企業や組織は、攻めの経営を実践しつつも外部からの攻撃に対応する能力が求められます。昨今では標的型攻撃に代表されるようなより巧妙な手段で企業や組織を攻撃する方法が編み出され、より高度な防御力が求められています。今回はそんな時代背景の中で企業や組織はどのようにエンドポイントを保護するべきなのかをわかりやすくご紹介します。
攻撃側が優位? セキュリティの攻防
一般社会で起きる詐欺や横領のような行為は、多くの場合、犯罪者は入念に下調べをした上で、“わずかな隙”を突こうとして知恵を絞ってきます。免疫がない一般市民にとっては、この種の犯罪行為を未然に回避することは難しいと言えるでしょう。
情報セキュリティの分野にも同じことが言えます。世の中に浸透しているソフトウェアと企業が実装するシステムの機能と弱点を調べ尽くした上で、攻撃者は侵入を企ててきます。“後出しジャンケン”にも近い形ですから、守る側の企業はハンディを背負っていると言わざるを得ません。
もちろん、世界中のセキュリティ企業や調査機関は、サイバー犯罪の鎮静化に向けて努力を続けています。それぞれの企業の技術力を生かし、ときには業界団体を軸に犯罪のデータを共有して、その時点でベストと判断するソリューションを提示してきました。
境界防御からエンドポイントへシフト
攻撃者は次々に新しい手口を考えてきますから、守る側の技術もその傾向に応じて変わってきます。ここ数年の大きな流れとして、外部と社内ネットワークの境界をガードして侵入を防ぐ「境界防御」から、PCやモバイル端末など、エンドユーザーが操作するさまざまな機器(エンドポイント)を防御する「エンドポイント保護」への移行が挙げられます。
もちろん、境界防御はもはや不要ということではなく、従来からの手法に加えて、万一の侵入時に備え、エンドポイントもしっかり守る体制が重視されるようになったという意味です。その要因として、攻撃の先鋭化と企業ネットワークの形態の変化が挙げられます。
まず前者ですが、標的型攻撃やフィッシングのような境界防御だけでは防ぎきれない手口が増えたことです。ファイルレスマルウェアや、攻撃プログラムを“部品化”して検問をくぐり抜け、内部で一体化して不正を働くようなウイルスも、従来の技術だけでは捉えきれません。
そして企業ネットワークの変化は、働き方改革やテレワークの推進による、ワークスペースの拡がりです。従業員が自宅や外出先で使用するPC、スマートフォンなどのモバイル機器にも、オープンのネットワークを経由する以上は、できる限りの安全対策が求められることはもちろんです。
新しい手法も過信は禁物
ここから先は、エンドポイントのプロテクションに必要な要素を、もう少し具体的に見ていきましょう。
エンドポイントの安全対策がより重視されるようになったのは、サイバー犯罪の手口が巧妙化していった2010年代の初頭から中期にかけてですが、当初に比べると防御に使われる技術も少しずつ変化してきています。
例えば、アンチウイルスの分野では、ファイルのビットパターンからマルウェアを検知する「シグネチャ方式」だけでは、未知のウイルスに対処できないため、数年前からはプログラムの挙動から悪意を検知する「振る舞い検知」や、大量のデータを取り込んで脅威を検出する「機械学習」などの技術も導入されるようになりました。
このような手法は一定の成果を上げていますが、攻撃が日々先鋭化していく状況では、決して過信はできません。例えば、振る舞いの観測が数秒間の挙動に限られていたり、分析対象のデータの絶対量が不足したり、ファイル単位の分析に固執しすぎては、新手の攻撃手法や未知のウイルスへの対応力が足りず、正規プログラムの動作に対する誤検知も多発してしまうからです。
新しいキーワードは「IOA」
現在のエンドポイント保護の実践における重要な要素は「IOA」です。「IOC」と対で使われることが多いのですが、簡単に言うと、IOAはさまざまな状況から「攻撃の痕跡」を検知するための手法です。
IOA(Indicators Of Attack) 「攻撃の痕跡」から侵害の兆候を検出
IOC(Indicators Of Compromise) 「侵害の痕跡」から侵害の状況を検出
アンチウイルスの分野においてもIOAは必須です。攻撃を受けた後の状況(IOC)だけでなく、例えば、アカウントの認証情報の複写、権限設定の変更といった、それだけでは攻撃とは見なせない振る舞いにも着目し、行動を“線”で捉えて、攻撃の痕跡(IOA)として判断できるか否かがポイントなのです。
新しい手法の導入による精度の向上が求められるのは、もちろんアンチウイルスだけではありません。IOAは、エンドポイント保護の多くの領域において、基盤となるコンセプトと言えます。
新しい5つの選択基準
これからのエンドポイント保護は、攻撃を予測して隙間を塞ぐ、攻撃の兆候となる振る舞いを検出する、もし万一侵入されたときは被害を最小限に食い止め、直ちに修復作業を開始する、といった機能を装備したものでなければなりません。
私たちは、エンドポイント保護のソリューションに不可欠な要素を、5つのポイントに集約しています。
- 要素1.ITハイジーン
- 要素2.次世代アンチウイルス
- 要素3.EDR(エンドポイントでの検知と対応)
- 要素4.マネージドハンティング
- 要素5.脅威インテリジェンス
それぞれの要素について、簡単に見ておきましょう。
まず、1.ITハイジーンのハイジーン(hygiene)は、“衛生的であること”などの意味。人の健康状態を保つには、うがいや手洗いなどの衛生管理が欠かせませんが、ITの世界も同じです。パッチ適用などの基礎的な行動に加えて、アプリケーション、デバイスの稼働状況、アカウント(認証情報)の動きといったシステムの状態をリアルタイムでモニターし、しっかり記録する機能です。
要素2.次世代アンチウイルスは、従来型の検出機能に加えて、先鋭化する攻撃への対応力を備えたシステムです。もちろん、マルウェアの実体が存在しないシーンでも、さまざまな状況から脅威を察知しなければなりません。「IOA」がポイントになることは、先ほど述べた通りです。
システムと人智の総合力で
要素3.EDR(Endpoint Detection and Response)は、エンドポイントにかかる脅威を検知し、対応するためのシステムや技術です。次世代のエンドポイント保護は、既存のEDRとは一線を画し、大量のデータを扱う処理能力と高度な分析力を備えることが前提です。
サイトを狙う攻撃者は人間です。ディスプレイの向こうには人がいます。適応力と想像力を持った人間が企てる攻撃と対峙するには、守る側にも叡智を備えたエキスパート、ハンティングチームは欠かせません。これが要素4.マネージドハンティングです。
要素5.脅威インテリジェンスは、拡散する脅威に関する情報を世界中から集め、最新のインテリジェンスとして、企業などに随時配信するサービスです。次世代のエンドポイント保護では、ハイレベルの情報収集力を備えた脅威インテリジェンスも欠かせません。
「EDR(Endpoint Detection and Response)とは?」について調べてみよう!
必要条件は「クラウドネイティブ」
5つの要素を備えたソリューションを、スムーズに運用するための必要条件は「クラウドネイティブ」です。ペタバイト規模のデータを数カ月保存し、高速のエンジンで分析、そして防御のための行動を起こすには、従来型のオンプレミスのモデルでは不可能です。豊富なリソースを前提に設計・構築したクラウドネイティブのシステムが欠かせないのです。
運用性とユーザビリティも大切な要件です。機能的に優れたソリューションでも、企業のシステムに大きな荷がかかり、ユーザーの日常業務にストレスを与えるようでは導入は難しいでしょう。ユーザー企業のエンドポイントに負担をかけず、優れた保護機能をシングルエージェントで稼働する機能も必須と言えます。
「CROWDSTRIKE FALCON:エンドポイント保護」のエッセンスをご紹介しました。
より詳細な解説は「ホワイトペーパー」でご確認ください。
