見直しが進む自治体情報セキュリティ

EDR導入の「理想」「現実」
コストとバランスを取った
強靱化のカギとは?

巧妙化・高度化するサイバー攻撃から住民情報やシステムを守り、同時に職員の生産性、住民の利便性を高める
――
。そのための指針として、総務省は2020年末に「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定案を公表した。ここで重要度を増すEDRの導入に向けて、知っておきたいのが“予防ファースト”という考え方である。その概要と具体的な対策手法を紹介する。

「水際で防ぐ」既存の対策手法だけで
住民情報は守れない

 自治体内部のネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3つに分割し、セキュリティを確保する「三層の対策」。この方式が、長く自治体におけるセキュリティ対策の指針とされてきた。

 ただ、コロナ禍以降のニューノーマルな働き方が普及する中では、いくつかの課題も見えている。「テレワーク下でのWeb会議利用に制限が出る」といったことがその例だ。また「マイナンバー利用事務系やLGWAN接続系は特定の端末しか使えない」といった声も聞こえる。さらに、国が主導する「行政システムのクラウド移行」や「行政手続きのデジタル化」に対応する上でも、層が分かれていることが障壁になりがちだ。

 そこで総務省は、この状況を解消するため、2020年末に「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定案を公表。三層の対策の枠組みは維持しつつ、一部システムをインターネット接続系に移管するなど、業務端末の多様化やクラウドの普及に即した新たな指針を示した。

 この流れのもとでは、便利さが増す半面、セキュリティリスクは高まる。そこで推奨されているのが、事後対策(EDR:Endpoint Detection and Response)の強化である(図1)。  EDRとは、エンドポイントを常時監視することで、リスクの早期発見と対応、被害からの早期復旧などを図る手法だ。たとえ脅威の侵入を許しても、その被害の拡大を最小限に抑えることで、自治体業務を維持・継続できるようになる。

 このEDRが求められる背景には、昨今のサイバー攻撃の激化も大きく影響している。例えば、ある調査によると、グローバルでのマルウエアの数は2019年と2020年の比較で3.5倍以上に増加。猛威を振るった「Emotet」に限れば、実に4000%も増えていたという※。また米国では、地方都市へのサイバー攻撃が過去2年間で200回近く発生※しており、中には業務停止や情報漏えい被害に発展したケースも少なくない。国内でも、自治体の業務委託先がランサムウエアに感染したことで、情報漏えいが発生した事例があるという。

 手口も巧妙化している。過去にメールを送受信した相手になりすまし、添付ファイルでウイルスを送りつけるといった手口が次々登場。この状況においては、もはや「水際で防ぐ」、既存のセキュリティ対策だけで防ぎきることは難しい。「脅威は既に組織内に侵入している」という前提に立ち、被害を最小化する視点が不可欠であり、その有効な方法がEDRというわけだ。

EDR導入を阻む運用リソース、
コストの課題

 EDRの導入を検討している自治体は多いだろう。ところが、ここでネックになるのが運用時のリソースとコストの問題である。

 PCやネットワークの常時監視、発生したアラートへの対応、被害発生時の原因究明など、事後対応に速やかなアクションが求められる一般的なEDRでは、製品導入後も十分な人的・時間的リソースを投入し続ける必要がある。そのためSOC(Security Operation Center)を立ち上げ、運用することが望ましいが、必要な人材を自前で確保できる自治体は多くない。つまりEDRの導入においては、SOCの運用をITパートナーにアウトソースしたり、マネージド型の運用サービスである「MDR(Managed Detection & Response)」を活用したりすることがセットになるのが一般的である。

 しかし、EDRはただでさえ従来型のセキュリティ対策製品に比べ高額なものが多い。加えて相応の運用コストも必要となると、一気に自治体の導入ハードルが上がってしまうのだ。

EDR導入で重要なのは、
“予防ファースト”の考え方

 これからの時代には不可欠、だが運用にかかるリソースやコストが障壁となって手が出せない――。こうしたEDRにまつわる課題を解決するにはどうすればよいのか。そこで今、注目を集めているのが、「Deep Instinct」である。

 Deep Instinctは、事前防御(EPP:Endpoint Protection Platform)とEDRの機能を兼ね備えた高性能なエンドポイントソリューション。最大の特長が、コストと運用リソースを抑えた“予防ファースト”な対策を実現できる点にある。AI技術の1つであるディープラーニング(深層学習)を使用することで、既知はもちろん、未知のマルウエアについても高精度に検知し、ブロックする。これにより、そもそも組織内に侵入してくる脅威を極限まで減らし、EDR運用の負荷を軽減するのだ。

 実はEDRの活用においては、この“予防ファースト”の考え方がとても重要になる。なぜなら、脅威の侵入をやすやすと許してしまう環境では、EDR製品のアラートが多発し、SOCの運用負荷が肥大してしまうからだ。EPPを強化することが、EDRに必要なリソースやコストを少なく抑え、EDRの真価を引き出すためのポイントといえるのである。

ディープラーニングによって
未知の脅威も高精度に検出

 “予防ファースト”を支えるDeep Instinctの技術についても紹介しよう。まず高精度なEPPを実現するのが、「D-Brain」と呼ばれる予測モデルだ(図2)。  これは、Deep Instinct社が収集・蓄積してきた世界中の攻撃情報や、自作の亜種情報、第三者機関が有する最新の脅威情報、ダークネットで入手した情報など、数十億以上のデータを基に作成された予測モデル。ディープラーニングによる自律的な学習に基づき、未知のマルウエアであっても高精度な検知を可能にしている。

 例えば、2020年に世の中を騒がせたマルウエアの1つであるEmotetの新種についても、世の中で存在が確認されるよりも20カ月以上前の予測モデルで、検出していた。また、2020年に確認されたそのほかの主なマルウエアファミリーに対しても、ほかのセキュリティ製品が検知できていないなか、漏れなくすべて初見で検知・ブロックしていたというから驚きだ。

 スキャンできるファイル形式も多く、PEファイル(実行ファイル)だけでなく、ドロッパーとして使われるPDFやOfficeファイルを悪用した攻撃、さらにPowershellなどを活用したファイルレス攻撃のような最新の脅威も検出・予防が可能だ。OSはWindowsやMacOS、Android、Chrome OSに加え、Linuxにも対応しているという。

 また、万一これらの守りをすり抜ける脅威が登場しても、EDRの機能によって多層的に対処できる。脅威を検知し自動でブロックしたら、そのまま予測判定に基づく分類説明までをエンドポイント上で実施。管理者は、それを基にクラウド上の管理コンソールで調査・原因分析などを行える。アラートが多発しないので、運用負荷が高まりすぎることはない。SOCなどの専門組織を新たに編成せずとも、既存のITパートナーと自治体組織の内部でEDRの運用を回すことも不可能ではなくなるはずだ。このようにDeep Instinctは、いわばEPPとEDRの“いいとこ取り”をしたソリューションといえる(図3)。  気になるコストも抑えられる。Deep Instinct社の試算によれば、導入コストは一般的なEDR製品の半分以下に抑えられるという。さらには従来のアンチウイルスの部分も置き換えることができ、運用をシンプル化することができるため、工数も含めたトータルのコストメリットはさらに大きなものとなるだろう。様々な特長を備えるDeep Instinctは、既に自治体での導入実績もあるという。

 総務省の指針が示す通り、新たな情報セキュリティ環境を実現することは、現在の自治体にとって喫緊の課題である。一方、あるべき対策環境の「理想」と、人的リソースやコストといった現場の「現実」をつなぐには、もうひと工夫が必要だ。現実に寄り添う機能を備えたDeep Instinctは、自治体の今後の情報セキュリティ戦略における、1つの重要な選択肢になるはずだ。
※ Deep Instinct調べ
お問い合わせ
ディープインスティンクト株式会社 URL:https://www.deepinstinct.com/ja/