防御をすり抜ける攻撃にも確実に対処
安全な業務環境をワンストップで実現

　テレワークの増加に伴って、サイバー攻撃の目標はさらに拡大。企業にも早急な対応が求められている。「標的型攻撃に対処する上では、まず攻撃ストーリーの全容を把握することが重要です。例えば、近年猛威を振るっているマルウエア『Emotet』は、マクロ入り文書のメール送付をはじめ、いくつものステップを踏んで攻撃を実行します。入口対策だけでは、このような脅威を防ぎきれないため、侵入された後のプロセスに対しても適切な対策を講じることが必要です」と指摘するのはサイバーリーズン・ジャパンの菊川 悠一氏だ。

　とはいえ、適切な対策を講じたくとも、企業のセキュリティ体制の整備は容易ではない。日本では約20万人のセキュリティ人材が不足しているといわれており、専任のセキュリティ担当者を置いている企業も極めて少ない。「こうした中で巧妙化する脅威に対応するには、外部の専門家の知見を借りるのも1つの手です」と菊川氏は続ける。

　サイバーリーズンでも、前述のようなポイントを踏まえたソリューションを提供している。中でも注目されるのが、軍事技術から生まれたAIによる高度なエンドポイント・セキュリティ技術だ。「当社の創業者をはじめとする多くの開発者がイスラエル軍のサイバー部隊出身です。当社のセキュリティ製品には、その知見と実践経験に基づく攻撃分析のノウハウが存分に生かされています」と菊川氏は話す。

　例えば、Emotetによる被害を防ぐには、添付ファイル付きメールの受信、マクロによるPowerShellの起動、Emotetのダウンロード／実行、マルウエア通信の確立、内部への展開、偵察と、いくつものプロセスで脅威の活動を防ぐ必要がある。

　そこで同社の、次世代アンチウイルス製品「Cybereason NGAV」は、「既知の攻撃」「未知の攻撃」「ファイルレス攻撃」「ランサムウエア」「脆弱性を悪用した攻撃」「スクリプトを悪用した攻撃」のそれぞれに対応する6つの専用防御層を装備している。 　「既存のNGAV製品には、シグネチャで既知の攻撃、AIで未知の攻撃を止めるというものが少なくありません。しかし、Cybereason NGAVはさらに4つの防御層を備えているので、PowerShellなどの正規ツールを用いた攻撃やランサムウエアによるファイル暗号化、悪意あるマクロを含んだ文書などもブロックできます」と菊川氏。これによりEmotetによる攻撃を阻止することが可能になる。

　さらに、Cybereason NGAVは、導入や運用が容易な、USBデバイスの制御やディスク暗号化端末の可視化が行えるなど、これからのエンドポイント防御に不可欠な特長もすべて網羅している。

　しかし、これだけの機能をすべて駆使しても、防御をすり抜けて社内に侵入するマルウエアを完全にゼロにすることは難しい。そこで、次の備えとして用意しておきたいのが、侵入後の脅威を検知し、素早い対応を可能にするEDR（Endpoint Detection & Response）製品だ。

　「EDRには『複数端末にわたる相関解析』『振る舞い分析』『リアルタイム検知』『攻撃の全体像の可視化』の4つの機能が必須ですが、当社の『Cybereason EDR』は、これらの要素をすべて備えています」と菊川氏は話す。

　個々の攻撃を分析するのではなく、PC／サーバーなど組織全体を横断した相関解析を実施。さらにAIを活用して、既存のソリューションでは検知できないファイルレス攻撃やラテラルムーブメントなどの最先端攻撃も分析する。「インシデント対応ではスピードも重要になるため、常時毎秒800万クエリーの高速ビッグデータ解析も実施。さらに、いつ・どこで、何が起きたのかを自動解析・可視化することで、影響範囲を素早く把握し的確な対処が行えるようになります」と菊川氏は説明する。

　テレワーク環境においては、セキュリティ担当者自身も自宅などで仕事をしているケースも多いはずだ。その点、Cybereason EDRを利用すれば、遠隔地からでもマルウエアに侵入された端末の封じ込めや根絶・復旧をまとめて行うことが可能だ。

　また、こうした高機能な製品群に加えて、同社では脅威検知と対応のマネージドサービス「Cybereason MDR」も提供している。これは同社の専門アナリストが、ユーザー企業に代わってエンドポイントの監視や脅威の解析、危険度の判定などを行うもの。「緊急性が高い場合には、即座にご連絡を行うとともに翌営業日までにレポートを提出します。推奨対策などもご提示いたしますので、必要なアクションを迅速に起こせます」と菊川氏。このほかに月次レポートなども提供されるため、自社で何が起きているのかを正確に把握することができる。セキュリティ人材の確保に悩んでいる企業にとって、有効なサービスだといえるだろう。

　同社のソリューションは、既に国内外の多くの企業で導入・活用されている。感染防御や侵入対策、脅威監視対処、マネージドサービスなどをワンストップで提供できることが、顧客から選ばれる大きな理由だ。

　「技術面でも、当社ソリューションには様々な優位性が備わっています。例えばNGAVもEDRも単一のエージェントでカバーできます。また、当社のダッシュボード画面は、感染の規模や経過時間をバブル型式で分かりやすく表示しますので、今何が起きているかを直感的に把握できます。これにより、攻撃の全体像をリアルタイムに可視化できます。さらに、複数台の端末が攻撃された場合も、遠隔地から一度に対処できます」と菊川氏は話す。

　加えて、運用管理面についても評価が高い。エージェントをカーネルモードで動作させるEDR製品も多いが、Cybereason EDRのエージェントはユーザーモードで動作する。このため、万一トラブルがあったとしても、OSやアプリケーションにまで影響が及ぶことはない。

　製品の画面や自動生成レポートが、日本語に対応している点も重要なポイントである。矢継ぎ早の対応が求められるような場面で、いちいち英語の翻訳に手間取っていたのでは対処が間に合わなくなるおそれもあるからだ。さらに同社では、日本法人による充実したサポート体制も用意。導入／運用支援やトレーニングプログラムなども提供されているため、製品を効果的に活用することが可能だ。

　「実際にあるお客様では、当社のソリューションを導入したことで、インシデント対応時間を従来の半分に削減できました。セキュリティチームの作業負荷軽減はもちろん、ビジネスへの影響を最小限に抑える上でも大きな効果を発揮しています」と菊川氏は話す。同社のソリューションは、国内エンドポイント・セキュリティ分野で何度もシェアNo.1（※）に輝いており、EPP・EDR・MDRの三冠も達成している。こうした実績も、その技術の確かさを裏付けるものといえるだろう。