ランサムウエアの早期検出と全体像把握を実現
AIを実装した統合セキュリティー基盤とは

　ランサムウエア攻撃やサプライチェーン攻撃による被害が後を絶たない。実際、IPA（独立行政法人情報処理推進機構）が毎年公表している「情報セキュリティ10大脅威」においても、ランサムウエアによる被害は9年連続、サプライチェーンの弱点を悪用した攻撃も6年連続でランクインしている。

　なぜ、この脅威がいまだに克服されないのか。それは様々な対策を上回るスピードで、ランサムウエアが進化を続けているからにほかならない。特に留意しなければならないのは、初期侵入を果たしてから活動を開始するまでの時間の短縮だ。

　「ほんの2、3年前までは、ランサムウエアがデータ暗号化などを実行するまでに、最短でも1日程度の時間を要していました。それが現在では、4～5時間もあれば作業を完遂します」とチェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェックポイント）の笠原 俊和氏は警鐘を鳴らす。ランサムウエアの侵入に気付いた段階で、重要データのほとんどが“人質”にとられているわけだ。

　そこで急務となっているのが、1分1秒でも早いインシデントの発見とITインフラ全体を見渡した影響の把握である。「まずはランサムウエアの動きを阻止し、対策のための時間を稼ぐことが最優先です」と笠原氏は説く。

　既に多くの企業では、インターネットとの境界に設置したファイアウオールやIPS（不正侵入防止システム）、エンドポイントに配布したアンチウイルスなど、様々なセキュリティー製品が導入されているはずだ。しかし、そこで行われてきたのは、あくまでも個別領域におけるインシデントの予兆検知にすぎないと笠原氏は指摘する。

　「DX推進やリモートワークの拡大などに伴いITインフラは複雑化しており、そのぶんセキュリティー脅威はさらに複雑性を増しています。個別領域で発生した単体のアラートだけを見ても、水面下で進行しているサイバー攻撃の中身まではとらえきれません。個々の事象は、それほどクリティカルな兆候ではないと見過ごされてしまう可能性があります。個別領域で発生している小さな事象を丁寧につなぎ合わせ、従前よりも一段高い視点から一連の流れをコンテキスト（文脈）としてとらえ直すことが重要です」

　こうした課題の解消に向け、チェック・ポイントが提供するのが統合セキュリティー基盤「Infinity Platform」だ。

　「AIと自動化機能を駆使することで、インシデントの予兆検知から封じ込めに費やしていた応答時間を数日から数分程度に短縮します。その上で攻撃者の動きを突き止め、脅威を根治するためのインシデントの全体像把握と対処につなげていきます」と笠原氏は訴求する。

　Infinity Platformは、具体的には下記のような一連の5つのプロセスをサポートする（図1）。 1．ゼロトラスト…大前提となるのは、エンドポイントやモバイルアクセス、ネットワーク、クラウドに対するゼロトラストの考え方に基づいたセキュリティーである。信用を得たユーザーが、許可された部分だけをアクセス可能とすることで、アタックサーフェス（攻撃対象領域）を可能な限り狭めておく。

2．予防・防止…次が不正侵入の予防・防止措置だ。ネットワークセキュリティーやSASE、Eメールセキュリティーがここに該当する。フィッシングメールが受信ボックスに届く前に隔離したり、脅威のマルウエアをダウンロードする通信を阻止することを指す。これによりインシデント件数を減らし、貴重なセキュリティー人材の時間と作業をほかに集中させることが可能になる。

3．検知＆対応（部分）…予防・防止措置を行ったとしても、あらゆる脅威を100％の精度で排除できるわけではなく、2～5％の確率で不正侵入を許してしまう可能性がある。その意味でセキュリティー対策は、侵入を前提として組み立てておくことが肝要だ。EDRはここで大きな役割を果たす。攻撃者の活動を一時的に食い止め、時間を稼ぐことが可能となる。

4．検知＆対応（全体）…生み出された猶予を生かし、インシデントの全体像を把握していくことも大事だ。ネットワークセキュリティーで侵入を防止した場合には、攻撃経路やユーザー・デバイスなど関連した領域からログを集めて分析することで、組織内のアセット全体に迅速に脅威対策を共有・設定することも大事だ。

5．脅威ハンティング…この分析結果に基づいてインシデントが発生している領域を特定し、脅威の根治に向けた対処を実施。さらにSOCやCSIRTといった組織とも連携し、隠れた脅威を見逃すことがないよう徹底した脅威ハンティングを行う。

　なお、こうした統合セキュリティー基盤を構築するにあたり、すべてのセキュリティー対策を、チェック・ポイントのソリューションで統一しなければならないわけではない。

　「エンドポイントやモバイル、ネットワーク、クラウド、データなど、あらゆる領域にセンサーを配置。他社製品を含めた既存のセキュリティー対策ソリューションからログを収集して相関分析を行い、脅威の早期検出やインシデント全体像把握につなげられることが、Infinity Platformの特徴です」と笠原氏は語る。

　ここからはInfinity Platformの脅威の早期検出や全体像把握に向けた、具体的な仕組みを見ていきたい。

　Infinity Platformが脅威を検知すると、複数のログを基に攻撃の一連の流れを時系列で相関分析した結果が自動的にまとめられ、固有のID番号をもった1枚のカードとしてダッシュボードに表示される。さらに、このカードをクリックすると、「Abnormal behavior of type」「Lateral Movement」「Remote Command Execution」「Command and Control」といったキーワードが表示され、自社のITインフラが具体的にどのような侵害を受けたのかを把握できる。

　ただ、これだけを見てもどこから何をすればよいのか、判断できない場合も少なくない。そこでInfinity Platformは、各インシデントに対して優先度をあわせて表示する。

　「インシデントが危険度・緊急度に応じて既にトリアージされているため、どれから対処すべきか一目瞭然で把握できます」と笠原氏は語る。さらにインシデントの全体像把握において大きな効果を発揮するのが、文章生成AI技術を活用したAI Copilot機能である。

　「Infinity Platformは攻撃者の行動や、攻撃に用いた手法（戦術＆テクニック）をナレッジベースで分類表示し、攻撃のステップが現時点でどこまで進んでいるのかをマッピングして明らかにするとともに、MITRE ATT&CKフレームワークに基づいて攻撃者の行動を文書化します。さらに詳しい情報を知りたい場合は、『AI Copilot』に日本語で質問（プロンプト）を入力すると、日本語で答えが返ってきます」と笠原氏は説明する（図2）。セキュリティー運用に文章生成AIを組み込むことで、子会社や拠点に在籍するセキュリティー対応に詳しくない担当者でも、迅速なインシデント報告の文書化を支え、経営層への説明や関連する組織への報告の迅速化が可能になる。 　繰り返すが、悪質化・巧妙化の一途をたどるランサムウエアへの対策は、個別領域で発生している事象をとらえるだけではもはや対処は難しい。この課題を解決する上で、Infinity Platformは有効な選択肢の1つといえるだろう。チェック・ポイントでは随時セミナーやワークショップも開催しているため、検討したいのであればまず確認すると良いだろう。