壊滅的被害からビジネスを守れ
エンドポイントを核とした対策の勘所

　日増しに高度化するサイバー攻撃。裏市場での攻撃ツールや潜入に必要な裏情報の売買、マルウエアをクラウドサービスとして提供するRaaS（Ransomware as a Service）の登場など、攻撃者の組織化・分業化も進んでいる状況だ。

　「初期潜入に必要な情報を販売するイニシャルアクセスブローカー、実際の攻撃を行うオペレーターやアタッカーなど、フェーズごとに役割が分かれているほか、人材をマッチングするための市場すら存在しています」とキヤノンマーケティングジャパンの峯森 惇平氏は警鐘を鳴らす。

　攻撃の手口で多いのは、ランサムウエアとリークサイトを用いた金銭要求である。現在は、「支払いに応じなければ窃取した情報をリークサイトで公開する」と脅したり、その企業のシステムにDDoS攻撃を仕掛けたりする多重脅迫型も一般的になっている。身代金要求を大量に印刷したり、ターゲット企業の顧客にメールで勝手に連絡したりするハラスメントの手法も混ぜてきているという。

　加えて注意すべきなのは、急速に普及したテレワークによって、企業・組織の側の「Attack Surface（攻撃を受ける可能性のある場所）」が拡大しているということだ。これまでサイバー攻撃対策は、企業ネットワークの内と外の境界線で守る「境界型防御」が一般的だった。しかし2020年以降は、企業ネットワークの外側で働く社員が急増し、同時に多様なデバイスやクラウドサービスなどがインターネット経由で互いに直接つながりあう状態になっている。

　「実施すべき対策が増えた結果、企業におけるセキュリティ運用が複雑化し、現場の負担が増大しています。このままの状態では、正しい守りは実現できません。企業は、今一度足もとの対策を見つめ直し、特にエンドポイント対策を再考する必要があります」と峯森氏は説明する。

　そこで同社は、これからのサイバー攻撃対策のポイントとして「①Attack Surfaceを減らす」「②壊滅的被害をもたらすマルウエアへの対策強化」「③少ない人的リソース前提のインフラ検討」の3つを提唱している。

　まず①については、改めて「守るべき場所」を洗い出すことが不可欠になる。「社外に持ち出された多様なデバイスやそれらの通信を一つひとつ管理しようとすると、対策が二次関数的に複雑化します。まずは、防御すべき箇所を再特定するとともに、膨大な数のPCやスマートデバイスを包括的に保護できる対策を検討することが重要です」と峯森氏は話す。

　②については、最新の事例や脆弱性情報を常に確認し、自社のセキュリティリスクを把握しておくことが肝心だ。ここでいう壊滅的被害とは、事業継続が不可能になったり、自社の顧客に多大なインパクトを与えたりする被害のことである。

　例えば、米国の大手燃料パイプライン会社のケースはその一例だ。ランサムウエアによって重要情報を窃取され、システムがロックアップされたことで操業停止に追い込まれた。これにより、日本円換算で約5億円の身代金を支払う結果になったという。

　また国内では、ある食品メーカーがサイバー攻撃を受け、社内システムがオンラインバックアップごと侵害された事例がある。侵害はグループ会社を含めて広範囲に及び、復旧が困難なことから決算発表が延期された。さらに、ある病院ではランサムウエア「LockBit 2.0」によるシステム停止により、外来患者の受け入れが一時停止。「サイバー攻撃は、時に人命をも脅かす可能性があるのです」と峯森氏は述べる。

　攻撃の種類に関しても、その動向は目まぐるしく変化している。同社によれば、2021年はダウンローダー型マルウエアの観測が減少する一方、フィッシングサイトへの誘導を目的とした攻撃観測は増加傾向にあるという。「ただし、多くの被害をもたらした、初期潜入にダウンローダーを用いていた『最恐マルウエアEmotet』が、ふたたび活動を再開しているという現状があります。動静には引き続き注意が必要です」と峯森氏は話す。

　このように攻撃は次々変化している一方で、社内を守るセキュリティ人材は急に増やすことも短期間で育てることもできない。そこで重要になるのが③だ。「限られた人的リソースで運用でき、かつ高度な守りを実現できる、新しい形でのエンドポイントセキュリティ管理を進める必要があります」と峯森氏は強調する。

　一連のポイントを満たす製品として同社が提案するのが、「ESET PROTECTソリューション」である。

　これは、8つのレイヤーで多層防御を提供するエンドポイント対策（図1）をはじめ、多彩な対策を包含したソリューション。「お客様の企業規模や用途に合わせたラインアップで、Attack Surfaceの極小化を支援します」と峯森氏は紹介する。 　クラウド型セキュリティ管理ツールが提供されており、管理者はいつでも、どこからでも管理対象のPCやサーバー、モバイル端末の対策状況を一元管理できる。ESET製品の強みでもある動作の軽快さもあり、ユーザー業務への影響も抑えることが可能だ。

　高度な対策機能も強みとしている。一例が、クラウドサンドボックスである。「未知の不審なファイルのふるまいを、クラウド上の分析環境で検査し、その結果を重みづけし適切な防御を自動実行します。ゼロデイ型の攻撃手法に対しても、より早い段階で検出して対処することが可能です。EDR製品を導入していなくても、ある程度のマルウエアの挙動を確認できるため事後の対策に生かすことができます」と峯森氏は言う（図2）。 　さらに「ESET Cloud Office Security」を導入することでMicrosoft 365のクラウドサービスとのAPI連携にも対応する。具体的には、Microsoft 365上のデータのやり取りやメール送受信の際のマルウエアを検出することで、脅威の混入・拡散リスクを早期に検知するものだ。「多くの企業が使っているMicrosoft 365の標準セキュリティ機能を補完し、すり抜けてくる脅威を、端末にマルウエアが保存される前にESETのテクノロジーで防御します」と峯森氏は語る。

　仮にコロナ禍が終息したとしても、企業・組織の対策の隙間を突いて高度化するサイバー攻撃には、引き続き警戒が必要だ。広がるAttack Surfaceの全体に対し、運用負荷を極力抑えながら安全性を維持する。壊滅的被害を未然に防ぐ対策を実行する上で、ESETは重要な選択肢の1つになるだろう。