現在のセキュリティ対策は後追い対策のEDRが主流に
ゼネラルリサーチの調査によれば、現状は8割ほどの組織がセキュリティ対策をしっかり実施できていると回答。一方で2割は対策が不十分で、具体的にはログ解析ができていないか難しいとの回答が多い。また、クラウドサービスでは設定項目が多すぎて手が付けられないといった回答など、これらの項目が監査ログの定期的なチェックや運用ができない理由となっている。
調査によれば、監査ログの定期的なチェックや運用ができていないことで、約5割がインシデントにつながったと回答。定期的なチェックの頻度は1年に1度が最も多く44%で、1~3ヵ月に1度が27%となっている。不安のある設定は外部とのファイル共有で、次に多要素認証といった認証関係、ゲストユーザーの設定と続く。
近年では取引先、委託先、関連企業などを狙うサプライチェーン攻撃により、業務が停止するようなインシデントが多数発生している。またランサムウェア被害では、約7割でサプライチェーンが多い業種が狙われている。セキュリティ投資額に関しては妥当との回答が約3割で、7割を超える企業で投資が不十分と捉えている。
ランサムウェア攻撃が増えている理由として、ビジネスモデルが構築されランサムウェアを作成する人、それを使い攻撃をする人と役割分担が行われ、それぞれの攻撃精度が上がったことで、結果として被害が大きくなっている現状がある。そしてマルウェアが作成されるスピードは1日に100万個以上で、同じマルウェアが使われる割合は約0.5パーセント以下とも言われている。新規のマルウェアが日々作成されており、そのため現在のセキュリティ対策は後追い対策のEDRが主流となっている。
EDRは約6割で導入経験があり、効果はマルウェア感染状況の把握や、実際に感染原因が特定できたとの回答が上位に来る。またEDRの改善要望には価格、誤検知の多さが挙がる。最も多い不満は、検知だけで駆除まで行わないという点が4割に達する。
「調査を進める中で、EDRの導入前、導入後に大きなギャップが発生していると気づきました」と西村氏。たとえば誤検知が少ないからと導入したのに、運用で困ったことで最も多い回答は「誤検知が多い」となっている。7割でEDRの継続運用の意向があるが3割は迷っており、その理由は費用対効果や誤検知などの運用面の課題も挙げられている。
EDRの運用が難しいのは、たとえばランサムウェアがPCにダウンロードされるとほんの数秒で暗号化を開始し、数分で他の端末に水平展開することがある点だ。マルウェアは使い回しされないので一般のウイルス対策ソフトには未知のマルウェアとなり、シグネチャベースの製品では検知が難しいことも挙げられる。
さらに最近はファイルレスなどWindowsの標準システム経由の侵入もあり、ウイルス対策ソフトでは止めるのが難しくなっている。また一般的なEDRではファイルやプロセスの振る舞いを見て検知するが、「数秒で暗号化を開始するものに関しては、検知が難しくなっています」と西村氏は指摘する。
