いまや世界中の企業・組織がサイバー攻撃による脅威にさらされており、その被害に関する報道も頻繁に耳にするようになった。なかでも特に際立っているのが、ランサムウェアとEmotet(エモテット)という2種類のマルウェアを用いた攻撃による被害である。そして注意したいのが、こうした最新の攻撃手法というのは、従来ながらのセキュリティ対策では防ぐのが困難なうえ、大企業ばかりでなくその取引先なども含めて“より弱いところ”が攻撃され、影響が他社に波及する傾向にあるという事実だ。そこで今回、現在の企業を取り巻く脅威動向を改めて整理するとともに、その対策に有効なツールであるEDRの特徴と、導入後の運用課題、さらにはそうした課題を解決するMDRサービスのもたらすメリットについて、マクニカのエンジニアに詳しくお話を伺った。

既存のセキュリティ製品をすり抜けるサイバー攻撃が急増──狙われる中堅・中小企業

昨今では世界的にサイバー攻撃による被害が増え続けており、報道などでも目にする機会が多い。なかでもとりわけ目立っているのが、ランサムウェアとEmotetという大きく2種類のマルウェアによる被害である。

ランサムウェアは、感染したPC等に保存された機密データなどを暗号化してしまい、その復号と引き換えに金銭を要求するといった攻撃手法で知られるマルウェアで、ここ数年猛威を振るっている。感染から情報漏えいに至って操業停止に追い込まれた企業も存在するなど、ここに来てさらに深刻度が増していると言えよう。一方のEmotetは、なりすましメールを通じて感染するマルウェアであり、一時その被害は減少していた。しかしながら、2021年末より活動の再開が確認されるようになり、企業での被害が続出していることから、さらなる脅威の拡大が危惧されている。

これらのマルウェアがもたらす脅威から組織を守る方法としては、従来のアンチウイルスソフトが真っ先に思い浮かぶかもしれない。しかし現在では攻撃手法が多様化しており、アンチウイルスソフトが検知に用いるシグネチャでは検知できないマルウェアが増加しているのである。

株式会社マクニカ 沼田 宗時氏

株式会社マクニカ
沼田 宗時氏

マクニカのエンジニア、沼田 宗時氏は次のようにコメントする。「ファイルを用いない攻撃を行うファイルレスマルウェアによる攻撃が活発化しているため、アンチウイルスのような既存のウイルス対策製品をすり抜けた未知のマルウェアをも検知・対処できるようにする必要性が急激に高まっています。その際に重要なのが、たとえ感染してしまったとしても被害を最小限に抑えることです。被害範囲を速やかに特定し、適切に対処できるようにすることが求められています」

メールで送られるEmotetへの対策として、多くの企業でゲートウェイ型メールセキュリティ製品の導入や、ファイアウォールをはじめとした外部からの攻撃に対応する製品の導入が進んでいる。しかし、最近ではリモートワークなどで用いられているVPN経由で侵入して情報搾取やファイル暗号化などの攻撃をするといったケースが増えているため、それだけではもはや防御することが困難なのだ。

「こうした最新の攻撃手法は、大企業ばかりが狙われると思われがちですが、決してそんなことはありません。むしろサプライチェーンの中からもっとも脆弱そうな企業が攻撃され、関連会社へ被害が拡大する傾向が強まっているため、中堅中小企業であっても十分な対策が必須と言えます。もしも侵入されてしまえば、取引先に迷惑が及ぶのはもちろんのこと、深刻な信用失墜にも繋がりかねません」と、沼田氏は警鐘を鳴らす。

  • 侵入経路の変化

    侵入経路の変化

EDRが求められる理由とその効果とは

攻撃手法の多様化などにより既存のセキュリティ製品だけでは自社の安全を維持できなくなっている現状を受けて、いま企業の間で導入が進んでいるのがEDR(Endpoint Detection and Response)製品である。EDRとは、ファイルだけではなくプロセスや通信などの活動を含めて包括的に調査することで、エンドポイントにおける不審な挙動を検知し、迅速な対応を支援するソリューションである。

沼田氏は、脅威への対応について次のように説明する。「従来型攻撃対策で求められる範囲は、マルウェアを検知して感染を防ぐところまででした。しかしながら、昨今の標的型攻撃においては、侵害に速やかに気づくとともに、侵害範囲を特定し、最適な順番で侵害を封じ込め、侵害内容を適切に報告し、本当の意味での業務復旧まで果たす──ここまでの対策が求められるのです」

このためEDRでは、ファイルの読み書きはもちろんのこと、各種アプリケーションの起動状況やレジストリの変更、どのようなファイルをダウンロードしたかなど、クライアントのあらゆる挙動を監視して怪しい動作を発見する。それにより、従来型のエンドポイントセキュリティでは検知できなかった脅威を検知するとともに、その後の迅速かつ適切な対応を促すことができるのである。

  • サイバー攻撃ライフサイクル全体に対応するために必要な機能

    サイバー攻撃ライフサイクル全体に対応するために必要な機能

EDR導入後に直面する運用課題

このように、これからのエンドポイント保護に欠かせないと言っても過言ではないEDRだが、導入後の運用に当たっては課題が生じる場合があるのも事実だ。

その1つが、過検知による運用負荷の増大である。たとえば、最近ではOSの標準コマンドを用いた攻撃が増えているが、これらの検知はできるものの、通常の挙動もまた同様に検知してしまう。このため、アラートが頻繁に発せられるうえ、普通の動作であるか不正であるかの判断も難しいことから、運用する担当者が対応に追われることになってしまうのだ。

そしてもう1つの課題が、セキュリティ人材の不足だ。「会社の規模によっては、専任の情報セキュリティ担当者がおらず、情報システム担当者が兼任しているケースも多いです。このように、貴重なセキュリティ人材が、EDRの運用にリソースを割かれてしまい、セキュリティ戦略などの本来担うべきより重要な役割を果たすことができなくなってしまうケースもあります」と沼田氏は指摘する。

侵入の検知だけでなく、脅威の完全な除去まで請け負うMDRサービス

多くの企業が頭を悩ませるEDRの運用負荷増とセキュリティ人材不足だが、こうした課題を解決すべくマクニカが推奨するのが、世界的に導入実績が豊富なEDR製品「Trellix HX」を最大限活用できるMDR(Managed Detection and Response)サービスである。

EDRによるSOC運用をマクニカのパートナーであるセキュリティサービスプロバイダーに委託できるこのサービスの特徴は、脅威の検知にとどまらず、脅威の除去までを一気通貫で行うことができる点にある。

セキュリティ侵害に対して、その原因を追求して根本的な除去まで行うことのできるマネージドサービスというのは珍しく、たとえあったとしても追加料金が発生するケースがほとんどだ。しかし、本MDRサービスでは、基本費用だけでそこまでの対応が受けられる。

こうしたサービスが可能な理由の1つとして、マクニカがTrellix製品の取り扱いにおいて国内市場で9割5部以上のシェアを占めており、圧倒的な実績を誇っていることが挙げられるだろう。

  • EDRに求められること

    EDR運用に求められること

XDRサービスへの拡大も視野に

このように、Trellix HXを活用したエンドポイントの包括的なMDRサービスを提供しているマクニカだが、今後はエンドポイントに加えてネットワークにも対象を拡大したサービスの提供も視野に入れている。その理由について沼田氏はこう説明する。「侵入を受けた際にその攻撃の全容を把握するためには、ネットワーク側の状況も理解したうえで対応することがより望ましいと考えています」

そこで同社では、EDRの防御範囲をネットワークやクラウド等にまで拡大したXDR(eXtended Detect & Response)を軸としたサービスも提供を開始する予定だという。こうしたサービスが実現できるのも、ネットワーク側においてもマルチベンダーで多様な製品を取り扱う、マクニカならではの強みがあればこそだと言える。

変化し、深刻化を続ける脅威に備えるためには、ツールを導入するだけでなく、実効性のある運用を見据えた環境づくりが、企業規模にかかわらず必要になってくる。マクニカでは、1000名規模の企業から大企業までの豊富な導入実績があり、サービスが幅広く活用されていることがわかる。セキュリティ対策に課題を抱える企業の担当者は、EDRの導入に加え、脅威の検知から除去までを一気通貫で行えるMDRサービスを検討してみてはいかがだろうか。

Trellix

>>詳細はこちら
>>お問い合わせはこちら

[PR]提供:マクニカ