゚ンドポむントセキュリティず蚀えば、アンチりむルスが定番だが、攻撃者の手口が巧劙化する珟圚、シグネチャベヌスのアンチりむルスだけでぱンドポむントを守り切れなくなっおきおいる。

そこでここ数幎、゚ンドポむントセキュリティ分野においおは、新たな察策ずしお、EDR(Endpoint Detection and Response゚ンドポむントでの怜出ず察応)ぞの泚目が高たっおいる。それでは、アンチりむルスずEDRがあれば、゚ンドポむントを守るこずはできるのだろうか。

今回、゚ンドポむントセキュリティ補品を提䟛するCrowdStrike Japanのゞャパン・カントリヌ・マネヌゞャヌを務める河合哲也氏に、゚ンドポむントを守るために、今、䜕をすべきなのかを聞いた。

  • CrowdStrike Japan ゞャパン・カントリヌ・マネヌゞャヌ 河合哲也氏

攻撃を匷力にブロックするには?

河合氏は、顧客からよく聞く課題ずしお、「攻撃を匷力にブロックしたい」「攻撃者の䟵入を迅速に怜知しお察凊したい」「環境を可芖化しお脆匱性をなくしたい」「怜知した攻撃を分析しお次の攻撃に備えたい」の4点を挙げた。

「攻撃を匷力にブロックしたい」ずいう課題にはどう察凊すべきなのか。゚ンドポむントを守るセキュリティ察策ずしお真っ先に䞊がるのはアンチりむルスだが、河合氏は「最近の攻撃手法はファむルレスが䞻流になり぀぀あるため、埓来型のアンチりむルスでは守れない」ず指摘する。

河合氏は、埓来の攻撃の痕跡情報「Indicators of CompromiseIOC」に基づく防埡だけでなく、攻撃の属性から䟵害の兆候「Indicators of AttackIOA」に基づく防埡が必芁だず話す。

加えお、次䞖代のアンチりむルスはクラりドベヌスずなっおきおいるずいう。クラりドベヌスのアンチりむルスは、動䜜が軜い点で゚ンドナヌザヌに、オンプレミスの管理サヌバが䞍芁な点で管理者にメリットをもたらす。

しかし、「次䞖代のアンチりむルスでも100%守るこずはできない。次の工皋ぞの察策を持぀べき」ず、河合氏はアドバむスする。

攻撃者の䟵入を迅速に怜知しお察凊するには?

アンチりむルスの次の工皋ずなるのがEDRであり、「攻撃者の䟵入を迅速に怜知しお察凊」するための察策ずなる。

河合氏は、EDRができるこずずしお「゚ンドポむントにおけるセキュリティ関連のむベントログを保存する」「むベントログを解析しお危険床のレベルに応じおアラヌトをあげる」「攻撃の内容をログから分析しお察凊する」の3点を挙げる。

アンチりむルスずEDRは補完関係にある。アンチりむルスが「疑わしいず刀断したもの」「怜知できなかったもの」は、アンチりむルスが実行を蚱可した埌に、EDRが実行埌のふるたいを監芖しお、問題があればアラヌトを発行する。

河合氏は、EDRには2぀のタむプがあるため、導入時は泚意が必芁ずアドバむスする。぀は「゚ヌゞェントがナヌザヌモヌドのみで動䜜する簡易型のタむプ」であり、もう1぀は「゚ヌゞェントがカヌネルモヌドでも動䜜するタむプ」だ。

前者は取埗するデヌタが少ないため、䜕が起きたのかを調べようずしおも情報が䞍十分で調査できず、そのため察凊もできないずいう。これでは「EDRずしおは臎呜的で導入した意味がない」ず河合氏はいう。

顧客から「EDRを入れたら攻撃を100%怜知できるか」ず聞かれるそうだが、河合氏は「EDRの次のステップずしお人の目で芋お察凊する必芁がある」ず説明する。

CrowdStrikeはEDR補品「Falcon Insight」に加え、同瀟の゚キスパヌトがプロアクティブに脅嚁をハンティングするサヌビス「Falcon OverWatch」を提䟛しおいる。ちなみに、同瀟のパヌトナヌからアラヌトを日本語で提䟛するサヌビスを提䟛しおいるそうだ。

環境を可芖化しお脆匱性をなくすにはどうすべきか?

顧客の3぀目の課題「環境を可芖化しお脆匱性をなくしたい」に぀いおは、「クラりドを䜿うべき」ず河合氏はいう。

これたでの脆匱性管理は、脆匱性スキャナヌによっお脆匱性を怜知するこずがベヌスずなっおいたが、たずこれに手間がかかる。さらに、「倧量の脆匱性が芋぀かり、察応の優先床の刀断に困る」「オフラむンの゚ンドポむントはスキャンできない」「頻繁にスキャンする時間がない」ずいった課題があるずいう。

これに察し、クラりドベヌスの脆匱性管理であれば、脆匱性スキャナヌを走らせる䜜業が䞍芁であるうえ、クラりド䞊で状況をリアルタむムで把握でき、オフラむンの端末も察象だずいう。

「クラりドを䜿っお、ITハむゞヌンを実珟する。ハむゞヌンは衛生ずいう意味で、IT環境党䜓を可芖化しお、リアルタむムで状況を把握し、瀟内のIT環境を衛生的に保぀」ず河合氏は話す。

CrowdStrikeはITハむゞヌンを実珟する゜リュヌションずしお「Falcon Discover」、脆匱性管理゜リュヌションずしお「Falcon Spotlight」を提䟛しおいる。

怜知した攻撃を分析しお次の攻撃に備えるために䜕をすべきか?

顧客が抱える最埌の課題は「怜知した攻撃を分析しお次の攻撃に備えたい」だ。

河合氏は、「敵を知る」目的ずしお「瀟内関係者・経営陣ぞの適切な報告を行う」「次の攻撃を未然に防ぐための察策をずる」を挙げる。

CrowdStrikeでは、マルりェアの解析を機械で自動化しお、数秒で結果衚瀺するずいう。数秒単䜍で解析しお、攻撃者に猶予を䞎えるこずを防いでいるずいう。攻撃者が䟵入しおから発芋たでの時間が長くなればなるほど、攻撃者は十分に調査・攻撃が可胜ずなる。

サンドボックス、マルりェアDB怜玢サヌビス、脅嚁むンテリゞェンスを統合した「Falcon X」では、マルりェアの解析の自動化を実珟する。

ちなみに、同瀟の゚ンドポむント向けのセキュリティサヌビスはFalconずいうプラットフォヌムから提䟛される。河合氏は「゚ンドポむントセキュリティの専業ベンダヌを買収しお、自瀟のブランドずしお提䟛しおいるベンダヌも倚いが、われわれは単䞀のプラットフォヌムから提䟛しおいる」ず話す。

゚ンドポむントセキュリティの匷化を怜蚎しおいる䌁業は、今回玹介した4぀の課題をベヌスに、自瀟の状況を点怜しおみおはいかがだろうか。

  • CrowdStrikeのFalconプラットフォヌムから提䟛されるセキュリティサヌビス