情報セキュリティ戦略セミナー 2021
〜 ニューノーマル時代のサイバーセキュリティ対策 Review 〜
サイバーリーズン・ジャパン

最後まで守り切ることが我々の責務


NGAV、EDRからIRまで網羅的に提供

最後まで守り切ることが我々の責務


NGAV、EDRからIRまで網羅的に提供

最後まで守り切ることが我々の責務


NGAV、EDRからIRまで網羅的に提供

世界中の企業が環境、マーケット、テクノロジーの大きな変化に直面している。サイバーリスクも大きく変わる中、将来にわたり事業活動を継続していくには、攻撃者側の変化に即した新しい形のセキュリティ対策を実施することが不可欠になっている。そこでポイントになるのが、「既に侵入を許してしまった脅威にどう対処するか」ということだ。この領域のソリューションをグローバルに展開するサイバーリーズンの提案とは。

ランサムウエアが
現実のビジネスや暮らしにも影響を及ぼす

サイバーリーズン・ジャパン 株式会社 セールスエンジニアリング部 部長 有賀 正和氏
サイバーリーズン・ジャパン 株式会社
セールスエンジニアリング部
部長
有賀 正和
 サイバー攻撃の中でも、世界中で大きな被害をもたらしているのがランサムウエアだ。サーバーやPCの中のデータを暗号化して閲覧不可能にし、復号することとの交換条件で“身代金”を要求する。最近はサイバー空間上のみならず、実際のビジネスや人々の暮らしに影響を及ぼすケースも増えている。2021年春に起きた米国の石油パイプライン企業、コロニアル・パイプライン社への攻撃は、その一例といえるだろう。

 「パイプラインが止まった結果、顧客である航空会社が燃料を入手できず、飛行機の運航計画を変更せざるを得なくなりました。また、ガソリンスタンドにも石油が入らず、一般市民の生活にも大きな影響が出ました」とサイバーリーズン・ジャパンの有賀 正和氏は説明する。

 さらに、データを暗号化するだけでなく、盗み出した上で「公開する」と脅しをかける二重脅迫も目立つようになっている。このように攻撃が拡大している背景には、RaaS(Ransomware as a Service)の登場がある。ランサムウエア攻撃に必要なツールをパッケージしたサービスが、ダークウェブ上で安価に提供されている。これにより、専門知識がない人も、誰でも簡単にランサムウエア攻撃を仕掛けられるようになっているのだ。

 「被害は日本企業にも及んでいます。ある企業では、DMZ内のサーバーがランサムウエア攻撃を受け、100台以上のサーバーのデータが暗号化されてしまいました。実はこの企業は、当社の製品をまさに検証中だったのですが、残念ながら検証領域とは別のサーバーが侵害されてしまったのです。脅威が横展開されていく過程で検証領域にも攻撃が及び、そこで検出することができました」と有賀氏は言う。

 結果、脅威の侵入経路や被害の度合いを調査し、復旧するまでに約1カ月。費用は数千万円もかける必要性が生じたという。このように実害が拡大する前に攻撃の糸口を見つけ、被害を最小化することが企業に求められている。

防ぎ切れない脅威に備える、3つのポイントとは

 そのために必要なアプローチとして、サイバーリーズンは次の3つを提唱している。

 1つ目は「攻撃者の視点でセキュリティ対策を再考する」ことである。企業が“ここまで対策したから大丈夫”と考えていても、それが攻撃者の狙うポイントとずれていれば侵害は防げない。

 例えば、従来のセキュリティ対策は侵入させないことに主眼を置いた境界防御が主流だった。ところが最近の攻撃は、いともたやすく境界を突破し、足場の確立から横展開、内部偵察などを次々実行してくる。そこまでの攻撃はツールなどで自動化されていることが多く、攻撃者が力を入れているのは、その後の情報窃取~破壊・身代金要求といったプロセスだ。「これらのプロセスへの対策に十分な投資を行っている企業は多くありません。つまり、最もダメージが大きい部分への対策が手薄になっているのです。このような攻撃者の意識との乖離が、リスクを拡大させています」と有賀氏は強調する。

 2つ目は「サプライチェーン一体となってセキュリティレベルを上げる」こと。最近の攻撃は、対策が手薄な子会社や海外の現地法人を経由して“本丸”を狙ってくる。系列企業やサプライチェーンのビジネスパートナーを含め、エンドポイントを確実に守る対策が求められている。

 そして最後の3つ目が「セキュリティの専門家をフル活用し、自動化を図る」ことだ。先に紹介した通り、現在は攻撃自体が自動化されている。そのため守る側も自動化しない限り、スピードについていくことが困難なのだ。同時に、セキュリティ専門家の知見とリソースを活用することで、高度な守りを実現できる。

 サイバーリーズンは、これらを満たすソリューション群を網羅的に提供している。

 まず、侵入後の対処を強化するソリューションが「Cybereason Complete Endpoint Protection」だ(図1)。これは強力な機能を持つEDR製品に、エンドポイント対策を担うNGAV(次世代アンチウイルス)機能をアドインしたもの。水際対策とEDRを組み合わせることで、効率よく攻撃を防御し、真の脅威への対応に注力できるようにする。  「当社のNGAVは、既知の攻撃、未知の攻撃、ファイルレス攻撃、ランサムウエア、文書スクリプトを悪用した攻撃、脆弱性を悪用した攻撃など検知・除去できる6つの“盾”を備えています。まずはこの6層のNGAVで、侵入してくる脅威を極限まで減らす。その上で、それでも侵入してきた脅威を内部で検知し、リアルタイムで通知し対処を進めます」と有賀氏。検知した脅威への対応は、プロセス停止や端末隔離、復旧までの全プロセスをフルリモートで行えるという。

 2つ目のポイントであるサプライチェーン全体でセキュリティレベルを上げる際に有効なのが「Cybereason MDRサービス」だ。サイバーリーズンのNGAV/EDRを利用する顧客の環境に対し、高度なスキルを持つセキュリティの専門家が24時間365日体制で監視サービスを提供する。EDRで課題になりがちな運用工数を削減し、日常業務に専念することができる。

 「当社は自社運営のGlobal SOC、MDRセンターを持っています。国外に複数の事業拠点を展開するお客様でも、それぞれの拠点の担当者と英語もしくは日本語でやりとりしながら、全社のガバナンスを効かせたセキュリティ運用を具現化します」(有賀氏)

どれだけ高度な対策を施しても、侵害をゼロにはできない

 現状、同社のEDRを導入しているデバイスがセキュリティ侵害にあうケースは非常に少ないという。だが、どんな製品や体制をもってしても侵害をゼロにはできないと考えておくことが、セキュリティ対策においては肝要だ。

 「インシデントレスポンス(IR)では、有事の際の対応フローを設定し、調査を行うベンダーも事前に決めておくことが大切です。その点、Cybereason MDRサービスにはIRの基本契約が標準でバンドルされています。これは製品機能に自信がないからではありません。最後までお客様に侵害がないように務め、何かあってもすぐ解決できる体制を整えておくことが、我々の務めだと考えているのです」(有賀氏)

 この方針のもと、サイバーリーズンは継続的なサービス強化に取り組んでいる。一例が、AIによる監視・検知、自動対処などのサービスを提供する「Managed eXtended DR」サービスだ。これにより、エンドポイント、サーバー、クラウド、コンテナなど、あらゆる環境のリスクを包括的に検知し対処できるようにしていくという(図2)。  さらに、2021年10月12日、サイバーリーズンとGoogle Cloudは、エンドポイント、ネットワーク、クラウド、ワークスペースにわたるXDR(Extended Detection and Response)ソリューションを迅速に構築し、迅速に市場に投入するために共同で取り組んでいくと発表した。

 高度化する脅威から企業・組織を継続的に守っていくには、実践力を持つ専門家集団のサポートが不可欠だ。サイバーリーズンは、その最適解を提供してくれるパートナーといえるだろう。
情報セキュリティ戦略セミナー 2021 ニューノーマル時代の
サイバーセキュリティ対策
Review
TOPへ
お問い合わせ
サイバーリーズン・ジャパン株式会社 URL:https://www.cybereason.co.jp/contact/