サイバー攻撃の悪質化が止まらない。一旦被害に遭ってしまうとその影響は甚大になりがちで、企業経営者は、その深刻さを理解し、適切にリスクアセスメントを実施しなければならない時代になっている。本シンポジウムでは、凶悪なサイバー攻撃に対抗する最新ソリューションが紹介された。

エムオーテックス

CylancePROTECTを搭載したLanScope Catで
外部脅威・内部不正をエンドポイントで防御

従来のアンチウイルスソフトでは攻撃を防ぎきれないという現実

エムオーテックス
営業推進部 部長
金子 大輔

従来のアンチウイルスソフトでは攻撃を防ぎきれないという現実

エンドポイントの端末は、自由度が高いが故にリスクも高い。エムオーテックスの金子大輔氏は、「サーバーと違って端末は社員個人が管理するため、外部攻撃、内部不正両方のトリガーとなり得る。しかも、近年サーバーへの攻撃は減少しているが、端末や人の振る舞いに基づいた攻撃は伸長している」と警告する。犯罪組織によるサイバー攻撃はますます悪質化。金子氏はダークウェブで配布されている、言語や暗号方式などを設定するだけで簡単にランサムウェアを作成可能なツールを紹介。「スキルが必要なく月5万円払えば誰でも利用可能。1カ月のROIが1425%にも上るため攻撃者にとっておいしいビジネスになっている」と指摘する。

エンドポイントのマルウェア対策として、多くの企業はシグネチャ型のアンチウイルスソフト(AVS)を利用しているが、現在その防御率はかなり低下している。50%程度という調査結果もあり、エンドポイントに到達する前に防御しなければ防ぎきれない。そこで、多層防御がトレンドとなっており、非常に多くの製品やサービスが登場している。しかし、それら全部を揃えるには莫大な費用とそれらを運用するためのリソースが必要なため、会社ごとに優先順位を決めて導入するしかないのが現状だ。

また、大きな課題として挙げられるのが、新たな脅威への対策が不十分という問題だ。シグネチャ型のAVSは、実際の攻撃を受けてその結果シグネチャが作られるため、構造的に新しい脅威には事前に対処することができない。金子氏は、「AVSメーカーのレポートに使われる検知率の数値は、基本的にシグネチャができた後のもの。しかし、お客様が守りたいのは脅威が発生した段階であり、そのためには未知の脅威への対応が必要」と語る。

新種を含めてマルウェアの99%を検知可能

このような課題を解決するソリューションとして、エムオーテックスが勧めるのが、AIを使ったアンチウイルスソリューション「CylancePROTECT(サイランス・プロテクト)」である。

CylancePROTECTの最大の特長は、圧倒的に高い検知率である。全米75都市および日本の3都市で開催したイベントで、その都度新種のマルウェア100個とその亜種合計200個を利用して検知率のテストを実施。比較した他製品の検知率が最大で52%だったなか、プロテクトキャットは99%をマークした。

その理由は、CylancePROTECTがマルウェアを検知する方法にある。CylancePROTECTは、従来のシグネチャベースではなく、AIを使った予測防御を行う。まず、正常なファイルとマルウェアを合わせて10億以上収集し、それを教師データとしてAIに学習させる。その結果、1つのファイルから最大700万の特徴点を抽出し、各ファイルのマルウェアらしさを数値化。そこから導き出した数理モデルをエンドポイント(端末)に導入しマルウェアを検知している。「驚くべきことに、2017年5月に発生したWannaCryは、実は1年以上前のバージョンで検知できていた。従来のシグネチャ型ではありえないことだが、この数理モデルを使うことで、WannaCryかどうかはわからないが、マルウェアであることは判定できる」と金子氏はその優れた検知性能を紹介する。

同社は、もともとCylancePROTECTのユーザーだった。その高い性能と費用対効果を実感し、自社で利用するだけでなく、Cylance社とのOEM契約を日本で初めて締結したのである。金子氏は、「導入前に既知のウイルス、新種のウイルス、さらにそれを難読化したウイルスを用意し比較テストを実施したところ、すべてを100%検知できたのはCylancePROTECTのみだった。亜種が簡単に作れるという現状に対応するには、従来のシグネチャ型では限界があることを実感。限られたリソースやスキルで高い効果を出すには、最適と実感している」と語っている。

OEMだからできる「LanScope Cat」のエンドポイント統合管理

もう1つの特長は、実行前に止められることだ。通常のAVSが未知の脅威に対応する場合、サンドボックスなど仮想環境で実行させてみて、検知し対処する。しかし、それでは検知できないマルウェアもある。金子氏は、「中にはマウスが動いていないなど、仮想上だと検知するマルウェアもある。この場合、その状態では動かずすり抜けることもある。その点、プロテクトキャットは実行前に止めるので安全だ」と語る。

また、軽さも特長で、インストール時にフルスキャンするため多少負荷がかかるが、その後CPUにかかる負荷は平均0.3%と極めて低負荷だ。さらに、シグネチャがないので、日々のアップデートが不要。半年に1回程度数理モデルが更新されるのみだ。そのため、インターネット接続がなくても高検知率を維持できる。「金融機関や自治体など、インターネット接続がない環境で利用される端末に効果的」(金子氏)。

エムオーテックスはCylancePROTECTを、当社の「LanScope Cat」の新機能「プロテクトキャット Powered by Cylance」として提供している。CylancePROTECTは単体でも効果が高いが、「LanScope Cat」の従来の機能「操作ログ管理」と組み合わせることで、マルウェアの流入経路を追跡でき、再発防止に役立てることができる。また、インターネット非接続の環境でも統合環境を構築できるので、安全で効率的な運用が可能になる。

金子氏は最後に「セキュリティは、多層防御しようとすると後工程になるほどスキルも費用もかかる。プロテクトキャットを利用することで、エンドポイントを最大限保護し、インシデント対応の工数や費用を劇的に削減可能」と締めくくった。

お問い合わせ

エムオーテックス株式会社

http://www.motex.co.jp/

▲Page Top