エンドポイントセキュリティにおける3つのポイント
小坂氏は、エンドポイントセキュリティのポイントは、「可視化」「防御を抜ける攻撃への対応」「運用負荷の軽減」の3つだとし、それぞれを説明した、
1つ目のポイントは、「可視化」。小坂氏はいつも顧客に対して、「今サイバー攻撃を受けていますか?」という質問をするという。これに対して、「100%大丈夫だ」と言い切れる人は少ない。その理由は、見えていない敵とは戦えないからだ。つまり、攻撃を受けたことを証明するためにも可視化が必要だと訴えた。サイバーリーズンのEDRソリューションは、そのダッシュボードにおいて攻撃の可視化ができる。
[画像クリックで拡大]
攻撃は、バブルという丸い印で示され、これをクリックするとどこで何が起きたかをレポートする画面が表示される。感染した端末がどういったプロセスで被害を受け、その根本原因などが自動解析されるのだ。「通常は、色々なログを集めてアナリストが解析するのですが、ソフトウェアで根本原因まで分かります。また、感染している端末におけるプロセスの一括停止もワンクリックで可能です。さらに、インシデントを経営層に伝えるために必要となる日本語のレポートもワンクリックで出せます」と小坂氏は続けた。
2つ目のポイントは、「防御を抜ける攻撃への対応」。最近ではアンチウイルスソフトだけでは防ぐことができない攻撃もある。サイバーリーズンの次世代アンチウイルス「NGAV」では、防げない攻撃を検知して防衛していく対策も提供する。小坂氏は、「オリンピックなど、大きなイベントの際にはサイバー攻撃が増えます。実は、昨年見送りになったオリンピック前にも『Emotet』という有名なマルウェアが猛威を奮いました。これは、Microsoft Word文書ファイルのマクロを利用し、着弾したあとにPowerShellと呼ばれるMicrosoftの正規プロセスを利用して、マルウェア本体をダウンロードしようとするため、気がつきにくいのです。しかし、NGAVはダウンロードを阻止し、悪意のあるファイルを隔離します」と説明した。
[画像クリックで拡大]
3つ目のポイントは、「運用負荷の軽減」。小坂氏によると、サイバー攻撃に対応するためには、専門家チームの知見を利用することが一般的になっているという。もちろん、対応マニュアルを用意し、体制を整えておくことも求められる。しかし、IT部門のメンバーが少なく、セキュリティ専門家がいないという組織もある。サイバーリーズンでは、そのような組織のために、専門のアナリストによるエンドポイントの監視解析サービスを提供している。これは、顧客のエンドポイントを監視することで、危険な動きや攻撃が確認されたとき、顧客に迅速に知らせるものだ。
次に小坂氏は、グローバルにおけるインシデント対応にかかる平均時間を示した。脅威の封じ込めや対処にはおよそ1週間かかり、原因の調査も1ヵ月以上かかるとの統計を示した。また、EUの新しいデータ保護規則「GDPR」では、インシデントが起きた場合、72時間以内に監督当局へ通知しなければならないとされている。そのため、インシデントの戦いは時間との勝負であり、リスクは最小限に抑えなければならない。サイバーリーズンのソリューションであれば、インシデント発生時に即時の封じ込めを行うだけでなく、調査レポートも2日以内に発行可能だという。
[画像クリックで拡大]
新しい価値をデジタルの力で実現するべく、レガシーシステムから新しいアーキテクチャーへの移行を行うのがDXだが、その変化に応じてセキュリティの取り組みも変えていくことも重要だ。ITリソースが社外に分散していく状況では「ゼロトラスト」の考え方が重要で、それを実現するにはエンドポイントのセキュリティ対策の優先度が高い。サイバーリーズンのエンドポイントソリューションであれば、攻撃を可視化し、巧妙な攻撃を無効化する手段があるだけでなく、専門家による監視で運用負荷も軽減できる。DXを推進し、セキュリティ体制を更改したい組織は、導入の相談をしてみてはいかがだろうか。
