アタックサーフェス対策で注力すべきは「エンドポイント」と「ユーザーアカウント」
コロナ禍を経て、多くの組織がリモートワークのためにクラウドサービスを導入するなどワークスタイルを変革してきた。会社支給のパソコンだけではなく、私物端末を業務利用しても構わないとした企業も少なくない。SentinelOne Japanでシニアソリューションエンジニアを務める藤田平氏は「このような変化はメリットがもたらす一方、様々なセキュリティリスクを招いてしまう『脆弱性』を含んでいることを認識しておくべきです」と警鐘を鳴らす。
業務データを私物端末などで扱えるようになるということは、攻撃者からすると“アタックサーフェス”(攻撃対象となる領域)が増加していることと同義だ。当然ながらアタックサーフェスが拡大するにともない脆弱性も増加する。すべてのリスクに対処できればいいが、セキュリティの予算やリソースは限られているのが現実だ。藤田氏は「選択と集中、いわゆる最適化」が大切だと説く。
では、どこにリソースやコストを集中投下すべきか。ここで考慮すべきは、アタックサーフェスを4つに大別できるという点だ。
- エンドポイント:業務利用しているPCやタブレット、スマートフォンなど、組織として管理すべきエントリーポイント、潜在的な脆弱性を指す。攻撃者はこれらを悪用して機密情報を盗んだり、他のシステムに対する攻撃の足がかりとしたりする
- ユーザーアカウント:脆弱なパスワードやアクセス制限など、組織のユーザーアカウントにあるエントリーポイントと潜在的な脆弱性を指す。攻撃者はこれらを悪用して機密データにアクセスしたり、他のシステムに対して攻撃を仕掛けたりする
- ネットワーク機器:ルーターやスイッチ、ファイアウォール、VPN装置など、組織のネットワークインフラにあるエントリーポイントと潜在的な脆弱性を指す。攻撃者はこれらを悪用してネットワークに不正アクセスしたり、他のシステムに攻撃を行ったりする
- アプリケーション:Webアプリケーションやクラウドサービスなど、組織利用するソフトウェアアプリケーションにあるエントリーポイントと潜在的な脆弱性を指す。攻撃者はこれらを悪用して機密データにアクセスしたり、ユーザーアカウントを侵害したり、マルウェアを拡散したりする
これらの攻撃対象領域でエントリーポイントが最多となるのは、エンドポイントやユーザーアカウントだ。もちろん、ネットワークやアプリケーションにおける保護も必要だが、選択と集中という観点では、エンドポイントの強化や最適化を優先すべきだろう。
効率の良い「エンドポイント対策」 持つべき“3つの視点”とは?
エンドポイントセキュリティにフォーカスしたとき、“効率良く”セキュリティ対策を実施するためには「エージェントが導入された端末は適切に守られているか」「守るべき端末すべてにエージェントが導入されているか」「できる限り工数やコストをかけずにエージェントを管理できるか」の3つが焦点となる。
ポイント1:エージェントを導入した端末は適切に守られているのか
エンドポイントセキュリティにおいて確認すべき重要な機能は4点ある。1点目は「脆弱性の可視性」だ。脆弱性を可視化するために、エンドポイントセキュリティとは別のエージェントやモジュールを追加しなくてはいけない製品も存在する。だからこそ、管理や運用面を考慮して、エンドポイントセキュリティと可視化の両方が1つのエージェントで実現できることは重要だ。
なお、脆弱性の可視化において、脆弱性が確認された日、パッチが公開された日、脆弱性が悪用された攻撃が確認された日など、時系列で詳細を確認できる機能があると望ましい。どの脆弱性から優先的に対応すべきか、その判断材料となる情報を単一コンソールから確認できると運用を効率的にしてくれるからだ。
2点目は認証情報を悪用した攻撃の検知と防御だが、昨今のエンドポイントセキュリティではEPPやEDRは当然のように実装されている。その一方、認証情報を悪用した攻撃は正規ユーザーの行動と区別しにくいため、検知が難しい。熟練のアナリストを育成したり、外部SOCを契約したりすることも可能だが、相応のコスト負担は覚悟しなければならないだろう。
予算が限られている中でコストを抑えたいなら、認証情報を狙った偵察行為や水平移動(ラテラルムーブメント)を検知できるエンドポイント製品が望ましい。たとえば、ポートスキャンなどのネットワーク偵察行動をはじめ、エンドポイントに保存されている資格情報を狙う攻撃を検知し、防止できる機能があるのかを確認すべきだ。
3点目は不正プログラム検知時の自動隔離。エンドポイントセキュリティ製品には、端末隔離やネットワーク遮断を手動で行わなくてはならない製品もある。そのためエンドポイントで不正プログラムを検知したら、自動的に端末隔離やネットワーク遮断を実施できる機能があるのかを確認すべきだろう。
4点目はランサムウェア攻撃からの復元だ。ランサムウェア攻撃によりデータを暗号化された場合、有効なバックアップがなければ身代金を支払って復号させたり、端末を初期化させたりなど、工数のかかる回復作業を手動で行わなくてはならない。そのためランサムウェア攻撃を検知し、万が一ファイルが暗号化されたとしても管理コンソール経由で速やかにファイルの復旧処理を実行できる機能は重要だ。
ポイント2:守るべき端末すべてにエージェントが導入されているか
管理端末におけるエージェント導入状況を確認する上で、実装されていると望ましい機能は次の4点になる。
1点目は、保護されていない端末の検出や可視化だ。エージェント導入済みの端末を管理コンソールから確認できても、導入されていない端末を検出するためには別のツールが必要になる場合がある。だからこそ、製品コンソールからネットワーク接続している端末を可視化できる機能が重要だ。このときエージェント導入の有無だけではなく、デバイスの種類やOSなどの詳細情報もわかることが望ましい。
2点目は端末のラベル付け。上記で可視化された端末においてエージェントを導入済みなのか、これから導入が可能な端末なのかなど、管理を効率化するラベル付けが自動的に行われると安心だろう。
3点目はエージェント未導入端末への容易なインストールだ。管理コンソールから未導入端末に対してリモートでインストールできれば、運用の負荷軽減につながる。たとえば、リモートインストールはできるが、各端末がインターネット経由でインストール用モジュールをダウンロードする製品も存在する。端末が大量にある場合、ネットワーク回線に負荷をかけてしまいかねないため、エージェント導入済み端末からピア・ツー・ピアでエージェントを展開できるかどうかも確認したい。
4点目はエージェント未導入端末の通信制御。ネットワークに管理対象外のデバイスが存在してしまうと不正アクセスなどの温床になりかねない。管理対象外の端末からの通信をブロックするなどのポリシー設定が可能かどうかは重要だ。管理対象外端末の通信を制御できれば、不正アクセスや情報漏えいなどの防止にもつなげられる。
コストや工数をかけずにエージェントを管理する
ポイント3:できる限り工数やコストをかけずにエージェントを管理できるか
これまでに挙げたような、エンドポイントセキュリティのエージェントに実装されるべき機能について、できる限り工数やコストをかけずに管理していくためにはどうしたら良いのか。ここでは藤田氏の所属するSentinelOne「Singularity Platform」を例にして紹介していく。
Singularity Endpointでは、3つの基本ライセンス「Core」「Control」「Complete」が提供されている。CoreはEPP(エンドポイント保護プラットフォーム)にあたり、従来型アンチウィルス機能に加えて、自律型AIを活用したふるまい検知による未知の不正プログラムへの対応も可能だ。また、ControlではUSBやBluetoothなど、デバイス制御とアプリケーション脆弱性の可視化機能を追加。そしてCompleteではEDR機能を加えることで、エンドポイントセキュリティに必要なすべての機能をカバーする。
AIによる検知技術はファイルが動作していない状態(静的な状態)での検知と、ファイルが動作している状態(動的な状態)での検知、この両方に対応している。マルウェア感染からの修復、ランサムウェアからの復旧といった感染後の対処も管理コンソールから実施できることが大きな特徴だ。
また、エンドポイントのエージェント管理は「Singularity Ranger」、OSの脆弱性を可視化するには「Singularity Ranger Insights」というアドオンが用意されている。ネットワークに接続されているデバイスをエージェント経由でスキャンして可視化するだけでなく、自動的にエージェントを導入可能かどうかラベル付けしてくれ、ピア・ツー・ピアでのエージェント展開も可能だ。
他にもユーザーアカウントのセキュリティ強化には「Singularity Identity」を用意。“おとり”オブジェクトで認証情報を狙うようなActive Directly(AD)への攻撃を検知して防御する機能、認証情報を悪用したラテラルムーブメントや偵察行為などの不審な通信も検知できる。他にもADを外部監視することでADへのアセスメントや攻撃検知を行う「Singularity RangerAD」、ADへの攻撃検知や防御を行う「Singularity RangerAD Protect」もあり、それぞれを連携して機能させることも可能だ。
前述したようにサイバー攻撃のリスク軽減とコスト抑制を両立するには、3つポイントがあった。まずは攻撃対象領域を評価し、そして攻撃対象領域を最小限に抑える。さらにコスト抑制のために複雑さを軽減することだ。「これら3つを実現する上で望ましい機能はSentinelOneのソリューションですべてカバーできます」と藤田氏。クラウドアプリケーション保護やネットワークの脅威に対応する製品も用意しており、気軽に問い合わせてほしいとして講演を締めくくった。
