BlackBerry Japan

AI+自動化+マネージドサービスで
高度化するリスクへの効果的な対処を実現

エンドポイント対策とEDRを導入しているにも関わらず、被害を防げなかった――
そんなセキュリティー事案が相次いでいる。
要因には、製品のアラートが多すぎて対応しきれないことや、運用リソース不足などが考えられる。
BlackBerryは、これらの課題をトータルに解消するソリューションを提供。
AIによる予想防御や運用自動化機能、高評価のマネージドサービスを組み合わせることで、
実効性の高いセキュリティー対策の実現を支援している。

現状の「EPP+EDR」が
抱える課題とは

BlackBerry Japan株式会社 マーケティング部 ディレクター 山﨑 裕二氏
BlackBerry Japan株式会社
マーケティング部
ディレクター
山﨑 裕二
 世界中で深刻なセキュリティー被害をもたらしているランサムウエア。日本でも医療、自動車、食品など、あらゆる業種・業態で被害報告が急増している。これらの企業・組織の中にはEPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)、つまり事前防御と事後対処の両方の対策を実施していたところが少なくない。なぜ、被害を防ぎきれなかったのだろうか。

 BlackBerry Japanによれば、その理由は大きく3つあるという。1つ目は製品の検知力だ。市場には高い検出率をうたうEPP製品が多々あるが、実際の被害事例を見ると、検知に失敗したケースが多いという。「これは、攻撃に用いられたマルウエアが亜種や新種であることを意味します。製品の検知力を過信するのは危険です」と同社の山﨑 裕二氏は警鐘を鳴らす。

 2つ目は、脅威への対処に時間がかかっていることだ。たとえ製品が脅威を検知できても、対処に時間をかけてしまえば結局、被害は拡大してしまう。「特に最近の脅威は、侵入から目的達成までの時間が短くなっています。『攻撃者は待ってくれない』ということに留意する必要があります」(山﨑氏)。

 そして3つ目は、インシデント対応にあたる運用リソースの不足である。大量のシステムを保有する企業がEDRを導入した場合、月間のアラート数は数千~数万件に上ることがある。もちろん、これはEDRの正しい動作なのだが、限りある運用リソースでそのすべてに対応するのは難しい。結果、重要なアラートの見落としが発生し、被害につながってしまうのである。

亜種や新種、
今後登場が予測される
マルウエアも防ぐ

 この3つのポイントをつぶすことが、被害を極小化するためのカギになる。

1つ目の課題に対しては、EPPを刷新することが有効だ。既存のEPP製品の多くは、収集した既知のマルウエアのサンプルを基にシグネチャファイルを作成し、パターンマッチングや振る舞い検知などを行って脅威を検出する。「この方式では亜種や新種のマルウエアを防ぎきれないため、新しい方式で高い検知能力を実現する次世代型アンチウイルス(NGAV)を活用することが重要です」と山﨑氏は言う。

 そこで同社が提供しているNGAVが「CylancePROTECT」だ。大量のマルウエアのサンプルをAI(人工知能)が学習し、悪意を持ったファイルと問題のないファイルの特徴を抽出。そこから導いた「ファイルのDNA」を基に脅威判定を行う。「この仕組みであれば、パターンに完全にマッチングしない亜種や新種も検知して防ぐことが可能です」と山﨑氏は説明する。

 この方式の場合、現在猛威を振るっているマルウエアのみならず、未来に出現するであろうマルウエアも予測して防御できる。同社の検証では、平均で約45カ月先のマルウエアの特徴を予測し、防御することができたという。「実際、『WannaCry』は19カ月前、『Revil』は44カ月前、『DarkSide』に至っては67カ月前の時点のモデルで既に防御が可能でした。AI数理モデルに基づくクライアントソリューションだからこそ、このようなことが実現できるのです」と山﨑氏は強調する(図1)。  また、スクリプトを使った攻撃やファイルレス攻撃など、マルウエアとは異なる手法での攻撃にも対応可能。スクリプト対応/メモリ保護などの多層防御機能で防ぐことができるという。

運用自動化で
ゼロデイ攻撃にも迅速に対処

 CylancePROTECTの高い検知力は、2つ目の課題にも有効だ。そもそも侵入を許してしまう脅威を減らすことで、対処にかかる時間を短縮する。

一般に「EPP+EDR」による脅威対処のプロセスは、EPPをすり抜けて内部に侵入したものをEDRで検知し対処する流れになる。当然ながら、EPPを突破してくるマルウエアが多いほど、EDRのアラート件数は増加する。その結果、人手での対応に時間がかかるようになる。

 「CylancePROTECTで99%のマルウエアを防げば、EDRは残りの1%に対処するだけで済みます。加えて、当社のEDR『CylanceOPTICS』は、マルウエアの検知からその後の対応までをルールベースで自動化する機能を備えています。これにより、運用管理負荷を押さえつつ、対処のスピードを大幅に早めることが可能です」と山﨑氏は述べる。

 特にゼロデイ攻撃は、既存のEPPでは防ぎきれない。そのためEDR側に多くの負担が掛かることになるが、CylancePROTECT+CylanceOPTICSの組み合わせであれば、「予測防御+自動化」によって速やかに対処することが可能になる。

 「最後の運用リソースの課題については、自社内で完結しようとせず、ベンダーが提供するマネージドサービスを活用することをお勧めします」と山﨑氏。時々刻々と変化するセキュリティー情報や対策手法を、ユーザーが自らキャッチアップし続けるのは困難だ。分野に精通したエキスパートに任せるほうが、効率的かつ効果的な対策が施せる。

 これについてBlackBerryは、MDR(Managed Detection and Response)サービス「CylanceGUARD」を提供している(図2)。AI/機械学習技術を核とした自動化のほか、専門家によるノイズ低減チューニングや24時間・365日監視、継続的な脅威ハンティングなど、多岐にわたるメニューを用意。ユーザー向けポータルや脅威分析サービス「ThreatZERO」も提供することで、幅広い企業・組織のセキュリティーニーズに応えている。  「加えて侵害診断サービスや、インシデントレスポンスサービスも提供しています。当社は3年間の間に全世界で500を超すインシデントレスポンスに対応しています。実績と迅速性が強みです。少しでも事故の不安がある場合は、ぜひご相談ください」と山﨑氏は言う。セキュリティーのプロフェッショナルとして顧客に伴走するBlackBerry。同社の提案は、これからの対策手法を考える上で有効な選択肢になるものといえる。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
BlackBerry Japan株式会社 URL:https://www.blackberry.com/ja/jp