セキュリティの話題があとを絶たない。「2017 Japan IT Week春」でもセキュリティに関連する製品やソリューションが数多く並んでいたがファイア・アイでは、同社の主力製品となるFireEye製品を中心に展示が行われていた。

図1 ファイア・アイのブース

FireEyeの紹介の前に、EDR(Endpoint Detection and Response)について簡単に紹介しておこう。その名の通り、エンドポイントの監視を行い、

  • インシデントの検知
  • インシデントの封じ込め
  • インシデントの調査
  • エンドポイントの復旧

までを行う技術を意味する。4項目の内容を紹介すると、インシデントの検知では、エンドポイント(クライアントPC)の各種プログラムの動きを監視し、インシデントの有無を検知する。もし、そこでインシデントが検知されれば、次の封じ込めとなる。具体的には、通信の遮断、不正なプロセスの停止を行う。

EDRでもっとも重要となるのは、インシデントの調査である。PC上の各種ふるまいを記録する。具体的には、ファイルI/O、レジストリ操作、プロセス起動、ネットワークアクセスといった情報をログに記録する。これらの情報をもとに、不正なプログラムの侵入から情報を漏えいまでの一連の不正行為の履歴をトレースすることが可能になる。

そして、不正なプログラムの削除や不正なプログラムよって改ざんされたデータやファイルを復元させる。標的型攻撃などが多発するなかで、従来型のシグネチャーベースの対策では十分といえなくなってきた。そこで、EDRのような製品を使い、侵入経路の追跡、攻撃がどの程度に及んでいるかなどを把握する。まず紹介したいのが、ブースで配布されていた「M-Trends 2017 セキュリティ最前線からの視点」である。これは、ファイア・アイ社のコンサルティング部門であるMandiantにより、2016年に調査したセキュリティ・インシデントの見直しを図り、グローバルレベルと各地域レベルの両方で、攻撃・防御・その他の最新トレンドを分析したものである。

図2 M-Trends 2017 セキュリティ最前線からの視点

その中で注目したいのは、セキュリティ侵害の発生から、検知までに要した日数である。アジア地区では、172日となっている。攻撃者は、PCに侵入する際にはマルウェアを使うことも多い。しかし、一度、PCに侵入してしまうと、マルウェア自身を削除するといった行動に出る。その理由は、セキュリティ対策ソフトに検知されないようにするためである。そして、正規のアカウントを乗っ取り、遠隔操作や情報転送が可能なバックドアを作成する。情報探索や転送などは、OSの標準コマンドを使用し、こちらもセキュリティ対策ソフトから検知されないようにする。

こうして、一度、侵入を許してしまうと、一般的なセキュリティ対策ソフトでは、検知することが非常に困難になっていく。さらに、172日もあれば、多数のエンドポイントに侵入を広げ、攻撃者の活動も相当なレベルに達しているとみるべきであろう。もちろん、セキュリティ対策ソフトやファイアウォールなどのEPP(Endpoint Protection Platform)が意味がないということではない。マルウェアの侵入を防ぐという点では重要な役割を担う。しかし、侵入されてしまった後の対策は、別の手法が必要となることを理解すべきであろう。

その答えのひとつが、EDRである。侵入された後の攻撃者の活動を監視する。ファイア・アイ社では、EDRソリューションとして、FireEye HXを提供する。FireEye HXは、脅威インテリジェンスを使って、エンドポイントの不正な侵入と活動を常時監視する。脅威インテリジェンスは、サイバー攻撃に関するあらゆる情報の集まりである。具体的には、以下のようなものが該当する。

  • 攻撃グループの動機や目的
  • 使われる脆弱性
  • マルウェア、ツール
  • 侵入方法
  • 通信先のIPアドレス

この脅威インテリジェンスは、ファイア・アイ社のFireEye NX/EXでグローバルに収集される。ブースでは、パートナー企業によるソリューションも展示されていた。ラック社は、セキュリティ監視センターJSOCと連携したJSOCマネージド・セキュリティ・サービスを紹介していた。FireEye HXを使い、JSOCのセキュリティ分析システムとセキュリティアナリストが365日24時間体制で監視・分析を行う。

図3 JSOCマネージド・セキュリティ・サービス

もう1つは、NTTコミュニケーションズが提供する総合リスクマネジメントサービスのWideAngleである。

図4 WideAngle

WideAngleは、リアルタイムマルウェア検知や脆弱性診断、WAF(Webアプリケーションファイアウォール)などの複数のソリューションから構成される。Valdation & Isolationでは、やむなくマルウェア感染が発生した場合、エンドポイントの感染範囲の特定や感染端末内のイベント情報の確認を行い、すばやいインシデントレスポンスと再発防止を行う。

FireEye HXは、もともとインシデント対応や侵害調査を行う専門家が使う調査ツールであった。そのため、エンドポイントの全台調査といったことがやりやすい。すべてのエンドポイントで脅威が存在しないことが確認できて、脅威の「根絶」といえるだろう。そのためのソリューションに最適な機器となる。