ニューノーマル時代の内部不正/サイバー攻撃対策 - 秘訣は「エンドポイント管理」

1回目の緊急事態宣言から約1年が経過し、リモートワークの普及が加速するなど、私たちの働く環境は大きく変わった。一方で、内部不正やサイバー攻撃による事故の報道も相次ぐ昨今、セキュリティ対策にも変化が求められる。ここで重要となるのが、エンドポイント管理だ。

6月24日に開催されたマイナビニューススペシャルセミナー「事件・自己発生時の対策 - 有事に混乱しないための準備、技術、事例」で、エムオーテックス経営企画本部本部長中本琢也氏が、同社のセキュリティ製品群「LanScope」を使った内部不正対策およびサイバーセキュリティ対策、エンドポイント管理の勘所について紹介した。

エムオーテックス経営企画本部本部長中本琢也氏

働く環境の変化に伴い、ランサムウェア攻撃がより一層の脅威に

コロナ禍を機に働く環境が大きく様変わりするなか、セキュリティ対策に課題を抱えている企業は多い。特に驚異となっているのがランサムウェアだ。ランサムウェアによる攻撃は、従来のように暗号化したファイルに対する身代金を要求するものだけでなく、入手した情報をもとにして脅迫を行うようなケースなども出てきており、凶悪化が進んでいる。

欧州の分子生物学研究機関を標的にしたRyukランサムウェア攻撃の発端となったのは、同機関とパートナーシップ契約を結んでいた大学の学生が、仕事で使うためにソフトウェアの海賊版を個人所有のマシンにインストールしたことだった。海賊版のソフトウェアにはキーロガーが仕込まれており、攻撃者はそれを用いて研究機関のネットワークにアクセスするための認証情報を入手。この情報をRyukランサムウェアの攻撃者へ販売した。その時点では、同機関のネットワークに対して二段階認証無しでリモートで接続することが可能だったために、Ryukランサムウェア攻撃者の侵入を許してしまった。同機関はランサムウェアによって暗号化されてしまったデータをバックアップから復元しようとしたものの上手くいかず、結果として1週間分の重要な研究データが犠牲となった。

この事例のレポートをもとに中本氏は、「経験の浅い人がリモートワークを行う場合、注意すべき点がなかなかわからない。関係者に対して海賊版の利用をさせない教育が必要だった。また、組織外からネットワークに接続する場合は、ID・パスワードだけでなく他の要素を組み合わせた多要素認証を採用したほうがよい。さらに、普段からバックアップをリストアする手順を明確化して訓練を行っておく必要がある」と、リモートワークにおけるセキュリティ対策の教訓を紹介する。

テレワークの課題はエンドポイント管理のアプローチで解決

セキュリティ対策の手法は環境によって異なる。自宅、会社、サテライトオフィスなど、さまざまな場所で業務を行うことが当たり前になっていくニューノーマルな働き方においては、「一番変わらないエンドポイントを守ることが効率的・効果的」と中本氏は強調。そのうえで、エンドポイントのセキュリティ対策やIT資産管理に向けた「LanScope」の製品群を紹介した。ここでは、「IT資産管理・構成管理」「マルウェア対策」「内部不正対策」という3つの観点から見ていきたい。

1. IT資産管理・構成管理

リモートワーク環境におけるセキュリティ対策の一歩目は、社内IT環境の正確な把握であるとする中本氏。「社内に脅威があったり、外部から攻撃を受けたりしたとしても、気づけなければ対策はできない。そのためにはIT資産管理・構成管理をこれまで以上にしっかりと行わなければならない。把握さえできれば、対策を打つことができる」とIT資産管理・構成管理の重要性を語る。

PC、スマートフォン、タブレットなど業務で使用する端末にエージェントをインストールする形で利用するLanScopeでは、その端末の資産・ソフトウェアの情報を一元管理することが可能だ。

「脆弱性が報告されたソフトウェアをインストールしているなど、リスクに晒されている端末の利用者にアナウンスを送ることができる。またセキュリティリスクを発見した際、内部ネットワークに繋がった端末であれば接続元のIPアドレスからある程度判断して対応することができるが、リモートワークで自宅のインターネット環境を利用している場合は検討がつかない。しかしLanScopeであれば、IT構成から逆引きすることで誰の問題なのかを把握することができる」(中本氏)

2. マルウェア対策

2017年にMicrosoftが450万以上のマルウェアを対象に行った分析調査では、マルウェアの96%が2回以上使われない"使い捨て"であることが明らかになっている。この結果から中本氏は「これから誕生する未知のマルウェアの防御をいかに実現するかが重要。未知の脅威から身を守るためにはAIが必須」と、AIを活用した予測・検知・事前防御の必要性を語る。

そのうえで中本氏は、AIを使ったセキュリティ対策ソフト(EPP：Endpoint Protection Platform)である「BlackBerry Protect」を紹介。「マルウェアの検知にシグネチャではなくAIを使っており、高い精度でマルウェアを検知することが可能」とする。さらに、同社では、エンドポイント端末内に侵入したマルウェアを検知して調査・封じ込め・復旧を支援するEDR(Endpoint Detection and Response)製品として「BlackBerry Optics」も提供している。

「時系列でプロセスの親子関係を確認して調査することが可能で、各プロセスに関する詳細情報も取得できる。また、インシデントが発生したらまずは二次感染を防ぐことが重要だが、BlackBerry Opticsでは、ネットワークから対象のエンドポイントを切り離すこともできる。マルウェア検知前後の操作履歴も把握可能なので、侵入経路をログで確認することにより再発防止に繋げられる」(中本氏)

また、中本氏は健康診断のような形でセキュリティの状態を把握する「エンドポイント侵害診断サービス」についても言及。「組織内の環境で収集した情報をもとに、さまざまなアプローチから解析を行って脅威の有無を診断し、レポートを作成するサービス。定期的に実施することで、問題がないことの証明にも利用できるほか、驚異が見つかった場合は迅速な対処が可能」と説明した。

3. 内部不正

リモートワーク環境においては情報を組織外に持ち出す場面が増えるため、悪意ある関係者による不正な情報の持ち出しのリスクも高まる。特に、退職者による情報漏えい事故の報道が相次ぐなか、退職予定者の行動監視の重要性も増してきている。

LanScopeでは、操作ログやプリントログ、WebアクセスログなどPCの操作履歴が収集され、不審な動作を検知した場合には、該当の端末に禁止・警告表示を行うことが可能。万が一事件につながった場合には、ログを証跡として提出することもできる。

中本氏は、LanScopeを内部不正対策に利用するメリットとして「問題があった人物や端末のみが抽出され、その背景としてどういう操作が行われていたのかを確認できる。クラウドサービス経由の情報漏えいやルール違反も検知可能。事前に設定したアラームに対する違反を集計してレポートする機能もある」と語る。さらに、組織活動に関するさまざまなデータの統合・可視化に向けた分析ツール「Splunk」との連携により、より高度な監視が可能になるという。