Blue Planet-works

“イタチごっこ”の対策に終止符を打つ
ANAが実現した新概念のセキュリティー対策

国内でもランサムウエアやEmotetの被害が増加傾向にあり、デジタル化を妨げる大きなリスク要因となっている。
しかし、アンチウイルスでは100%防御することはできない。
その一方、侵入前提の対策は高度なスキルが必要な上、運用の負担も大きい。
いかに運用管理の負担を軽減しつつ、既知/未知の脅威に対応し、セキュリティーレベルを向上させるか――。
この課題の解決に向け、新しい概念を取り入れ、
独自のセキュリティーフレームワークを構築しているのが全日本空輸(以下、ANA)だ。
ここではそれを支えるテクノロジーと、ANAの成功の秘訣について紹介したい。

攻撃行動を制限し
脅威の“発症”を防止する

株式会社Blue Planet-works プロダクト&テクニカルサービス本部 セキュリティアドバイザー 鴫原 祐輔氏
株式会社Blue Planet-works
プロダクト&テクニカルサービス本部
セキュリティアドバイザー
鴫原 祐輔
 エンドポイントセキュリティーには大きく2つのアプローチがある。脅威を水際で特定・防御するやり方と、侵入前提で早期に検知・対処するやり方だ。前者の代表的な製品がアンチウイルス、後者の場合はEDRである。2つを組み合わせることで、効力はより高まるが、すべてのリスクを払拭できるわけではない。

 アンチウイルスに実装される脅威の検出技術は過去の情報に依存する。既知の脅威には強いが、未知の脅威やゼロデイ攻撃は検知が困難だ。一方のEDRは侵害中および侵害後の挙動や痕跡から脅威の動向を可視化する。被害を未然に防げるかどうかは、運用体制やユーザーのスキルに大きく依存する。昨今はランサムウエアの暗号化速度が高速化しており、検出しても暗号化を阻止することは難しいケースも出てきた。

 これまでのサイバーセキュリティ対策の多くは過去の脅威情報から危険性の高いものを例外として拒否するブラックリスト方式が基本である。リストに該当しないものは、結果的に“お墨付き”を与えられ、勝手に振る舞われてしまう。最近は悪意のあるコードの難読化も進み、脅威の真偽の判別が難しくなっている。

 「既存のやり方は、いずれも“取りこぼし”のリスクを拭いきれません。脅威に対する守り方の前提を変えていく必要があります」と訴えるのはBlue Planet-worksの鴫原 祐輔氏だ。同社が提供する「AppGuard」は、この考えを具現化した新しいエンドポイントセキュリティーソリューションである。

 ゼロトラストの考えに基づき、すべてを拒否して例外で許可する。たとえ防御を突破されても攻撃者に行動の自由を与えず、攻撃を成立させない(図1)。「つまり端末やサーバーに対して“悪いこと”をできないように『防止』する。ゼロトラスト型のエンドポイントセキュリティーです」と鴫原氏は説明する。  その仕組みは次の通りだ。まず「信頼された場所からの起動」「信頼される条件を満たす起動」のいずれかに該当しなければアプリケーションを起動することはできない。起動されても「レジストリファイルへの変更処理禁止」「信頼された領域への変更処理禁止」「他アプリケーションのメモリ読み書き禁止」が施されているため、攻撃が成立しない。

 ホワイトリスト製品は安全と判断されたプロセスを許可するが、それが悪用されることを想定していない。許可されたものが悪いことはしないはずという前提に立っているため、悪用された場合に対処することができない。「信頼される条件は満たしていても、起動されたプロセスは何らかの形で侵害されていると仮定し、信用せずに起動後のプロセスも制限する。これがAppGuardの『防止』の仕組みであり、ホワイトリスト製品と決定的に違う点です」と鴫原氏は強調する。

ANA流
セキュリティー
フレームワークを構築

 このAppGuardを採用し、エンドポイントセキュリティーを革新した企業がANAである。同社はDXに積極的な先進企業として知られるが、一方でその推進を阻む課題にも直面していた。サイバー攻撃のリスクだ。その対策に人やコストを費やすと、DXの取り組みにしわ寄せが来る。

 しかし、セキュリティーを疎かにすることはできない。ひとたび情報漏えい事案が発生すれば、顧客への補償やシステム対策で莫大な費用が発生する。イメージダウンによる顧客離れも懸念材料だ。自社被害にとどまらず、顧客や取引先などサプライチェーン全体にも多大な影響を及ぼす。「そこで経営リスクの1つとして情報漏えいを定義し、エンドポイントセキュリティーを再構築することにしたのです」と鴫原氏はANAの取り組みを語る。

 これまで同社はアンチウイルスやEDRなどを段階的に導入し、エンドポイントセキュリティーの強化に継続的に取り組んできた。しかし、アンチウイルスではマルウエアの侵入を100%防げない。EDRは体制維持と人材育成の負担が大きい。新たな脅威が発生するたびに対策や体制の強化が必要になり、攻撃者との“イタチごっこ”に陥っていたという。「新たな脅威が発生しても、特別な対応をせずとも済むようにしたい。ANA様は守り方の前提を変えていく必要性を痛感していたのです」(鴫原氏)。

 そこで採用したのがAppGuardだ。既存のアンチウイルスとEDRにAppGuardを組み合わせ、NIST(米国国立標準研究所)のサイバーセキュリティフレームワークに「防止」というプロセスを加えた「ANA流セキュリティーフレームワーク」を構築した(図2)。  航空事業は重要な社会インフラであり、24時間365日の安定稼働が求められる。また経営が求めているのは「どんなマルウエアだったか」ではなく「業務に影響は出なかった」という報告である。こうしたことも予防的対策を重視した大きな理由だ。

3分の1の人員で
セキュリティー運用が可能に

 事業の根幹を担うシステムは「営業」「空港」「運航」「整備」の4分野で構成される。ANAは1000台のサーバーで運用する、これらの131システムを死守すべき領域と定義した。

 AppGuardはこの131システムのエンドポイントセキュリティーを担う。具体的には自動チェックイン機、顧客管理端末、運航系端末、航空業界用の特殊アプリケーション搭載業務端末、一般業務用端末などにAppGuardを展開した。

 従来のセキュリティーフレームワークに防止プロセスが付加されたことで、同社は様々なメリットを実感している。まずエンドポイントにおいてマルウエアの発症や不正アクセスが発生しなくなった。攻撃者の行動が制限され、攻撃が成立しないからだ。未知の脅威や攻撃手法が発生しても特別な対応は必要ないため、サイバー攻撃の“イタチごっこ”からも抜け出せる。

 エンドポイントにおけるインシデントが発生しなくなったため、その対応工数も大幅に削減された。AppGuardはWindows Updateの影響を受けないため、アップデート時の端末影響調査の工数も削減できた。「こうした効率化により、以前は6名で行っていたエンドポイント監視を2名で回せるようになりました。その人員をほかのセキュリティー領域に再配置し、さらなるセキュリティーレベルの向上を推進しています」と鴫原氏は述べる。

 その一環として取り組んでいるのが、アプリ開発文化の変革である。AppGuardの制御ポリシーに沿ったセキュリティ・バイ・デザインによる開発の標準化を進めている。既存アプリの見直しを図ったことで、ユーザー部門の不要アプリの特定も可能になった。シャドーITによる潜在的リスク排除するという副次的な効果も上がっている。

 DXの推進にはサプライチェーン全体でのデータ利活用が重要になる。今後ANAでは「防止」という考え方の浸透を図り、サプライチェーン全体のデータ信頼性を確保する「トラストサークル」の構築を目指すという。

 悪質・巧妙化するサイバー攻撃から組織を守る上で、ゼロトラストは効果的なアプローチである。しかし、入口だけのゼロトラストでは、そこを突破された後のリスクが大きい。その後の行動もゼロトラスト前提で考える必要がある。ゼロトラストを拡張しインシデントの発生を防止するAppGuardは、エンドポイントセキュリティーに新風を吹き込む存在だといえるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社Blue Planet-works URL:https://www.blueplanet-works.com/contact/