はじめに
マルウェアによるサイバー攻撃は重大なセキュリティリスクです。しかし従来は主流だった境界防御モデル(ペリメータモデル)ではマルウェアによる攻撃を構造的に防ぎにくいため、エンドポイントセキュリティを別の方法で強化して安全を担保する必要があります。
そこで本記事では、エンドポイントを監視して異常を検知・対処できるEDRと呼ばれるセキュリティ対策製品と、その製品例としてソリトン社の『InfoTrace Mark Ⅱ』についてご紹介します。
目次
エンドポイントセキュリティとは
エンドポイントは「末端」や「終点」を意味し、ICTや情報セキュリティ分野ではパソコンやスマートフォン、タブレット、サーバなどネットワークに接続されている機器を指します。
エンドポイントセキュリティとは、この端末を足がかりとしたサイバー攻撃からネットワークやネットワーク上のデータを守る対策です。パソコンやスマートフォン、タブレットといった端末をウイルス感染から守る方法だけでなく、インシデント発生時には被害に遭った端末をネットワークから切り離して被害を最小化する方法もあります。
エンドポイントセキュリティが注目される理由
エンドポイントセキュリティは、セキュリティ対策の考え方の変化により、注目されるようになりました。
セキュリティ対策は従来、社内ネットワークを安全な領域、インターネットのような社外ネットワークを危険な領域と区別して、境界を監視・制御する「境界防御モデル(ペリメータモデル)」が主流でした。しかし働き方改革やコロナ禍をきっかけに在宅勤務や外出先、移動中といった社外からのノートパソコンやタブレットなどによるアクセスのニーズが増え、エンドポイントの数は大きく増加しました。その結果、エンドポイント増加と共に監視すべき境界も増え、境界防御モデル(ペリメータモデル)は効率的な防御方法ではなくなっていきました。
現在では「境界防御モデル(ペリメータモデル)」に代わる方法として、2010年代はじめに登場した「ゼロトラスト」が注目されています。ゼロトラストは英語のZeroとTrustを組み合わせた造語であり、「システムの中にすでに攻撃者がいるかもしれない」という前提でネットワークやユーザ、端末などすべてを監視して、必要に応じてアクセスを許可します。
エンドポイントセキュリティは、このゼロトラスト実践に必要な要素の1つであり、より一層重要になっています。
エンドポイントを狙うマルウェアの脅威
「マルウェア(malware)」とは、英語の「malicious(マリシャス:悪意のある)」と「software(ソフトウェア)」の2つの単語を組み合わせた造語であり、Webサービスやネットワーク、端末などを狙う悪意あるソフトウェアやコードの総称です。
マルウェアに感染すると、端末やネットワーク、管理するWebサービスなどを不正に操作され、以下のような被害に遭う恐れがあります。
・保有する社員の個人情報や自社、取引先企業などの機密情報を窃取される
・端末やWebサービスなどを遠隔操作され、ユーザが操作できなくなる
・端末に保存されているファイルを改ざんされ、復元するための身代金を要求される
・複数の掌握された端末を、他のネットワークやサーバへの攻撃に利用される
マルウェアの侵入経路はインターネットだけではありません。USBメモリといった記録媒体や、従業員の私物の端末を経由するルートもあります。このようなインターネットを経由しないマルウェア感染に対しては、ネットワークの入り口を防御するゲートウェイセキュリティでは対処できません。そのため、外部ネットワークとの境界でのセキュリティ対策に加えて、エンドポイントセキュリティの重要性は高まっています。
エンドポイントセキュリティの変遷
エンドポイントセキュリティは、その概念が登場した当初は保護に重点を置いていましたが、増大する脅威に対応するため、マルウェア検知や感染時の対応といった機能を組み合わせるように変化してきました。エンドポイントセキュリティの変遷を簡単にご紹介し、近年どのような対策が注目されているのか整理します。
| EPP | EDR | ||
|---|---|---|---|
| アンチウイルス | NGAV | ||
| 目的 | マルウェア感染を防ぐ | 被害を最小化する | |
| 異常検知のタイミング | マルウェア侵入前 | マルウェア侵入後 | |
| 異常検知方法 | パターンマッチング | 機械学習やふるまい解析 | |
| 未知の脅威への対応 | 不可能 | 可能 | |
アンチウイルスソフト
アンチウイルスソフトは「EPP(Endpoint Protection Platform)」や「エンドポイント保護プラットフォーム」と呼ばれる、「マルウェアによる攻撃を水際で防ぐ」ことを目的とした製品です。
アンチウイルスソフトは、既知の攻撃パターン(シグネチャ)をデータベースに登録し、それと一致する通信を検知するシグネチャベースという手法で、既知のマルウェアを検知して対策する仕組みです。この対策方法には、データベースに存在しない未知のマルウェアに対して脆弱だという課題がありました。そのため、アンチウイルスソフトとは別のアプローチが模索されるようになります。
アンチウイルスソフトからNGAV(Next Generation Anti Virus)へ
近年では、アンチウイルスソフトと同じ「EPP(Endpoint Protection Platform)」として、「NGAV(Next Generation Anti Virus)」と呼ばれる製品が登場しました。
NGAVは、従来のアンチウイルスソフトでは対応が難しかった未知のマルウェアやソフトウェアを利用しないファイルレス攻撃に対応するため、機械学習やふるまい解析といった技術を利用しています。シグネチャベースと新しい機能を組み合わせることで、従来のアンチウイルスソフトと比べ、脅威検知とブロック能力が向上しています。
EDR(Endpoint Detection and Response)の登場と多層防御
「EDR(Endpoint Detection and Response)」とは、インシデント発生時の被害を最小化するために、「感染を防ぐこと」に重点を置くEPPとは別のアプローチを採用した製品です。エンドポイントを監視し、サイバー攻撃を受けることを前提に、マルウェアの検知や除去といった初動対処を自動化します。
現在は、複数のソリューションを組み合わせて安全性を高める「多層防御」という考え方が主流になっています。EPPを利用するだけでは感染リスクを低減できますが、感染してしまった際の被害を抑えられません。EDRとEPPを組み合わせて対策することで、セキュリティを重層的に強化し、サイバー攻撃の被害を抑えることが可能です。
InfoTrace Mark Ⅱに見るEDRの機能
EDRはどのように「被害を最小限に抑える」のか、ソリトン社のEDR『InfoTrace Mark Ⅱ』を例に、各機能の理解を深めましょう。
端末の監視と異常検知
「被害を最小限に抑える」ための第一歩は、端末の状況把握による異常の検知です。『InfoTrace Mark Ⅱ』をはじめとしたEDRの多くは、国際標準規格であるSTIXとTAXIIに対応しています。STIX(Structured Threat Information Expression)は脅威情報構造化記述形式とも呼ばれ、攻撃者の意図や能力、手法などの情報を記述する仕様です。TAXII(Threat Analysis Information eXchange)は検知指標情報自動交換手順とも呼ばれ、STIXで記述された脅威に関する情報をやり取りするプロトコルです。STIXに則って記述された脅威情報をTAXIIに則って受領することで、常に端末の侵害有無をチェックできます。
また端末の動作をリアルタイムで確認し、通常とは異なる動作や不審な動作などを検知する機能も重要です。「不審な挙動」を画一的に定義するのは難しいこともあり、人力で設定する以外に、近年ではAIを使った機械学習も活用されています。
『InfoTrace Mark Ⅱ』は、攻撃を検知するだけでなく、フライトレコーダーのように端末の操作を常時記録します。これにより、サイバー攻撃や内部不正を証跡ログから調査できます。取得するデータについて柔軟に設定できる点も魅力です。たとえば、通常業務でほぼ使わないOSのシステムコマンド操作を検知してシステムログを取得するといった、インシデントにつながる恐れがある異常や怪しい動作をチェックすることで、問題の早期発見と対応が可能になります。
攻撃検知時の端末隔離やアラート通知といった初動対応
インシデント発生時の素早く的確な初動対応は、被害を最小限に食い止めるために重要です。EDRはこの初動対応を自動化しており、不審な動きが検知された端末を管理用通信だけ残してネットワークから隔離(論理抜線)して通信を制限することで、ほかの端末へのマルウェア侵入・感染を未然に防ぐ隔離機能を備えています。製品によっては、インシデント発生の際にアラート通知する、ほかのエンドポイントが同じ脅威に晒されてないかスキャンする、脅威の根本原因を追跡するといった対応まで自動化できます。こうした初動対応機能を組み合わせて、EDRは迅速な被害抑止を可能にしています。
『InfoTrace Mark Ⅱ』はネットワーク隔離以外にも、ファイルパスやハッシュタグ値などで指定した特定プロセスの自動停止についても設定できます。
フォレンジック調査と復旧
多くのEDRは、初動対応後のインシデントの詳細分析と原因調査、エンドポイント復旧に役立つ「フォレンジック調査」機能を備えています。
フォレンジックは「法医学」や「鑑識」を意味する単語です。転じてIT分野では、データログの分析に科学的手法を適用することを指し、デジタルフォレンジックとも呼ばれます。
フォレンジック調査とは、エンドポイントのログ情報をもとにマルウェアの侵入経路や感染原因、影響範囲を分析し、特定した危険なファイルを削除する活動です。
『InfoTrace Mark Ⅱ』はサイバー攻撃と内部不正の両方に対応するために、「インシデントの原因究明の基礎データ」だけでなく、OS標準のイベントログに残らないデータも独自方式で記録します。カーネルレベルでプロセスやファイル、ネットワーク、レジストリを常時監視することで、インシデントの全体像把握を助けます。
覚えておきたいMDR(Managed Detection and Response)
エンドポイントセキュリティを強化するために、EDRを効果的に活用するのは簡単ではありません。検知内容の判断やログデータの解析など専門的な知識やスキルが必要となるため、ユーザ単独で運用することは困難な場合があります。そこで視野に入れておきたいのが、MDR(Managed Detection and Response)です。
MDR(Managed Detection and Response)とは、エンドポイントやネットワークの監視、検知、インシデント対応のアウトソーシングです。特に中堅中小企業で専門スキルを持った人材がいない、情報システム部門の人員が不足している、といった場合に有用だといえます。
EDRベンダがMDRを提供するケースだけでなく、マネージドサービス全般を提供する企業がサービスの1つとしてMDRを提供する場合もあります。EDR導入を検討する際には、同時に運用方法についても検討を進めておきましょう。
まとめ
サイバー攻撃が高度化・多様化する昨今では、安全を担保するためにさまざまなセキュリティ対策を組み合わせる必要があります。EDRは、普及しているアンチウイルスソフトと別の視点からエンドポイントセキュリティを強化できるため、これからセキュリティ対策を強化したいという方にオススメです。セキュリティを強化したいが人手不足で困っているといった場合は、ツールを導入するだけではなくMDRの利用も視野に入れましょう。
セラクには専門性の高いセキュリティ技術者が多数在籍し、クラウドサービスの導入支援や情報システムに関するマネージドサービスなど、幅広く支援しています。また、本記事でご紹介した『InfoTrace Mark Ⅱ』をはじめ、ソリトン社のセキュリティ対策製品・サービスを取り扱っています。自社のIT環境に疑問・不安・お悩みなどございましたら、ぜひセラクへご相談ください。
