そのために必要なアプローチとして、サイバーリーズンは次の3つを提唱している。
1つ目は「攻撃者の視点でセキュリティ対策を再考する」ことである。企業が“ここまで対策したから大丈夫”と考えていても、それが攻撃者の狙うポイントとずれていれば侵害は防げない。
例えば、従来のセキュリティ対策は侵入させないことに主眼を置いた境界防御が主流だった。ところが最近の攻撃は、いともたやすく境界を突破し、足場の確立から横展開、内部偵察などを次々実行してくる。そこまでの攻撃はツールなどで自動化されていることが多く、攻撃者が力を入れているのは、その後の情報窃取~破壊・身代金要求といったプロセスだ。「これらのプロセスへの対策に十分な投資を行っている企業は多くありません。つまり、最もダメージが大きい部分への対策が手薄になっているのです。このような攻撃者の意識との乖離が、リスクを拡大させています」と有賀氏は強調する。
2つ目は「サプライチェーン一体となってセキュリティレベルを上げる」こと。最近の攻撃は、対策が手薄な子会社や海外の現地法人を経由して“本丸”を狙ってくる。系列企業やサプライチェーンのビジネスパートナーを含め、エンドポイントを確実に守る対策が求められている。
そして最後の3つ目が「セキュリティの専門家をフル活用し、自動化を図る」ことだ。先に紹介した通り、現在は攻撃自体が自動化されている。そのため守る側も自動化しない限り、スピードについていくことが困難なのだ。同時に、セキュリティ専門家の知見とリソースを活用することで、高度な守りを実現できる。
サイバーリーズンは、これらを満たすソリューション群を網羅的に提供している。
まず、侵入後の対処を強化するソリューションが「Cybereason Complete Endpoint Protection」だ(図1)。これは強力な機能を持つEDR製品に、エンドポイント対策を担うNGAV(次世代アンチウイルス)機能をアドインしたもの。水際対策とEDRを組み合わせることで、効率よく攻撃を防御し、真の脅威への対応に注力できるようにする。
「当社のNGAVは、既知の攻撃、未知の攻撃、ファイルレス攻撃、ランサムウエア、文書スクリプトを悪用した攻撃、脆弱性を悪用した攻撃など検知・除去できる6つの“盾”を備えています。まずはこの6層のNGAVで、侵入してくる脅威を極限まで減らす。その上で、それでも侵入してきた脅威を内部で検知し、リアルタイムで通知し対処を進めます」と有賀氏。検知した脅威への対応は、プロセス停止や端末隔離、復旧までの全プロセスをフルリモートで行えるという。
2つ目のポイントであるサプライチェーン全体でセキュリティレベルを上げる際に有効なのが「Cybereason MDRサービス」だ。サイバーリーズンのNGAV/EDRを利用する顧客の環境に対し、高度なスキルを持つセキュリティの専門家が24時間365日体制で監視サービスを提供する。EDRで課題になりがちな運用工数を削減し、日常業務に専念することができる。
「当社は自社運営のGlobal SOC、MDRセンターを持っています。国外に複数の事業拠点を展開するお客様でも、それぞれの拠点の担当者と英語もしくは日本語でやりとりしながら、全社のガバナンスを効かせたセキュリティ運用を具現化します」(有賀氏)