SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day 2023 秋の陣 レポート(AD)

社内にマルウェアが侵入、どう資格情報を守る? SentinelOneが考える“侵入後対策”を解説

NGAVやEPPだけでは不十分、巧妙化する脅威への対策法

 次世代アンチウイルス「NGAV(Next Generation Anti-Virus)」や「EPP(Endpoint Protection Platform)」など、さまざまな対抗策を駆使したとしても、必ずしもすべての脅威に対応できるとは限らない。その前提の下、マルウェア侵入後の偵察活動の検知、そして侵入者からの重要情報の保護がセキュリティ対策には求められる。果たして社内に侵入したマルウェアには、どのような“侵入後対策”が有効なのか。侵入検知から自動復旧までの対策や仕組みについて、SentinelOne Japan シニアセールスエンジニアの富田隆一氏が解説した。

ランサムウェア被害が拡大 アンチウイルスソフトだけでは限界に

 サイバー空間における脅威は、年々勢いを増している。令和2年下半期から2年ほどでランサムウェア被害の報告件数は5倍以上に上り、その対象は企業の規模や業種に限らず広がっている。さらに復旧までに要した期間は1週間以上と、その間事業が停滞することを鑑みると深刻な問題だ。

[画像クリックで拡大]

 復旧期間が長くなる理由として、富田氏は「ほとんどの企業でバックアップを取得していたものの、実際には復旧データとして活用できないケースが多い。バックアップが同じネットワーク上に保管されており、犯人によるアンロックや削除ができるためだ」と説明する。本来は、ネットワークから切り離したところに保管することが望ましいが、コストや手間、時間がかかるだけに現実的ではないというわけだ。

 なお、侵入の多くはVPN機器からが6割以上を占め、次いでリモートデスクトップから(19%)、メールや添付ファイル(9%)となっている。以前はメールが多かったもののリモートワークの普及により、VPNやデスクトップツールが狙われやすくなってきた。当然ながらパッチによる対策や、ID/パスワードの管理も必須、その上で多くの企業がアンチウイルスソフトを導入している。それでも9割以上が検知できていない状況にあったという。これを受けて富田氏は「もはやすべての脅威を防ぐことは不可能。“侵入される前提”でXDRやEDRなどによる、“侵入後の対策”を考える必要がある」と強調する。

[画像クリックで拡大]

 続いて富田氏は、「セキュリティ侵害の発生から検知までに要した日数の中央値の推移」[1]を提示。それによると全世界で16日、APACで33日を要しており、ランサムウェアによる侵害になると18日、ランサムウェア以外で60日と大きく差がついた結果となっている。つまり、ランサムウェアはデータを暗号化した直後に脅迫してくるために検知は早い。しかし、一般的なマルウェアにおいては侵入後に長期間検知できず被害を受け続けることになる。侵入した脅威をいかに早く検知するか、これが侵入後対策の第一ステップになるというわけだ。

[1] 出典:『M-Trends 2023 レポート』(Mandiant、2023年5月)

マルウェア侵入後の対策 初手は「エンドポイントの行動監視」

 それでは、前述したような脅威にどのように対応していくべきなのか。そもそもセキュリティ製品が大量に提供されているのにも関わらず、脅威の検知が難しいのはなぜなのか。富田氏はその理由として、まず「①正常トラフィックとの識別が難しいこと」を挙げる。正規ユーザーやツールの悪用により「②正規運用に紛れ込んで攻撃行動が行われていること」も一因だ。そして「③検知・防衛回避の高度なテクニック」、脆弱な設定やアプリケーションなど「④防御の死角」があることも大きい。

[画像クリックで拡大]

 そこでまず必要なのが、EDRやXDRなどを用いた“エンドポイントの詳細な行動監視”だ。従来のアンチウイルスソフトはファイルレベルでの検知に限定されているが、EDR/XDRは「脅威ファイル検知」はもちろん、「振る舞い検知」により細かく監視していく。たとえば、富田氏が所属するSentinelOne(以下、センチネルワン)の「Singularity XDR」は、怪しい振る舞いとは何かを「脅威インテリジェンス」として学び・蓄積し、それに基づいて検知した脅威を自動的に隔離し、復旧するまでを一気通貫で行う。

 このとき鍵となる「振る舞い」の判断について、富田氏は「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)」と呼ばれる、世の中で観測されている攻撃テクニックを集め、分類されているナレッジベースに基づいていると紹介。これらに記載されている「振る舞い=脅威」をどこまで検知できるかが“EDR/XDR選定のポイント”になると指摘する。なお、MITRE ATT&CKでは侵入から攻撃を回避して、ネットワークを移動し、ターゲットからデータを窃取・暗号化するといった一連の手順・テクニックも例示されている。

[画像クリックで拡大]

 富田氏は「その中でも『攻撃回避のテクニック』(上図、水色の囲み部分)が非常に多く、それだけを見ても、いかに攻撃者が回避テクニックを保持しているかがわかる。こういったテクニックを分析して、正しく攻撃行動を検知できるかが製品選びの重要なポイントだ」と語った。

次のページ
Active Directoryへのアクセスを阻害し、資格情報を保護する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:SentinelOne Japan株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18562 2023/10/26 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング