「クラウド環境を守るため、防御と検知の両立を」トレンドマイクロの最新EDR／XDR機能は何がすごい？

デモで示した、トレンドマイクロの多層防御

　こうした攻撃が行われる中、「Vision One」からはクレデンシャルが窃取されているところと、PsExecが実行されているところが検知されているのが確認できる。

　コンソールでは誰が何を実行したのかが図示されていて、掘り下げていくと「何時にどのようなコマンドが発行されたか、どのようなプロセスが起動したか」といった情報を確認できる。

　たとえば、「業務時間外」であったり「業務では普段使わないコマンド」であれば、リスクが高いと判断するヒントになる。またPsExecの部分では「内部展開ではないか」という警告も表示されているし、この部分の詳細を確認すると、どこのサーバーと接続したのかも確認できる。

　クレデンシャル窃取に該当する警告部分も同様に、コンソールから誰が何をしたかをも確認できる。掘り下げていくと、PsExecで侵入し、コマンドプロンプトを起動し、レジストリに対して操作したという一連の動きが確認可能だ。実際に実行されたコマンドを見ると、クレデンシャルが窃取されたのがわかるようになっている。

　また今回の攻撃シナリオでは、マシンAからマシンBへと侵入しクレデンシャルを窃取したため、攻撃者が再度マシンBに侵入するのを防ぐためにマシンBを隔離することも可能となっている。「Vision One」のコンソールからエンドポイントを隔離するタスクを実行すれば、この「Vision One」以外からマシンBへはログインができなくなるという形だ。

　このように「Workload Security」と「Vision One」を併用することで、クラウド環境で多層防御とEDR／XDR機能を利用できる。岡本氏は「Workload Securityをご購入いただければ、最新のランサムウェアに対する防御と検知となる「Vision One」のXDR機能を無料でお使いいただけます」と念を押す。

　冒頭に述べたように、2019年からランサムウェアの被害が増え続けている。これからのランサムウェア対策は（オンプレにある）エンドポイントだけではなく、クラウド環境も視野に入れていく必要がある。最新型のランサムウェアに対応し、被害を最小限に抑えるには、サーバーにおける多層防御とEDR／XDRによる検知の両立が重要となる。

　最後に岡本氏は、「実際にサーバーの多層防御とEDR／XDRを実現したいとなった場合には「Trend Micro Cloud One － Workload Security」と「Vision One」を思い出していただければと思います」と述べて講演を締めた。