情報セキュリティ戦略セミナー 2021
〜 ニューノーマル時代のサイバーセキュリティ対策 Review 〜
ディープインスティンクト

防御力を強化し、運用/コストを低減


実現のキーワードは“予防ファースト”

防御力を強化し、運用/コストを低減


実現のキーワードは“予防ファースト”

防御力を強化し、運用/コストを低減


実現のキーワードは“予防ファースト”

サイバー攻撃はその手口も使われる技術も、一昔前とは比べものにならないほど高度化している。それに伴い大きな課題となっているのが、企業側のセキュリティ運用とコストの増大だ。打開策として注目されているのが、可能な限り初期段階で感染を防ぐことに回帰する「シフトレフト」という考え方である。ディープインスティンクトは独自開発したディープラーニングによる自律型セキュリティで、シフトレフトを実現。ディープラーニングによる高度な学習の結果、未知の脅威も高い精度で予測・ブロックできるという。

AIや機械学習を“混乱”させる巧妙な攻撃も

米国ディープインスティンクト バイスプレジデント APJ事業開発担当 乙部 幸一朗氏
米国ディープインスティンクト
バイスプレジデント
APJ事業開発担当
乙部 幸一朗
 昨今のサイバー攻撃は組織に大打撃を与え、ビジネスや企業イメージを衰弱させる。最新の脅威動向を多くの企業に知ってもらうため、セキュリティベンダーのディープインスティンクトは定期的に脅威情勢レポートを発行している。同社の脅威リサーチチームが世界中の脅威情報を収集・分析したものだ。

 2021年上半期の脅威情勢レポートによれば、ランサムウエア攻撃は顕著に拡大している。2019年の同時期と比較して800%、2021年前半だけで244%も増加したという。

 手口も悪質化している。暗号化したシステムやデータの復号化と引き換えに身代金を要求するだけでなく、拒むと企業のデータを公開する“多重恐喝”で標的企業を屈服させる。国家レベルの活動と思われる大規模な攻撃も多い。

 分業による収益分配モデルが確立していることも厄介だ。マルウエアの作成者と攻撃者は必ずしも一致しない。作成したマルウエアはダークサイトで販売され、それを使った攻撃者が攻撃を仕掛ける。成功したら儲けを分配するというわけだ。

 そしてコロナ禍によるリモートワークの拡大が対策をより難しいものにしている。狙われる対象が広がり、分散したからだ。「これが攻撃者に新しいチャンスを生んでいます」とディープインスティンクトの乙部 幸一朗氏は指摘する。

 技術的な進化も著しい。以前の攻撃は組織に侵入後、長い場合は数年かけて内部を丹念に調べ上げ、本格攻撃を仕掛けたが、今は滞留時間が短い。侵入してから短期間でインパクトの大きい攻撃を仕掛ける。攻撃の“手際”が良くなっているのだ。

 最近のばらまき型の主な攻撃手法にはJavaScriptやMicrosoft Office製品のマクロ機能、PowerShellなどを活用したドロッパーが使われ、さらにメモリ上に直接ペイロードをロードするインメモリローダーなどが増えている。最初にドロッパーを送付し、ファイルを開くとマルウエア本体が送り込まれるという構図は変わらない。

 マルウエア本体のファイルが見える場合であれば、AIや機械学習ベースで予測して検知できるセキュリティ製品もあるが、これに対抗する敵対的攻撃も増えている。2020年7月に収集されたEmotetの新しい検体約3万8000を同社の脅威リサーチチームが分析したところ、AIや機械学習モデルによる検知を回避する試みが確認されているという。

 具体的には、攻撃用コードに、正規プログラムの良性コードを付け加えておくという手法だ。「これらのコードは実際攻撃には使用されないが、ファイルに良性コードの特徴を加えることでAIや機械学習を“混乱”させるのです」と乙部氏は説明する。また前述のインメモリローダーのように、メモリ上に直接攻撃コードを読み込んで実行してくるケースだと、そもそもマルウエア本体のファイルが見えないため、セキュリティ製品にとって防御することが非常に難しくなるという。

セキュリティの「アンバランス」が大きな課題

 こうした脅威の進化に伴い、セキュリティの現場は大きな課題に直面している。その最たるものが、セキュリティ運用の負荷の増大である。

 先述したように、最近は手口が高度化し、パターンマッチングによる従来型のアンチウイルスだけでなく、次世代型と呼ばれるAIや機械学習を搭載したエンドポイントセキュリティ(EPP)であってもすり抜ける脅威が増えている。そのため侵入されることを前提として、侵入を早期に検知し封じ込める対策であるEDR(Endpoint Detection and Response)を導入する企業も増えている。しかし、EDRは導入して終わりではなく、セキュリティ知識を持った人間による運用があって初めて効果を発揮する製品であり、早期の検知と封じ込めのためには、継続的な監視が欠かせない。そしてその作業は“諸刃の剣”だ。「例えば、監視レベルを強化すれば、幅広くイベントを収集できますが、誤検知・過検知が増え、いわゆる“アラートストーム”の状況に陥ってしまいます」と乙部氏は指摘する。

 その選別・対応だけでも大変な負担だが、EDRは検知のみを前提としているため、もしインシデントが発生したら、直ちに原因や影響範囲を調査しなければならない。感染端末やネットワークの隔離、駆除、復旧などの対処も迅速に行う必要がある。この作業にもセキュリティの専門スキルと多くの人手を要する。そのためEDRを導入することで現場のセキュリティ運用の負荷がますます増大しているのだという。

 これを自社リソースで行うのが難しい企業はマネージドサービスのMDR(Managed Detection and Response)を活用するケースも多い。すると今度は製品だけでなく運用に伴うコスト負担が増大する。多くの人とコストを費やしながらも、実際のインシデントや被害の数は減っていない、果たしてそれに見合う効果が上がっているのか。「投資対効果を考えると、サイバーセキュリティは『アンバランス』に陥っています」と乙部氏は説明する。

独自開発の深層学習で未知の脅威をもブロック

 こうしたアンバランスを解消するためには、可能な限り初期段階で感染を防ぐ「シフトレフト」の考え方が重要だ。EPPの静的解析や動的解析により、脅威の侵入をできるだけ自動で防ぐことにより重点を置き、そこで防ぎきれなかったものに対してEDRで効果的に検知・対処する。“アラートストーム”に振り回されるセキュリティ運用を軽減し、コストも最適化できる。実際、シフトレフトを実現する手段として、EPPとEDR、そしてMTD(モバイル脅威防御)を統合したUES(Unified Endpoint Security)という考え方が今、注目され始めている。

 シフトレフトを実現する有望なUES製品として今注目されているのが、米Deep Instinctが提供するエンドポイントセキュリティ製品「Deep Instinct」である。

 最大の特徴は、自律型セキュリティによる“予防ファースト”な対策を実現できることだ。AI技術の1つであるディープラーニング(深層学習)を活用した独自のニューラルネットワークが攻撃手法のデータを自律的に学習し、高精度な予測モデルを作成する(図1)。  その検知率の高さは実際の脅威への対応で実証されている。セキュリティ製品の多くが検知できなかったEmotetの新種が登場した際も、既にリリースしていたモデルで検知できていたというから驚きだ。AIを搭載しているとうたうセキュリティ製品は市場にも存在するが、すべて機械学習をベースとしており、またオープンソースベースのフレームワークを採用しているものが多い。その点、Deep Instinctのディープラーニングはサイバーセキュリティに特化し独自に開発したフレームワークを使っているという。

 「攻撃手法や特徴を細かいレベルまで分析し、いくつもの予測モデルを作成し、学習によってそれをさらにブラッシュアップしていく。機械学習に比べて、ディープラーニングの優れている点は拡張性と精度です。マルウエアの本体ファイルである実行ファイルに加えて、ドロッパーとして使われるオフィスドキュメントやPDFにもモデル対応しており、さらにAndroidやChrome OSなどのモバイルOSやアプリファイルのスキャンにも対応しています。また、ディープラーニングによって作られるモデルは精度が高く、誤検知・過検知を減らしながら、未知の脅威でもほぼ100%で検知できるのです」と乙部氏は説明する。検知後は隔離や封じ込めなど適切な対処を実行し、被害の拡散を防ぐ(図2)。  パターンマッチングとは異なるため、頻繁なアップデートや日々のフルスキャンも必要ない。アップデートは年2回程度で済む。シグネチャの更新作業やその適用状況チェックなどの煩雑な作業も不要になるわけだ。

 Windows、macOS、Linux、iOS、Android、Chrome OSなど幅広いOSをサポートし、動作も軽快だ。デバイスにエージェントをインストールして利用するが、エージェントのサイズは約150MB。フルスキャン不要なのでCPU使用率も1%程度だという。「モデルはデバイス上に搭載しているので、オフライン環境でも軽快に動作し、端末を保護します」と乙部氏は続ける。社外やオフラインで利用している端末も均一なセキュリティポリシーで管理できるのも大きな強みである。

 これからはエンドポイントだけでなく、社内/社外のネットワークまでカバーするセキュリティ対策が不可欠である。それに伴うセキュリティ運用とコストのアンバランスを解消するには、シフトレフトによる“予防ファースト”な対策がさらに重要となるはずだ。
情報セキュリティ戦略セミナー 2021 ニューノーマル時代の
サイバーセキュリティ対策
Review
TOPへ
お問い合わせ
ディープインスティンクト株式会社 URL:https://www.deepinstinct.com/ja/request-a-demo/