SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 秋の陣 レポート(AD)

EDR導入で検知向上も、対応で本末転倒……担当者が乗り越えるべき「運用の壁」とサーバー環境の強化とは

猛威を振るうランサムウェアに備え、有効な対抗策を講じる

 サービス基盤や重要情報を保有するサーバーは、攻撃者にとって何としても攻略したい「宝の山」だ。それゆえ、ランサムウェア攻撃ではシステム内で横展開を繰り返して侵入を試みるなど、ターゲットとされることが多い。被害が拡大する中で、サーバーを攻撃者から守るためには多層的なセキュリティ対策が必須であり、その“最後の砦”が「サーバーセキュリティ」だ。そうした背景から、なぜ「EDR」が今注目されているのか、実際のサービスを検討する方法、運用などについてトレンドマイクロ ストラテジックマーケティンググループ マネージャーの岡本詩織氏が解説した。

忘れがちなサーバー環境のセキュリティ強化 なぜEDRに注目?

 EDRといえば、「エンドポイントのセキュリティ対策」と捉える人も多いだろう。しかし、トレンドマイクロの岡本詩織氏は「サーバーにこそ必要」と強調する。その理由が、被害が急拡大している「ランサムウェア」の動向だ。

 2023年前半だけでも大規模なランサムウェアの被害報告が多数上がっており、大企業が狙われる印象がある一方で、被害の約半数は中小企業が占めているなど、規模や業種を問わず、その脅威に晒されていると言っても過言ではない。さらに、従来はWindows環境を狙ったものも多かったが、最近はLinux環境にあるサーバーを狙うケースが増加しており、検出数も直近の半年間で1.5倍以上となっている。また、オンプレミス環境だけでなく、クラウド環境上のサーバーが被害にあう事例も複数報告されており、システム内に侵入後にサーバー環境を探索してランサムウェアを実行させるケースが目立つ。

 業務用PCにランサムウェア侵入させないための対策はもちろん重要だが、初期侵入に成功されてしまうと攻撃はサーバー環境に移る。エンドポイントだけの対策では、侵入後の活動の発見や防御は非常に困難となるため、サーバー環境でのセキュリティ対策が必要というわけだ。

[画像クリックで拡大]

 それでは、サーバー環境においては、どのようなランサムウェア対策が有効なのか。岡本氏は「サーバーのセキュリティ対策として認知されている脆弱性対策や攻撃ツールによる対策に加え、外部攻撃者との通信や正規ツールの悪用などを防ぐための対策が必要」と語り、「その上で昨今のランサムウェアの動向を踏まえると『防御』と『検知』の両方が必須」と強調する。つまり、攻撃からシステムを守る「防御」だけでなく、システム内への攻撃者の侵入・内部探索にいち早く気づいて対処する「検知」が欠かせない。

[画像クリックで拡大]

 まず「防御」のポイントとしては、様々な攻撃に対して、複数の防御策を組み合わせてリスクを減らす「多層防御」という考え方がある。そこで意識すべきが運用負荷との“バランス”だ。たとえば、セキュリティ製品を入れすぎると運用負荷が高まってしまうため、1つで複数のセキュリティ機能を持つ製品を選ぶなど、運用負荷を増さない方法を検討する必要がある。

[画像クリックで拡大]

 また、「検知」のポイントは、システム内に入り込んだ攻撃をいち早く見つけるために、複数の情報から攻撃の有無を効果的に察知できる機能を盛り込むことだという。セキュリティ製品のログやネットワークのトラフィックなど、1つの情報から攻撃の兆候を見つけ出すだけでなく、複数の保護対象から情報を収集・分析することで、攻撃の有無を複合的に判断する必要がある。そのためには潤沢な人的リソースとセキュリティに関する高い知見が必要であり、それを効率的に行うために「EDR/XDR」が有効に働くということだ。なお、エンドポイントやサーバー環境の情報を収集・解析する「EDR」に対し、メールやネットワークなどにまで拡張すると「XDR」となる。

[画像クリックで拡大]

国産セキュリティベンダーならではのアドバンテージも

 それでは実際に、サーバー環境で「防御と検知」を実装するセキュリティ製品にはどのようなものがあるのか。また、どのように選べばいいのだろうか。

 岡本氏の所属するトレンドマイクロでは、サーバー環境のランサムウェア対策製品として「Trend Vision One – Endpoint Security」を2023年9月より提供している。これまで業務用PC向けに提供されてきた「Apex One SaaS」と、サーバー向け「Cloud One – Workload Security」を統合した製品で、不正プログラム対策や脆弱性対策などの防御はもちろん、EDRによる検知まで行える。

[画像クリックで拡大]

 岡本氏は「Trend Vision One – Endpoint Security」について、「中長期的なセキュリティ運用の効率化を考えたとき、最適なEDR」と語り、その根拠として、次の3点をあげた。

① EDR以外にもEPPをはじめとする多層防御を提供

 不正プログラム対策や脆弱性対策など、サーバーセキュリティに必要な複数機能を1製品で提供しており、多層防御と運用負荷軽減を両立している。また、EDRとEPPの併用も特徴的だ。他社ではEDRとNGAV(次世代型アンチウィルス)を組み合わせた提案が多いが、誤検知/過検知も多い。そこで、明らかに攻撃と判別できるものをEPPで防御・除外することでNGAVの検出対象を絞り、誤検知/過検知を減らすことで、アラート確認にかかる運用負荷を抑える仕組みとなっている。

[画像クリックで拡大]

 特にトレンドマイクロのEPPは、未知の不正ファイルを発見するとパターンファイルを作成し、保護対象に配布・スキャンをすることで、システム内に残ったリスクの洗い出しと根絶ができると岡本氏。「EPPは古いと言われるが、EDRと組み合わせることでEDRの効果を最大化できる」とあらためて訴えた。

[画像クリックで拡大]

② 国産セキュリティベンダーならではの“使いやすい”サポート

 トレンドマイクロは日本に本社を置くセキュリティベンダーであり、上場企業として⻑年安定した企業経営を維持している。また、顧客データを解析するデータセンターを国内で運用し、日本特有の脅威をリサーチして製品に反映する専任組織も国内に持つ。それ故に脅威のリサーチやインシデント対応やサポートを担当するエンジニアをはじめ、多くのスタッフを国内に抱えており、有事の際にも時間や言語を気にせずサポートを受けられ、インシデント対応に集中できる点は大きなメリットとなる。

③ エンドポイント以外のセキュリティ製品と連携し、「XDR」に拡張可能

 トレンドマイクロはエンドポイント以外にもセキュリティ製品を複数提供しており、「Trend Vision One – Endpoint Security」と組み合わせることで「XDR」へと拡張可能だ。セキュリティ運用をXDRに集約することで、複数の管理コンソールの確認、製品を横断した分析にかかる運用負荷などを効率化できる。

 岡本氏は「レイヤーごとに異なるセキュリティ製品を導入し、その都度アラートを確認しているケースは少なくない。中長期的なセキュリティ運用の効率化を図るなら、XDRへの拡張性は重要ポイントだ」と強調した。

[画像クリックで拡大]

次のページ
EDRを“導入しただけ”の状態では本末転倒 有効活用させるには

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:トレンドマイクロ株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18583 2023/10/31 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング