてしまった後の攻撃を見つけにくくなっている。菊川氏は、標的型攻撃にはストーリーがあるため、個々の攻撃感知という「点」ではなく、全体像を把握できるよう「面」でとらえる仕組みが必要だと述べた。
“感染防御” “侵害検知対応” “脅威監視”をワンストップで提供
最近のサイバー攻撃状況の説明の後、菊川氏は同社のソリューションの紹介を行った。Cybereason社は、米国ボストンに本社を構え、グローバルにビジネスを展開するサイバーセキュリティ企業である。開発拠点はイスラエルにもあり、そのテクノロジーはイスラエル軍のサイバー部隊である8200部隊の知見と実践経験に基づき、そのノウハウを製品化している。
Cybereason NGAV
アンチウイルスの「Cybereason NGAV」は、他社製品でもよくある既知の攻撃や未知の攻撃だけでなく、多段の構えがあるという。たとえば、Windowsに組み込まれたツールを利用するPowerShell攻撃の場合は、正規のプログラムとされ、悪意のあるものを検知できないが、Cybereason NGAVはこれに対応している。また、ランサムウェアによるファイルの暗号化や悪意のあるマクロの動作を未然に防ぐことも可能だ。
世界のセキュリティ製品を評価しているNSS Labsは、2020年版の高度エンドポイント保護テストにおいて、Cybereason NGAVを12製品中トップと評価したという。
Cybereason EDR
侵入後の脅威を検知して対応する構えも必要だ。標的型攻撃など、侵入後の対策として重要となるのが、組織内の端末にわたる相関解析と、検知しにくいファイルレス攻撃や組織内を横展開して拡散しようとする振る舞いの分析、そして瞬時に検知して対処できる高速な解析システム。「Cybereason EDR(Endpoint Detection and Response)」ではこれらに加え、攻撃の顛末、影響範囲を素早く把握し、対処に移れるようなインターフェースも用意している。
Cybereason EDRは、エンドポイントを監視するために、端末ごとにセンサーのプログラムをインストールし、センサーから上がってくる情報を検知サーバーに送信することで、あらゆる場所にある端末をリアルタイムに監視するというものだ。単一のセンサーでCybereason NGAVもCybereason EDRも動作し、Windows、macOS、Linuxに対応。解析処理は検知サーバー上で行われる。端末の動作に影響を与えないよう、ユーザーモードで動作し、CPU負荷やデータ送信のためのネットワーク負荷も最小限に止めるよう配慮がされている。
また、2020年に発表された「Cybereason Mobile」は、iOSやAndroidで動作するモバイル端末の監視を行う製品。PCやサーバーなど、他のエンドポイント情報と統合し包括的な管理を実現する。
[画像クリックで拡大表示]
検知サーバーでは、常時毎秒800万クエリをビッグデータ解析し、集積した情報から複数端末の相関解析、AIによる異常検知と振る舞い分析など、攻撃の全体像を炙りだせるようになっている。また、監視結果を確認できるダッシュボードでは、感染規模や経過時間、深刻度などをセキュリティ管理者がすぐにとらえることができるよう、視覚的な配慮がされている。セキュリティ担当者はテレワーク環境であっても組織全体の端末の状況を瞬時に把握し、侵入などのインシデントに即座に対応可能だ。
サイバーセキュリティ強化のためのマネージドサービス
Cybereason社では、サイバーセキュリティ製品だけでなく、それを有効活用するための専門家による監視・解析・脅威度判定のマネージドサービスも展開している。菊川氏はこの背景について、総務省や警察庁の下記資料から、組織内にセキュリティ専門の部署がないことや、セキュリティの専門人材が少ないこと挙げた。
- 総務省「我が国のサイバーセキュリティ人材の現状について」(PDF)
- 警察庁生活安全局情報技術犯罪対策課「不正アクセス行為対策等の実態調査(令和元年度)」(PDF)
そのため、自社内で高度なサイバーセキュリティに対応するのは難しく、専門家の知見を活用した運用が一般的となっているとした。Cybereason社のマネージドサービスでは、顧客企業に変わって脅威を監視し、問題が生じた場合に迅速に対処できるよう、顧客に寄り添った解決法を提案。緊急の場合は電話で、脅威が低い場合はメールで報告。月次のレポートも提供している。
菊川氏は最後に、Cybereason社では製品のデモンストレーションも行っているので気軽に問い合わせしてほしいとアピールしてセッションを終えた。
