日経クロステック

EDRだけでは防御しきれない脅威を“止める”動きを止めて、駆除するという新発想
未知の攻撃にも即応するセキュリティ対策

セキュリティ知識や人材の不足、
予算確保に悩む企業の打開策とは

また、EDRによる運用監視では、アラートに基づいて「迅速な初動対応」を行うのが大前提となるが、現実にはそれが非常に困難であることも大きな問題だ。

「脅威への対処は、『1-10-60の原則』(1分で検知、10分で解析、60分で対処)に基づいて行うのが理想ですが、実際にアラートが発出されてから60分以内で脅威を処理できるような体制を整えるのは容易ではありません。脅威が侵入してから攻撃を完了するまでの平均時間は1時間58分程度と言われており、どんなにEDRの検出が速やかでも、人による対応が遅れれば、あっけなく被害を受けてしまいます」(大友氏)

こうしたEDRの抱える課題を解決するため、ディーアールエスは、革新的なエンドポイントセキュリティソリューションの提供を開始した。国内トップクラスのシェアを誇るEDR「VMware Carbon Black」と、Blue Planet-worksの「AppGuard」を組み合わせた「Enhanced EDR by AppGuard ‐ Carbon Black Edition」(以下、「EEA」)である。<製品の詳細やコラム、セミナー情報はこちらより>

「AppGuard」も、従来型のウイルス対策製品のように「侵入を防ぐ」のではなく、「侵入された後に対処する」というゼロトラストの発想に基づいて開発されており、その点はEDRと同じだ。ただし、大きく違うのは、EDRが不審な挙動を検知してもアラートを発出するだけなのに対し、「AppGuard」は挙動そのものを“止めてしまう”点である。

「従来型の製品は、『悪いものを見つけて排除する』というコンセプトですが、『AppGuard』は良い、悪いに関係なく、OSに害を及ぼしうる動きはすべて無効化する仕組みとなっています。いままでのウイルス対策製品とは、根本的に考え方が異なるのです」(鴫原氏)

AppGuardが提供する2つの基本制御
AppGuardが提供する2つの基本制御AppGuardが提供する2つの基本制御
「AppGuard」は、「信頼されたアプリケーションやファイルしか起動させない」というゼロトラストの考え方に基づいた起動制御で、不審な挙動をブロック。不正アクセスにおける侵攻プロセスも成立させない

過去の攻撃情報に基づいて侵入した脅威をブロックするのではなく、不審な動きをするものはすべて止めるので、新しいタイプの攻撃にも対応できるのが大きな利点だ。

しかも、「人の手を介することなく、瞬時に攻撃のライフサイクルを分断してくれるため、EDRのようにセキュリティ担当者が24時間365日張り付いてアラートやログを注視する必要はありません。つまり、『1-10-60の原則』に基づく対処が実現するのです」と鴫原氏は説明する。

ただし、「AppGuard」にも弱点はある。あくまでも「挙動を止める」ことに特化した製品なので、その挙動の原因がマルウェアかどうかまでは判定できないことだ。

「『AppGuard』を使えば、ひとまず動きを止めて被害を防ぐことはできますが、最終的には挙動の原因を特定し、不審なものは駆除する必要があります。そこで『AppGuard』とEDRを組み合わせ、挙動の停止から、原因の調査、駆除に至る一連の作業がすべて行えるようにしたのが、『EEA』なのです」と大友氏は説明する。

「EEA」ではまず、エンドポイントのOSに害を及ぼしうる不審な挙動が起これば、「AppGuard」がそれをすぐに止める。そしてディーアールエスが独自に開発したログ分析エンジンにより、「AppGuard」にて挙動を止めたファイルやアプリケーションの情報をGoogleが運営する「Virus Total(ウイルス トータル)」というマルウェア検索サイトに照会し、マルウェアか否かを判定する。

マルウェアだと判定すれば、週次で発行されるディーアールエス独自のグローバルマルウェア分析レポートシステムである「GMAR(ジーマー)」によってハッシュ値などが報告される。この報告内容をもとにEDRを使ってハッシュ値を逆トレースすることで、脅威の侵入経路やAppGuardが挙動を止めるまでの詳細状況などが把握できるという仕組みである。

Enhanced EDR by AppGuard ‐ Carbon Black Edition
-3つのサービスのセットパッケージ-
Enhanced EDR by AppGuard ‐ Carbon Black Edition
Enhanced EDR by AppGuard ‐ Carbon Black Editionは、不審なアプリケーションの動きを止める「AppGuard」、止めたアプリケーションがマルウェアかどうかを判定する分析レポート「GMAR(ジーマー)」、レポートに基づいて侵入経路や活動情報などを逆トレースできる「EDR(VMware Carbon Black)」の3つのサービスで構成される

ビジネスを止めずに
セキュリティリスクを解消し、
働き方改革にも貢献

大友氏は、「この仕組みには大きく4つのメリットがあります。まずは挙動を止め、その後、時間をかけて調査、駆除ができるので、サイバー攻撃の被害を免れることができます。そして24時間365日の監視体制も不要なので、セキュリティ担当者の労力やコストも大幅に減らすことができます。さらには、高度なセキュリティスキルを要する人材の確保も必要ありません。それに加え、外部SOCへの委託も不要です。EDRによるセキュリティ監視運用に課題を感じておられる企業は、ぜひご検討ください」と語る。

導入に際しても、PC運用に大きな実績がある同社なら、先を見据えたライフサイクルマネジメントまで安心して任せられる。

ディーアールエスは、今後もゼロトラストの発想に基づき、運用負荷やコストを最低限に抑えながら、防御を最大化するセキュリティソリューションを提供していく方針だという。

サイバー攻撃の高度化だけでなくデジタル化やテレワークが進むことで、ますます企業に求められるサイバーキュリティ戦略。これからの同社の取り組みや新たな製品にも、おおいに期待したい。

週次で発行される
グローバルマルウェア分析レポート「GMAR」
グローバルマルウェア分析レポート「GMAR」
「EEA」のユーザーに週次で発行される「分析レポート」では、ブロック件数やログ発生端末などと併せて、約70のセキュリティ調査機関のうち3つ以上がマルウェアもしくは悪性ファイルと判定したものを「要注意ファイル」として報告。セキュリティ担当は、この分析レポートの情報をもとに対象端末を特定し、侵入経路の調査や該当ファイルの削除にすぐ取りかかることができる
ディーアールエス株式会社
https://www.drs.co.jp/
pagetop