忘れがちなサーバー環境のセキュリティ強化 なぜEDRに注目?
EDRといえば、「エンドポイントのセキュリティ対策」と捉える人も多いだろう。しかし、トレンドマイクロの岡本詩織氏は「サーバーにこそ必要」と強調する。その理由が、被害が急拡大している「ランサムウェア」の動向だ。
2023年前半だけでも大規模なランサムウェアの被害報告が多数上がっており、大企業が狙われる印象がある一方で、被害の約半数は中小企業が占めているなど、規模や業種を問わず、その脅威に晒されていると言っても過言ではない。さらに、従来はWindows環境を狙ったものも多かったが、最近はLinux環境にあるサーバーを狙うケースが増加しており、検出数も直近の半年間で1.5倍以上となっている。また、オンプレミス環境だけでなく、クラウド環境上のサーバーが被害にあう事例も複数報告されており、システム内に侵入後にサーバー環境を探索してランサムウェアを実行させるケースが目立つ。
業務用PCにランサムウェア侵入させないための対策はもちろん重要だが、初期侵入に成功されてしまうと攻撃はサーバー環境に移る。エンドポイントだけの対策では、侵入後の活動の発見や防御は非常に困難となるため、サーバー環境でのセキュリティ対策が必要というわけだ。
それでは、サーバー環境においては、どのようなランサムウェア対策が有効なのか。岡本氏は「サーバーのセキュリティ対策として認知されている脆弱性対策や攻撃ツールによる対策に加え、外部攻撃者との通信や正規ツールの悪用などを防ぐための対策が必要」と語り、「その上で昨今のランサムウェアの動向を踏まえると『防御』と『検知』の両方が必須」と強調する。つまり、攻撃からシステムを守る「防御」だけでなく、システム内への攻撃者の侵入・内部探索にいち早く気づいて対処する「検知」が欠かせない。
まず「防御」のポイントとしては、様々な攻撃に対して、複数の防御策を組み合わせてリスクを減らす「多層防御」という考え方がある。そこで意識すべきが運用負荷との“バランス”だ。たとえば、セキュリティ製品を入れすぎると運用負荷が高まってしまうため、1つで複数のセキュリティ機能を持つ製品を選ぶなど、運用負荷を増さない方法を検討する必要がある。
また、「検知」のポイントは、システム内に入り込んだ攻撃をいち早く見つけるために、複数の情報から攻撃の有無を効果的に察知できる機能を盛り込むことだという。セキュリティ製品のログやネットワークのトラフィックなど、1つの情報から攻撃の兆候を見つけ出すだけでなく、複数の保護対象から情報を収集・分析することで、攻撃の有無を複合的に判断する必要がある。そのためには潤沢な人的リソースとセキュリティに関する高い知見が必要であり、それを効率的に行うために「EDR/XDR」が有効に働くということだ。なお、エンドポイントやサーバー環境の情報を収集・解析する「EDR」に対し、メールやネットワークなどにまで拡張すると「XDR」となる。
国産セキュリティベンダーならではのアドバンテージも
それでは実際に、サーバー環境で「防御と検知」を実装するセキュリティ製品にはどのようなものがあるのか。また、どのように選べばいいのだろうか。
岡本氏の所属するトレンドマイクロでは、サーバー環境のランサムウェア対策製品として「Trend Vision One – Endpoint Security」を2023年9月より提供している。これまで業務用PC向けに提供されてきた「Apex One SaaS」と、サーバー向け「Cloud One – Workload Security」を統合した製品で、不正プログラム対策や脆弱性対策などの防御はもちろん、EDRによる検知まで行える。
岡本氏は「Trend Vision One – Endpoint Security」について、「中長期的なセキュリティ運用の効率化を考えたとき、最適なEDR」と語り、その根拠として、次の3点をあげた。
① EDR以外にもEPPをはじめとする多層防御を提供
不正プログラム対策や脆弱性対策など、サーバーセキュリティに必要な複数機能を1製品で提供しており、多層防御と運用負荷軽減を両立している。また、EDRとEPPの併用も特徴的だ。他社ではEDRとNGAV(次世代型アンチウィルス)を組み合わせた提案が多いが、誤検知/過検知も多い。そこで、明らかに攻撃と判別できるものをEPPで防御・除外することでNGAVの検出対象を絞り、誤検知/過検知を減らすことで、アラート確認にかかる運用負荷を抑える仕組みとなっている。
特にトレンドマイクロのEPPは、未知の不正ファイルを発見するとパターンファイルを作成し、保護対象に配布・スキャンをすることで、システム内に残ったリスクの洗い出しと根絶ができると岡本氏。「EPPは古いと言われるが、EDRと組み合わせることでEDRの効果を最大化できる」とあらためて訴えた。
② 国産セキュリティベンダーならではの“使いやすい”サポート
トレンドマイクロは日本に本社を置くセキュリティベンダーであり、上場企業として⻑年安定した企業経営を維持している。また、顧客データを解析するデータセンターを国内で運用し、日本特有の脅威をリサーチして製品に反映する専任組織も国内に持つ。それ故に脅威のリサーチやインシデント対応やサポートを担当するエンジニアをはじめ、多くのスタッフを国内に抱えており、有事の際にも時間や言語を気にせずサポートを受けられ、インシデント対応に集中できる点は大きなメリットとなる。
③ エンドポイント以外のセキュリティ製品と連携し、「XDR」に拡張可能
トレンドマイクロはエンドポイント以外にもセキュリティ製品を複数提供しており、「Trend Vision One – Endpoint Security」と組み合わせることで「XDR」へと拡張可能だ。セキュリティ運用をXDRに集約することで、複数の管理コンソールの確認、製品を横断した分析にかかる運用負荷などを効率化できる。
岡本氏は「レイヤーごとに異なるセキュリティ製品を導入し、その都度アラートを確認しているケースは少なくない。中長期的なセキュリティ運用の効率化を図るなら、XDRへの拡張性は重要ポイントだ」と強調した。
EDRを“導入しただけ”の状態では本末転倒 有効活用させるには
サーバー環境のランサムウェア対策において、「防御と検知」を両立させながら「多層防御とEDRの実装」をかなえるには、どのようなポイントに留意すべきなのか。岡本氏は「多層防御と同様、EDRについても運用との兼ね合いが非常に重要」と語る。
そもそもEDRによる検知機能の導入目的は「いち早く攻撃に気づき、対処することで被害を最小化すること」にある。EDR製品はアラートに“リスクレベル”や“深刻度の情報”を付与したり、追加の調査に必要なリモートアクセス機能や、感染サーバーの隔離用機能などを提供したりするが、アラートごとにどの機能を使うかを判断するのは「セキュリティ担当者」だ。つまり、きちんと運用して初めて価値を発揮するものと理解しておく必要がある。
岡本氏は、サイバー攻撃を受けた企業の対応を時系列で提示し、「EDRでランサムウェアに早く気づけても、そこから先の対応として、被害範囲の確認や被害復旧、脅威根絶の作業に時間がかかっては意味がない。EDRはいち早くランサムウェアを検知するが、より重要なのは迅速に対処すること」と指摘する。
実際、岡本氏によると、EDR導入後に十分な対応ができておらず、その価値を享受できていないケースが多いという。「想像以上にアラートが発報されて確認が追いつかない」「そもそも、アラートを見ても内容がわからない」「対処が必要そうだと感じるが、具体的に何をすれば良いのか……」など、“導入すれば終わり”というわけではないことが伺える。
この「EDR運用の壁」を乗り越えるために有効なのが、「EDRのマネージドサービス」だ。監視のための人的リソース、検知結果の解析にかかる工数、専門知識のあるセキュリティ人材などに係わる負担を軽減できる。それは結果として、インシデントによる被害の最小化にもつながるだろう。当然ながら、EDRにかかっていたリソースを他の業務へと転換することも可能だ。有事には、専門家の支援を受けてインシデント対応を迅速に進められ、社内外への説明や報告などにリソースを割けるというメリットもある。
そこで、トレンドマイクロでは、EDRの導入を検討している企業はもとより、既にEDRを導入した企業に対してもマネージドサービスの活用を進めているという。その活用によって、EDRだけでなく同社XDRの機能についても工数削減がかなう面でも、導入メリットは大きいと言えるだろう。
岡本氏は、実際にトレンドマイクロのマネージドサービス「Trend Micro Managed XDR」を導入した場合のコストについて、第三者機関がまとめたデータを紹介。自社でEDRを運用する場合と比べ、ランサムウェアやマルウェアへの感染、データ侵害などのリスクも加味したトータルなセキュリティコストについて、約79%の削減に成功した例もあるという。
岡本氏は「せっかくEDRを導入しても『運用の壁』でインシデントに気づけないようでは本末転倒。マネージドサービスの活用で、最小限の工数でインシデントに対応し、被害を最小化し、結果としてセキュリティの全体コストを削減できる可能性がある」と語る。そして、「サーバー環境を狙うランサムウェアが増加する中で、多層防御と検知の仕組みが必須。これを効率よく実装するには、『Trend Vision One – Endpoint Security』が有効。さらにその運用は、セキュリティのプロであるトレンドマイクロの知見を活かした運用サービスが効果的であり、ぜひ検討していただきたい」と述べ、セッションのまとめとした。
