情報セキュリティマネジメント Summit 2020 Winter
〜ニューノーマル下のサイバー脅威にどう打ち勝つか〜- Review -
ネットワークバリューコンポネンツ/ヴイエムウェア

今こそ注力すべきエンドポイント対策
強化の方向性と最新ソリューションは

在宅勤務によって、多くの業務端末が社内ネットワークの外側で使われるようになった。ビジネスを取り巻く環境とともに、ネットワークの在り方も変化しており、同時にこれまでとは異なるセキュリティリスクが顕在化している。重要性を増しているのがエンドポイント対策だ。急務となる対策見直しの方向性を考える。

攻撃の総件数が増えるとともに、
内容も大きく変化している

ヴイエムウェア株式会社 セキュリティ事業部 シニアセキュリティセールスエンジニア 大久保 智氏
ヴイエムウェア株式会社
セキュリティ事業部
シニアセキュリティセールスエンジニア
大久保 智
 コロナ禍において、社員の働き方は大きく変わった。連動して、サイバー攻撃の動向も変化している。例えば、ヴイエムウェアが2020年6月に行った調査によると、9割を超える回答者が「サイバー攻撃の総件数が増加した」と回答。また攻撃の内容も変化しており、マルウエアを使わないファイルレス攻撃、例えばPowerShellやWindowsの管理ツールなどの正規ツールを悪用した攻撃が増えているという。これらの攻撃は従来型のアンチウイルス製品では検知できないため、対応が困難だ。

 「もう1つ、無視できないのが標的型ランサムウエアです。標的型攻撃を一通り実施した後、ランサムウエアを投下して身代金を要求するもので、昨年後半以降、国内外を問わずこの攻撃の被害が急増しています」とヴイエムウェアの大久保 智氏は警鐘を鳴らす。

 このような新しい状況のもとで、企業にはどんなセキュリティ対策が求められているのか。これを考える上では、まず企業ネットワークがコロナ禍の前後でどのように変化したかに着目する必要があるだろう。

 従来、業務端末は基本的に社内ネットワークの内側で利用され、内と外の境界線上で脅威を防ぐ「境界型対策」によって守られていた。しかし、新型コロナウイルスの感染拡大に伴いテレワークが拡大。多くの業務端末が社内ネットワークの外側で使われるようになった。これらの端末はVPN経由で社内ネットワークにリモートアクセスするのが一般的だが、多くの企業では元来、VPNがこのように使われることを想定していない。そのため、一斉テレワークによって、VPN回線帯域のひっ迫やネットワーク機器の負荷増大といった問題が引き起こされている。

 この問題を回避するために有効なのがインターネットブレイクアウトだ。近年、利用が拡大しているクラウドサービスやWebコンテンツには、社内ネットワークを経由せずに業務端末から直接アクセスする。これにより、回線や機器の負荷分散を図るのである。

株式会社ネットワークバリューコンポネンツ ソリューション企画本部 セキュリティエバンジェリスト 佐藤 佑樹氏
株式会社ネットワークバリューコンポネンツ
ソリューション企画本部
セキュリティエバンジェリスト
佐藤 佑樹

 「しかし、それでも課題は残ります。インターネットブレイクアウトを行う端末は社内ネットワークのセキュリティ対策を通すことなくインターネットに出ていくため、必然的にセキュリティリスクが高まるからです」とネットワークバリューコンポネンツの佐藤 佑樹氏は語る。

 インターネットブレイクアウトを含めた包括的なセキュリティを確保する手段としてはSASE(Secure Access Service Edge:サシー)が提唱されている。ただ、導入には多大なコストと時間を要することが多く、万人向けの解決策とは言い難いのが実情だ。より現実に即した解決策を、並行して考える必要がある。

「インシデント発生」を前提とした
対策が不可欠

 これに関して、金融庁や内閣サイバーセキュリティセンター(NISC)が公開している最新のセキュリティガイドラインでは、「インシデントが発生することを前提とした対策」を強く求めている。

 これまでも企業はネットワーク対策やエンドポイント対策などの防御に尽力し、効果を上げてきたが、いまや攻撃者は無数におり、その手口も巧妙化・悪質化している。攻撃を完全に防ぐことは困難な状況となっているのだ。「大事なのは、脅威に侵入された際、いかに素早く検知し対応できるかです。そのための仕組みの整備は、企業の経営課題といっていいでしょう」と佐藤氏は強調する。

 その方法として、ネットワークバリューコンポネンツが提唱するのが、「次世代アンチウイルス(NGAV)」と「EDR(Endpoint Detection and Response)」という2つのアプローチである(図1)。  まずNGAVは、脅威の防御を中心とした水際対策を担うもの。「従来のシグネチャによるマッチングだけでなく、AIやIoC/IoAマッチングといった高度な技術を活用することでより多くの脅威を防御し、インシデントの数を極小化します」と佐藤氏は説明する。

 それでもすり抜けてくる脅威に対し、早期発見と事後対策を担うのがEDRだ。端末のログを常に収集することで、異常が発生した際にもログを基に事実確認や調査を行うことができる。これにより、脅威の検知、封じ込め、調査、復旧を短時間かつ効率的に実行できるようになるという。

発見した脅威の分析から恒久対策まで、
フル代行が可能

 このNGAV+EDRを実現するソリューションが、ネットワークバリューコンポネンツの取り扱い製品である、ヴイエムウェアの「VMware Carbon Black Cloud」である。これはWindows、macOS、Linuxなどの主要OSに対応したSaaS型のエンドポイントセキュリティ対策製品。NGAV、EDRに加え、アラート管理やITハイジーン(衛生管理)などの機能も提供している。

 直近でもワークロード可視化やワークロード管理、脆弱性評価、デバイス管理といった新機能を追加するなど、継続的にエンハンスを続けている点が特徴だ。ほかにも、アプリケーションコントロールや、ホストファイアウオール管理といった機能の拡充も予定。常に最新の対策が実現できる製品といえるだろう。

 さらに、ネットワークバリューコンポネンツは、VMware Carbon Black Cloudの運用支援を行うMDR(Managed Detection & Response)サービスも提供している(図2)。「検出した脅威や攻撃の分析から、封じ込め、脅威除去、回復、さらには恒久対策の実現に至るまで、お客様のサポートはもちろん、当社がフルで代行することも可能です」(佐藤氏)。  既に多くの企業がVMware Carbon Black CloudとMDRを活用し、成果を上げている。例えば、業務用端末約12万台を新規導入したある電機メーカーは、その導入時点で端末内部に潜んでいる脅威をVMware Carbon Black Cloudで検出。全社展開する前に、適切な対策を施すことができた。また、その後の運用はMDRに任せることで、1日数千件規模で上がってくるアラートにも迅速・的確に対応できているという。「『非常に大きな安心感を得ている』という評価をいただいています」と佐藤氏は紹介する。

 在宅勤務をはじめ、ニューノーマル時代のワークスタイルに対応するには、前述したSASEの概念に基づくゼロトラストネットワーク環境を構築することももちろん重要だ。これは中・長期的なミッションとして、腰を据えて取り組む必要があるだろう。

 「並行して、急ぐべきはエンドポイント対策の見直し・強化です。まずは端末を安心して利用できる環境を維持することが、最優先事項といえるでしょう」と佐藤氏。エンドポイント対策を強化することは、強固な土台を形作ることにほかならない。ひいては、それがゼロトラストネットワークへのスムーズな発展を可能にするのである。
講演資料ダウンロードはこちら
講演資料ダウンロードは
こちら
情報セキュリティマネジメントSummit 2020 Winter - Review -
TOPへ
講演資料ダウンロードはこちら
講演資料ダウンロードはこちら
お問い合わせ
株式会社ネットワークバリューコンポネンツ ソリューション企画本部 VMware Carbon Black製品担当
E-mail:sales@nvc.co.jp
URL:https://products.nvc.co.jp/carbonblack