情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

マクニカネットワークス

今こそ企業に必要なのは、
検知・防御にとどまらない最先端の「NGAV」

これまで通りのセキュリティ対策で、日々激化するサイバー攻撃を防げるだろうか。より巧妙になる攻撃に対し、どう手を打てばビジネスを守れるのか。スキルや予算に限りがある中で、的確な防御や対処を効率よく適正なコストで実現するソリューションとは何かを改めて考える。

マクニカネットワークス 第2営業統括部 第3営業部 第3課 大坪 紗耶 氏 マクニカネットワークス 第2営業統括部 第3営業部 第3課 大坪 紗耶 氏

マクニカネットワークス

第2営業統括部
第3営業部
第3課

大坪 紗耶

変化するIT環境や攻撃に対応するため、求められる投資の最適化

 マクニカネットワークスの大坪氏は、まず「IT環境やそれに伴う製品は、5年もあればすべて変わってしまう可能性が考えられるかと思います」と語る。2012年頃からサイバー攻撃が社会問題化し、セキュリティ投資は進んだが、IT環境が変化する中、今まで投資していたところに同じように投資を続けていては変化に対応できなくなっている。そこで今求められているのが、投資の最適化だ。

 最適化の要件は、次の4つ。①働き方改革によるテレワークの増加。そのためゲートウェイを通らない通信が増えている。②国内・海外拠点数の増加。全拠点にゲートウェイ製品を入れなければならないという課題もある。③クラウド利用の普及。「従来社内にあった資産がクラウドへ移行し、守るべきものが社内になくなっているという状況が起きています」(大坪氏)。そして④暗号化通信(HTTPS)が主流に。ゲートウェイ製品では通信の内容をチェックできなくなっている。すなわち、従来多くの企業が境界のゲートウェイに投資してきたが、もはやゲートウェイでの対策だけでは企業のシステムを守れなくなっているのだ。

 攻撃者の変化もある。最近の標的型攻撃はサプライチェーンの弱点を悪用するものが増えており、特定の著名企業が標的になるとは限らない。ビジネスメール詐欺やランサムウエアによる攻撃もすべての企業が標的となっており、「もはやあらゆる企業が、変化に対応したセキュリティに最適化する必要があります」と大坪氏は語る。

従来型のアンチウイルス製品では防げない攻撃が増加

 このような変化に対応するために、これからのセキュリティ戦略は、次の3つが重要になる。「エンドポイントのセキュリティ」、「認証強化」、「クラウドセキュリティ」だ。そのなかでも最も重要なのが、エンドポイントのセキュリティ強化である。大坪氏は、「大部分の企業がアンチウイルス(AV)は導入済みでノウハウがあります。しかし環境が変わる中、現在のエンドポイント・セキュリティをそのまま使い続けることが正しいかを判断する必要があります」と語る。

 エンドポイント・セキュリティでは、多くの企業で従来型のシグネチャーを使ったAVを利用している。しかし、大坪氏はそれでは不十分とし、「最近のトレンドであるパッチ適用前に攻撃されるゼロデイ攻撃や、Windows の正規コマンドなどを使い、そもそもファイルが存在しないファイルレス攻撃は、シグネチャーベースのAV製品では防げません」と警鐘を鳴らす。そして、米国のセキュリティ企業CrowdStrike社の調査によると、ファイルレス攻撃は既に全攻撃の39%にものぼる。しかも、この割合は増加傾向にある。

 それでも6割は防げると思うかもしれないが、そうもいえなくなっている。AVは侵入防御に重きを置いているが、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークによると、侵入後の検知や対処、さらに防御以前の資産管理なども重要とされており、侵入防御だけでは足りない。「侵入された後も、確実に原因を突き止めて対処することが求められます」(大坪氏)

 侵入を防御し事後も確実に対処するには、ファイルや端末の特定に加えて、どこから侵入し、何がきっかけでファイルが動き出したか、コマンドラインの内容やどこまで侵攻しているかなど、従来のAV製品では捕捉できない情報が必要なのだ。

不明虜で特定困難な侵入経路と対処

従来型アンチウイルス製品では、対処に必要な情報が十分に得られない

画像を拡大する

 また、オンプレ型のAV製品の課題として、従業員、管理者双方にかかる負担がある。管理者にとっては、サーバのメンテナンスが課題。さらに、従業員からは「AVソフトが重く業務に支障が出る」「開発環境では誤検知が多く迷惑」「毎週のスキャンをなくしてほしい」といった声も少なくない。これらの課題を解決するために何を導入すべきか。まず候補に挙がるのがEDR(エンドポイントでの検知と対処)だろう。しかし、EDRはコストが高く社内説明が難しいという課題がある。

 そこで、前述の従来型AV製品の課題を解決しつつ、人員不足やコスト、社内説明ができないといった問題も解決できる製品として大坪氏が紹介するのが、CrowdStrike社のNGAV(次世代AV)製品「Falcon Prevent(ファルコンプリベント)」である。

従来型マルウエアも新型攻撃も検知し、プロセスの詳細まで可視化

 Falcon Preventは、シグネチャーを使わず多様な検出方法で攻撃を検知する。機械学習、AIで既知・未知両方のマルウエアを検知し、ふるまい検知がファイルレス攻撃を検知。大坪氏は、「従来のAVでは検知できない攻撃を、リアルタイムで検知・ブロックします」と語る。また、インシデントの状況を可視化。「AVとしても複数の第三者機関から高い評価を得ており、AVとして導入・運用できます」(大坪氏)

 どういうプロセスでなぜ検知に至り、何がきっかけとなったか、利用されたコマンドラインやハッシュ値など多くのプロセスの詳細情報も確認できる。「これを見るだけで、直感的に何が原因でどのような挙動をしたかがわかります」と大坪氏。検知後の対処についても、運用者がコンソールから対象端末を隔離可能。ユーザーに連絡し対処方法を指示し、対処してもらわなければならない従来型AV製品とは一線を画す。さらに遠隔からファイルの削除やプロセスの停止、レジストリの修正など細かな端末の修復も可能。即時に確実な対処が可能になる。

 Falcon Preventはクラウドサービスなので導入が容易でサーバの運用が不要、エージェントも軽量だ。さらに、CrowdStrike社はEDRやIT資産管理、脆弱性管理、脅威ハンティングなど多様なセキュリティ対策サービスを用意しており、同じ1つのエージェントで利用できる。「シングルエージェントで多様なサービスを利用できれば、管理者が負担に感じることなく必要な機能を追加できます。さらに軽量で業務に影響を与えないので、ユーザーが不満に感じることなく強固なセキュリティを実現します」と大坪氏は語る。

クラウド型が実現する軽量な次世代型アンチウィルス製品

導入が容易なクラウドサービスでエージェントも軽量なので、運用負荷を大幅軽減

画像を拡大する

 この機会に、変化するIT環境やサイバー攻撃に対応するため、いま一度自社の防御体制を見直してみてはどうだろう。

お問い合わせ先

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

お問い合わせ先

マクニカネットワークス株式会社

お問い合わせURL

URL ● https://www.macnica.net/crowdstrike/

お問い合わせはこちら

このページのトップに戻る