サイバーリーズン・ジャパン

サイバー攻撃を100%防ぐのは不可能
「侵入前提」の対策を具現化するには

ビジネス現場や社会インフラのデジタル化が加速する現在は、
サイバー攻撃者にとって「攻撃対象領域」が広がった時代といえる。
サイバー攻撃による被害は世界規模で増えており、それに対応するための対策のアップデートが急務といえるだろう。
これからの時代、情報資産を守るには、侵⼊されることを前提として、その後の被害を抑える視点が必要になる。
サイバーリーズンは、そのための手法とソリューションを提案している。

セキュリティー対策に当たっての
マインドチェンジが急務

サイバーリーズン・ジャパン株式会社 セールスエンジニア 佐藤 直樹氏
サイバーリーズン・ジャパン株式会社
セールスエンジニア
佐藤 直樹
 企業が競争優位性を確立し、持続的な成長を実現するためにはDXが不可欠だ。ただし、DXやテレワークの推進によって、サイバー攻撃を受ける「攻撃対象領域(アタックサーフェス)」が拡大していることを忘れてはならない。これまで企業ネットワークの内側で使用されてきた様々なアプリケーションやデバイス、データが、広く組織外の様々な環境で利用されているからだ。

 「従来、攻撃者はファイアウオールやIPS/IDSなどをかいくぐらなければ組織内の情報資産にアクセスできませんでした。しかし現在は、より対策が手薄なテレワーク端末やクラウド環境に狙いを付け、そこから企業・組織内に侵入するといった手口が横行しています」とサイバーリーズン・ジャパンの佐藤 直樹氏は語る。

 例えば、ある社員のモバイルPCから業務システムのID/パスワードを盗み出せば、攻撃者は正規ユーザーとしてサービスにログインできるようになる。たった1つの脆弱なポイントを⾒つけるだけで、組織内に侵入できるのだ。この脆弱ポイント、すなわちアタックサーフェスは、いまや社内外のあらゆる場所に散らばって存在している。すべてを適切に守るのは、簡単なことではない。

 「このような状況でビジネスリスクを極少化するには、私たち守る側のマインドチェンジが不可欠です」と佐藤氏は強調する。

 「攻撃を100%防ぐことは不可能だ」という認識のもと、侵入されることを前提とした対策を強化する。具体的には、侵入済みの脅威をできるだけ早期に検知し、封じ込める。そしてセキュリティー侵害のログを調べて、速やかな復旧と原因の調査、再発防止につなげるのである。

リスクを
リアルタイムに監視し
アラートを上げる

 サイバーリーズンは、複数の対策ソリューションを提供することで、この一連の対策プロセスを強力に支援している。

 中核ソリューションが、「Cybereason EDR(Endpoint Detection and Response)」だ。脅威の侵入を素早く検知し、アラートを発して対処を促す。同時に、復旧対策や恒久対策につなげることを可能にする(図1)。  「Cybereason EDRの強みは、非常に早い段階で侵入を検知できる点です」と佐藤氏は紹介する。例えば、「サイバー攻撃を受けた企業から大量の情報が漏えいした」というメディアの報道を見聞きしたことがある人は多いだろう。漏えいする情報の量は、時にテラバイト単位に上るが、実際はこれほど被害が大きくなるまでに数日以上かかることが多いという。たとえ侵入を許しても、早期に検知して対策が打てれば被害は最小限に抑えることができるのだ。

 サイバーリーズンによれば、昨今の代表的なサイバー攻撃であるランサムウエア攻撃はおよそ次のような流れで行われるという。

 攻撃者は、まず標的型メールや偽装サイトのリンクを通じて不正アクセスを試みる。侵入に成功したら、そのデバイス自体に足場を確立。その後、管理者権限を奪取し、ラテラルムーブメント(水平移動)で感染を広げる。多くの情報を盗み出したら、証拠隠滅/データ破壊のためのランサムウエアを投下し、身代金を要求する。「つまり、侵入後の攻撃を早期に検知し、対処できれば、実質的な被害はほとんど受けずに済むのです」と佐藤氏は言う。

 その点Cybereason EDRは、プロセス情報や接続情報、ファイル情報、ドライバ情報、オートラン情報、マシン情報、ユーザー情報などをリアルタイムに収集し、攻撃性の高い活動を即座に発見できる。不審な動きがあった場合、即座に管理者にアラートを発することが可能だ。

 さらにCybereason EDRは、アラート対応をリモートから対処することも可能である。社員が在宅勤務で使用中の端末からアラートが上がった場合も、端末の論理隔離、マルウエア隔離、プロセス停止やレジストリ削除、そして復旧といった操作を遠隔から行うことが可能だ。

専⾨アナリストが
マネージド型で対策を支援

 加えて、人的リソースに不安を抱える企業に向けては、より包括的なサイバー攻撃対策支援サービスも用意している。それが「Cybereason MDR(Managed Detection and Response)」だ。Cybereason EDRによる脅威の検知・対応・解析をまとめて担うSOC(セキュリティ・オペレーション・センター)をサービスとして提供する(図2)。  「当社の専⾨アナリストが、お客様環境のエンドポイントデバイスを24時間365日体制で監視します。⾃動脅威ハンティングから脅威度判定、根本原因調査まですべての作業を行うほか、攻撃があった際はその顛末や影響範囲を報告し、お客様が迅速に対処できるよう⽀援します」(佐藤氏)

 Cybereason EDR、Cybereason MDRによって対策を高度化した事例は数多い。ある企業では、侵入を検知してから端末隔離までをわずか7分間で実現。翌日にサイバーリーズンからインシデントの詳細報告を受け取り、検証を進めて問題ないことが確認できた。そして発生4日目に、終息宣言を発表することができたという。

 そのほか、エンドポイント対策を担う次世代アンチウイルス製品「Cybereason Endpoint Prevention」など、サイバーリーズンは多彩なソリューションの提供によって、企業・組織のサイバー攻撃対策のアップデートを支援している。もはや攻撃を防ぎ切ることは不可能な時代、被害の極少化と早期の復旧を見据えた同社の提案は、多くの企業の指針になるものといえるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
サイバーリーズン・ジャパン 株式会社 URL:https://www.cybereason.co.jp/contact/