英国では死亡事件も……ランサムウェア攻撃の潮流を掴む──煩雑化するセキュリティ運用の“新常識”とは？

「ガードマン」のEPP／「監視カメラ」のEDR連携で防御強化

　EPP（Endpoint Protection Platform）は建物を守るガードマンのように、セキュリティ基盤として侵入を未然に防ぐ役割を果たす。しかし、泥棒が裏口から侵入するような、EPPをすり抜ける攻撃に対しては、EPP単独では対処できない。ここで必要となるのがEDRだ。EDRは自宅に設置された監視カメラのように、サイバー環境で起きていることをリアルタイムで追跡し、状況を可視化する。ウィズセキュアのElements EDRとコアセキュリティサービスを組み合わせることで、24時間365日の監視と迅速な対応が可能となる。

　EPPとEDRはそれぞれ異なる役割を持つが、連携しないと効果的な脅威対策は難しいと神田氏は指摘した。EPPでブロックした情報をEDRで可視化したり、EDRが発見した結果を用いてEPPの防御ルールを一時的に強化したりと、「連携することでダイナミックにセキュリティへ対応可能となる」と述べた。

　また、IDセキュリティの重要性も強調された。近年の攻撃はエンドポイントではなくIDに焦点を移しており、ビジネスリソースにアクセスできる認証情報の取得が攻撃の起点となっている。ウィズセキュアのXDRはエンドポイント、メール、ID、クラウドアプリケーションまで統合的に監視し、IDを起点とした高度な攻撃を確実に検知できる。「当社のアイデンティティセキュリティは不正ログインやアカウント乗っ取りをリアルタイムで検知し、顧客の大切なデータを守る」と説明した。

　具体的には、すべてのログイン活動を一元的に監視し、普段と異なる怪しい攻撃パターンを素早く検知する。さらに、利用端末とクラウドサービスを連携させて攻撃の全体像を把握し、既に侵害された可能性のあるアカウントを特定して被害拡大前に対処できる。

専門家顔負けの「生成AIアシスタント」が分析をサポート

　ウィズセキュアのコ・セキュリティサービスである「WithSecure Elevate」と「WithSecure Co-Monitoring」についても詳細が語られた。Elevateは、EDRのオプションサービスで、EDRが検知した脅威アラートに対し、セキュリティアナリストによる解析サービスを提供する。ユーザー側でアラートが真の脅威か、誤検知かを判断できない場合、ウィズセキュアのアナリストが代わりに判断する。管理画面上のエスカレーションボタンを押すだけでサービスが開始され、アナリストとチャット形式でやり取りが可能だ。現状は英語での提供だが、今後日本語にも対応予定だ。

　Co-MonitoringもEDRのオプションサービスで、ウィズセキュアのアナリストが顧客の環境を24時間365日監視し、深刻なリスクが上がると調査を開始する。調査の結果、実際のエンドポイント攻撃であると判断された場合は、電話で情報提供と改善方法のアドバイスをする。顧客側での対応作業の質問にも並行してサポートする体制がある。このサービスにより、回復力の向上、混乱と予定外の出費の最小化、タイムリーなエスカレーションが可能となる。

　また、ウィズセキュアには生成AIアシスタント「WithSecure Luminen AI」もある。これはすべての製品に無料で提供され、セキュリティの専門家でなくとも検知した脅威をAIが分かりやすく解説し、対応方法を提案する。たとえば、ログインダッシュボードでセキュリティイベントの状況を確認する際に、Luminen AIのボタンを押せば、AIがイベントを要約して自然な言葉で説明する。EDRアラート確認画面でもLuminen AIによる分析を活用して、アラート内容の確認時間を短縮できる。

　講演の最後に、神田氏は、多様化・高度化する脅威とID攻撃の増加、そしてEDR運用における人材・費用・複雑性の課題を解決するために、統合的なXDRと、顧客のニーズに合わせて柔軟な製品・サービスを組み合わせる「Co-Security」の重要性を強調して講演を締めくくった。