次世代のITと働き方を守るクラウドネイティブEDR

 2021.02.24  EDR実践ポータル

 日本企業の多くは、いまだにアンチウイルスソフトのみで業務端末のセキュリティを担っています。しかし、相次ぐ情報漏えい事故の報告、ランサムウェアなど新しいサイバー脅威の危険性などをニュースやIT記事で知り、セキュリティ対策がまったく不足していることも承知しています。端末の状態を可視化できていないために、危険性を身近に感じることができなかったり、実際に攻撃を受けているのかどうかもわからず、不安を覚えている読者も少なくないでしょう。 また最新のサイバー攻撃は極めて巧妙で、侵入そのものを防ぐことは困難です。侵入されてしまうことは承知のうえで、それ以降の攻撃活動を防止するソリューションが求められています。従来型のアンチウイルスソフトでは防御できない脅威に対応するため次世代アンチウイルスを導入し、既存の脅威の侵入を防ぎつつ、新しい攻撃にも対処できる「EDR(Endpoint Detection and Response)」を組み合わせた総合的なセキュリティ対策が必要なのです。

cloud-edr

従来型のセキュリティシステムもセキュリティ運用も力不足に

 EDRが注目されているのは、ITや環境の変化にも理由があります。多くの企業にクラウドサービスが浸透し、オフィス内にあるオンプレミスシステムのようにゲートウェイだけで保護することが難しくなりました。また、2020年の新型コロナウイルス感染症でテレワークの需要が急増したときには、業務環境自体がオフィスの外に出てしまい、そもそも境界防御では保護できなくなってしまいました。その点でも、端末上で侵入を検知して対処することのできるEDRが大いに注目されています。

 新しいセキュリティ対策を採用するとしても、その運用には課題が残されます。上述のように、今やクラウドサービス全盛の時代です。オフィスツールやグループウェア、顧客管理などのSaaSを利用している企業が急増しています。これらのサービスとデータを保護するために、オンプレミスのセキュリティシステムを利用するのはナンセンスです。クラウドサービスは頻繁にバージョンアップを繰り返すため、そのたびにセキュリティもメンテナンスしなければなりません。従来型のセキュリティ運用では間に合わないのです。

 新型コロナウイルス感染症も、セキュリティ運用に影響を及ぼしています。一般の従業員と同様に、IT管理者もテレワークが求められるようになり、オンプレミスシステムを運用しにくくなりました。優秀なIT人材を獲得するには、IT管理者の働き方改革についても考慮する必要があり、セキュリティ運用のモダン化を進めていかなければなりません。そもそもIT人材にかけるリソースが不足しているために、運用そのものを回避したいという思いもあるのではないでしょうか。

クラウドネイティブエンドポイントセキュリティで実現する新しいセキュリティ運用

 新しい脅威への対策、クラウドサービス、テレワーク、モダンなセキュリティ運用というキーワードから導かれるのは「クラウドネイティブエンドポイントセキュリティ」──クラウドサービスとして提供されているエンドポイントセキュリティソリューションです。

 クラウドネイティブエンドポイントセキュリティは、管理サーバーが不要です。クラウドサービスとして提供されているため、インターネットにアクセスできれば端末の場所は問いません。自宅でも喫茶店でも、もちろんオフィスでも保護することができます。

 オンプレミスの場合、管理対象が増えるにしたがって管理サーバーの増強が必要になり、高コストになりがちです。クラウドネイティブエンドポイントセキュリティであれば、管理リソースも柔軟かつ安価に拡張できます。「クラウドネイティブ」を強調するのは、従来型の管理サーバーソフトをIaaSに“クラウドリフト”しただけの場合とは異なるからです。 クラウドリフトした場合には拡張性には限度があります。

 最新の脅威に対抗するには、膨大な脅威インテリジェンスをユーザー間で共有し、AIや機械学習などの最先端技術を脅威判定に応用できるパワフルなインフラが必要です。グローバル展開まで見すえられるほどの拡張性に富んだ、“クラウドネイティブ”なエンドポイントセキュリティソリューションを選びたいところです。

 グローバル展開という視点でセキュリティ対策を検討するのであれば、各国・地域で採用されているセキュリティ認証基準への対応も必要です。脅威検知のために詳細なテレメトリ(コンテキスト)データを活用することから、法や規制への準拠が求められるためです。クラウドサービスであれば、煩雑な運用は必要ありません。どのような基準・規制に対応しているのか提示されているため、ビジネスに必要なものを選ぶことができます。

 セキュリティ運用で最も重要な要素はログです。ログは、攻撃活動の証跡として、脅威検知・インシデント対応・問題改善などさまざまな用途に用いられます。しかし、たいていの攻撃者はログを削除しようと試みます。手の届かないクラウドサービス上へログを退避できれば、攻撃者は証跡を消すことができません。

 ログのリアルタイム性も重要です。“セキュリティ担当者がログから状況を把握できるのは15分後”では、攻撃は完了したあとになってしまいます。リアルタイムにログを可視化して、迅速に対処できるようなサービスを選定することも重要です。

クラウドネイティブなEDRだから新しいITやビジネスを守れる

 これらの条件を満たすエンドポイントセキュリティとして「CrowdStrike」を紹介しましょう。当初からクラウドネイティブなエンドポイントセキュリティとして開発されており、クラウドとエンドポイントとを連携させることを前提に設計されている点で、クラウド化されたレガシーソリューションとは一線を画しています。

 ユーザーから集められた膨大なデータは統合的に解析され、得られたIOC(Indicators of Compromise)やIOA(Indicator of Attack)などの情報は、すべてのユーザーの共有財産として活用されます。つまり、ある場所で発見された新しい脅威への対策方法が、すぐさま世界中に広がるようにできているのです。もちろん、ログを他社から見られることはありません。この脅威インテリジェンスは標準サービスとして利用できます。

 本来のエンドポイントセキュリティには、EDRだけでなく次世代アンチウイルスやぜい弱性管理などのセキュリティ機能、USBデバイス管理や資産管理などの周辺機能も必要です。多くの場合、複数のツールを組み合わせたり、1つのツールに見えても複数のプロセスが稼働していたりします。そのためPCにかかる負荷が高く、業務生産性の低下を招くケースすらあります。

 CrowdStrikeのエージェントソフトウェア(Falconエージェント)は、完全なシングルエージェントであり、USBデバイス管理や資産管理にいたってもモジュールを追加する必要はありません。たった40MBと超軽量で、CPU使用率は1%未満です。インストールする際にも再起動は不要で、サーバーOSにもオンラインのままで導入することができます。仮に何らかのインシデントが発生している緊急事態でも、CrowdStrikeであればすぐさま対処できるということです。

 またFalconエージェントは、カーネルモードでも機能します。一般的なソフトウェアと同じユーザーモードのみの場合、解析に必要なログを収集しきれませんし、高機能なマルウェアに停止されてしまう恐れもあります。もらすことなくログを集めることができるからこそ、幅広い脅威を検知して、必要に応じてブロックできるのです。カーネルレベルの振る舞いまで検知・ブロックできることは非常に重要です。

[SMART_CONTENT]

もはや運用しなくてよい?CrowdStrikeのトータルサービス

 オンプレミス型のセキュリティシステムの場合、エージェントやサーバーをバージョンアップする作業が定期的に発生し、メンテナンスウインドウの調整に一苦労します。CrowdStrikeであればバージョンアップ作業は不要です。クラウドコンソールで指示すれば、すべて自動的に実行されます。インストール時と同様に再起動は不要ですから、エンドユーザーや業務アプリケーションに影響を及ぼす心配もありません。バックアップやディザスタリカバリの対応も不要です。極めて可用性の高い環境で、CrowdStrikeを使い続けることができます。

 ポリシー管理は非常に重要な管理作業ですが、グルーピングやタギングの機能が備わっており、管理者を支援します。CrowdStrikeでは、エンドポイントから収集された情報を基に新しいユーザーやユーザーの異動を検知して、指定されたグループポリシーをダイナミックに適用できるようになっています。任意のタグで分類することができ、ユーザーや端末を細やかに管理できるのも特長の1つです。

 そして最も困難で重要な業務が“脅威の判断”です。CrowdStrike自身、エージェントですべての脅威を100%検知できるとは考えていません。例えば、何らかの手法で認証情報が漏えいし、それが発覚するまえに不正ログインに悪用されたとします。システム上は正規のログイン方法ですから、脅威とは見なされません。

 ただし攻撃者は、ログインしたあとには必ず攻撃活動を実行するはずです。CrowdStrikeの「脅威ハンティング」は、そうした攻撃者の振る舞いをヒトが検知して通知してくれるサービスです。

 CrowdStrikeのハンター(セキュリティ専門家)は、毎日10万件近くの疑わしいログを抽出し、24時間365日体制で解析し続けています。AIや機械学習で見つけられなかったアラートを発見し、ユーザーの管理コンソールへ通知します。重大な攻撃の場合は、ユーザー企業の担当者へ直接的にメールで伝え、必要に応じてアドバイスを提供します。

 CrowdStrikeのユーザーは、国内でも増加中です。他のクラウドソリューションを選んだものの誤検知が多く、CrowdStrikeの検知率の高さ、誤検知率の低さを評価して移行したというWebサービス事業者があります。グローバルで10万人の従業員を抱える企業では、近年サイバー攻撃の頻度が高まっており、脅威ハンティングサービスが気に入っているそうです。この企業では、最初の1万台への導入をたった数日で完了できました。米国では、7万台へのインストールを2日で完了させたという事例すらあります。緊急事態のセキュリティ強化にも有用であることの証明です。

 CrowdStrikeは、最新の仮想化環境やコンテナ環境などにも対応しており、今後もさまざまなデバイス/プラットフォームのサポートを推進していく計画です。また各種パブリッククラウド環境の可視化、Cloud Security Posture Management(CSPM)やCloud Workload Protection Platform(CWPP)への対応も行われています。クラウドネイティブなセキュリティソリューションであることのメリットを次々に強化していく意向です。


RECENT POST「EDR」の最新記事


次世代のITと働き方を守るクラウドネイティブEDR

RANKING人気資料ランキング

RECENT POST 最新記事

RANKING人気記事ランキング