忘れがちなサーバー環境のセキュリティ強化 なぜEDRに注目?
EDRといえば、「エンドポイントのセキュリティ対策」と捉える人も多いだろう。しかし、トレンドマイクロの岡本詩織氏は「サーバーにこそ必要」と強調する。その理由が、被害が急拡大している「ランサムウェア」の動向だ。
2023年前半だけでも大規模なランサムウェアの被害報告が多数上がっており、大企業が狙われる印象がある一方で、被害の約半数は中小企業が占めているなど、規模や業種を問わず、その脅威に晒されていると言っても過言ではない。さらに、従来はWindows環境を狙ったものも多かったが、最近はLinux環境にあるサーバーを狙うケースが増加しており、検出数も直近の半年間で1.5倍以上となっている。また、オンプレミス環境だけでなく、クラウド環境上のサーバーが被害にあう事例も複数報告されており、システム内に侵入後にサーバー環境を探索してランサムウェアを実行させるケースが目立つ。
業務用PCにランサムウェア侵入させないための対策はもちろん重要だが、初期侵入に成功されてしまうと攻撃はサーバー環境に移る。エンドポイントだけの対策では、侵入後の活動の発見や防御は非常に困難となるため、サーバー環境でのセキュリティ対策が必要というわけだ。
それでは、サーバー環境においては、どのようなランサムウェア対策が有効なのか。岡本氏は「サーバーのセキュリティ対策として認知されている脆弱性対策や攻撃ツールによる対策に加え、外部攻撃者との通信や正規ツールの悪用などを防ぐための対策が必要」と語り、「その上で昨今のランサムウェアの動向を踏まえると『防御』と『検知』の両方が必須」と強調する。つまり、攻撃からシステムを守る「防御」だけでなく、システム内への攻撃者の侵入・内部探索にいち早く気づいて対処する「検知」が欠かせない。
まず「防御」のポイントとしては、様々な攻撃に対して、複数の防御策を組み合わせてリスクを減らす「多層防御」という考え方がある。そこで意識すべきが運用負荷との“バランス”だ。たとえば、セキュリティ製品を入れすぎると運用負荷が高まってしまうため、1つで複数のセキュリティ機能を持つ製品を選ぶなど、運用負荷を増さない方法を検討する必要がある。
また、「検知」のポイントは、システム内に入り込んだ攻撃をいち早く見つけるために、複数の情報から攻撃の有無を効果的に察知できる機能を盛り込むことだという。セキュリティ製品のログやネットワークのトラフィックなど、1つの情報から攻撃の兆候を見つけ出すだけでなく、複数の保護対象から情報を収集・分析することで、攻撃の有無を複合的に判断する必要がある。そのためには潤沢な人的リソースとセキュリティに関する高い知見が必要であり、それを効率的に行うために「EDR/XDR」が有効に働くということだ。なお、エンドポイントやサーバー環境の情報を収集・解析する「EDR」に対し、メールやネットワークなどにまで拡張すると「XDR」となる。
国産セキュリティベンダーならではのアドバンテージも
それでは実際に、サーバー環境で「防御と検知」を実装するセキュリティ製品にはどのようなものがあるのか。また、どのように選べばいいのだろうか。
岡本氏の所属するトレンドマイクロでは、サーバー環境のランサムウェア対策製品として「Trend Vision One – Endpoint Security」を2023年9月より提供している。これまで業務用PC向けに提供されてきた「Apex One SaaS」と、サーバー向け「Cloud One – Workload Security」を統合した製品で、不正プログラム対策や脆弱性対策などの防御はもちろん、EDRによる検知まで行える。
岡本氏は「Trend Vision One – Endpoint Security」について、「中長期的なセキュリティ運用の効率化を考えたとき、最適なEDR」と語り、その根拠として、次の3点をあげた。
① EDR以外にもEPPをはじめとする多層防御を提供
不正プログラム対策や脆弱性対策など、サーバーセキュリティに必要な複数機能を1製品で提供しており、多層防御と運用負荷軽減を両立している。また、EDRとEPPの併用も特徴的だ。他社ではEDRとNGAV(次世代型アンチウィルス)を組み合わせた提案が多いが、誤検知/過検知も多い。そこで、明らかに攻撃と判別できるものをEPPで防御・除外することでNGAVの検出対象を絞り、誤検知/過検知を減らすことで、アラート確認にかかる運用負荷を抑える仕組みとなっている。
特にトレンドマイクロのEPPは、未知の不正ファイルを発見するとパターンファイルを作成し、保護対象に配布・スキャンをすることで、システム内に残ったリスクの洗い出しと根絶ができると岡本氏。「EPPは古いと言われるが、EDRと組み合わせることでEDRの効果を最大化できる」とあらためて訴えた。
② 国産セキュリティベンダーならではの“使いやすい”サポート
トレンドマイクロは日本に本社を置くセキュリティベンダーであり、上場企業として⻑年安定した企業経営を維持している。また、顧客データを解析するデータセンターを国内で運用し、日本特有の脅威をリサーチして製品に反映する専任組織も国内に持つ。それ故に脅威のリサーチやインシデント対応やサポートを担当するエンジニアをはじめ、多くのスタッフを国内に抱えており、有事の際にも時間や言語を気にせずサポートを受けられ、インシデント対応に集中できる点は大きなメリットとなる。
③ エンドポイント以外のセキュリティ製品と連携し、「XDR」に拡張可能
トレンドマイクロはエンドポイント以外にもセキュリティ製品を複数提供しており、「Trend Vision One – Endpoint Security」と組み合わせることで「XDR」へと拡張可能だ。セキュリティ運用をXDRに集約することで、複数の管理コンソールの確認、製品を横断した分析にかかる運用負荷などを効率化できる。
岡本氏は「レイヤーごとに異なるセキュリティ製品を導入し、その都度アラートを確認しているケースは少なくない。中長期的なセキュリティ運用の効率化を図るなら、XDRへの拡張性は重要ポイントだ」と強調した。
