「広範なセキュリティ領域に対してどこにフォーカスすればよいかわからない」「リモートワークによって運用が煩雑になってしまった」「PCに複数の製品をインストールしてメンテナンスしなければならず、運用工数が増加してしまう」「セキュリティの専任スタッフが在籍していない」——。中小企業のIT管理者は、さまざまな悩みを抱えている。
6月10日に開催されたTECH+セキュリティセミナー「専門家とベンダーの対話 第9回 理想と現実の“折り合い”を探る」では、ウィズセキュア 法人営業本部 パートナーセールス セールスマネージャー 平澤喜海氏が、こうした課題を解決するエンドポイント対策について紹介した。
-
ウィズセキュア 法人営業本部 パートナーセールス セールスマネージャー 平澤喜海氏
「防御」「隔離」「修復」を1つのソリューションでカバー
ランサムウェアによる被害は跡を絶たず、情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威 2022」では第1位となっている。また、2022年2月よりEmotetの被害も再拡大中だ。一方、こうしたサイバー攻撃へのセキュリティ対策は、複雑な運用が必要になる場合が多い。中小企業としては、できるだけ導入や運用がシンプルであることが理想だろう。
セキュリティ対策は、「防御」「隔離」「修復」というサイクルからなる。ウィズセキュアが提供するクラウドベースのサイバーセキュリティ・プラットフォーム「WithSecure Elements」は、さまざまな製品から構成されており、このサイクルをすべてカバーすることができる。
平澤氏がWithSecure Elements最大のメリットとして紹介したのが、各種OSをサポートしており、すべてのデバイスを1つの管理コンソールで一元管理できる点だ。「他社製品では、さまざまなモジュールをインストールするアプローチが多いが、ウィズセキュアの場合、シングルインストーラ、シングルエージェントでさまざまな機能を提供している」と説明する。防御を担うエンドポイントプロテクション(EPP)、攻撃の可視化と修復を実施するエンドポイントディテクション&レスポンス(EDR)のほか、脆弱性管理なども可能となっている。
WithSecure Elementsの特徴的な機能
ここからは、各機能について見ていきたい。
「Elements EPP」は、AIによる未知のマルウェア検知機能「DEEPGUARD」を登載していることが特徴だ。エンドポイントの動作をリアルタイムに管理・監視し、脅威が含まれていれば、確実に隔離・削除できる。実際にEmotetへの感染を狙ったリンクをクリックした場合も、端末の動作をDEEPGUARDが検知し、Emotetを隔離することが可能となる。
平澤氏がユニークな機能としてあげたのが、サポート詐欺対策機能だ。サポート詐欺では、ウイルスに感染したと偽の警告画面を表示し、サポート窓口に電話をさせ、リモート操作ツールをインストールするよう促す手口が用いられるが、同機能では、この際にお金を騙し取られることがないよう、金融機関のサイトが立ち上がった際にアラートが表示される仕組みとなっている。
ファイアウォールやUTMを通過する攻撃、在宅勤務をはじめゲートウェイ対策が不在な環境などではEPPで端末を保護する必要があるが、近年では、さらにこれをすり抜けてしまう攻撃も増えてきている。ここで有効となるのが、EDRである。
EPPは、ファイルがトリガーとなるが、EDRの場合はイベントがトリガーとなって攻撃が検知される。「EDRは監視カメラのようなもの」と説明する平澤氏。「Elements EDR」について「さまざまなアクティビティをモニタリングし、それらをAIによって解析する。このスコアが閾値に達したら、自動的にネットワークから端末を遮断することができる」と、その特徴を紹介する。
アクティビティを分析するのは、「BROAD CONTEXT DETECTION」機能だ。リスクレベル、影響を受けるホストに関する情報、一般的な脅威の状況を組み合わせることによって、関連する検出と重大度が表示される。そして、Windowsファイアウォールによって、この分析結果をもとに端末をネットワークから隔離する。製品をインストールする際に、さまざまなルールがWindowsファイアウォールに加えられるという。また、「Advanced Response Actions」機能では、攻撃が検出された際、インシデント対応者が攻撃結果に対して外部から直接アクションを実行できる。
また、攻撃の処理に特化したエキスパートへエスカレーションできる「Elevate to WithSecure」という機能もある。判断が難しいアラートが出た場合や誤検知かどうか確かめたい場合、影響範囲を調べたい場合などにウィズセキュアのSOCへ問い合わせができるもので、対応方針のアドバイスなどを受けられる。自社運用している場合でも、MSSP(マネージドセキュリティサービスプロバイダー)を利用している場合でも、どちらでも利用可能だという。
直感的でわかりやすいインターフェースがポイント
セミナーでは、セキュリティ専門家である北河拓士氏と根岸征史氏からのQ&Aセッションも行われた。ここからは、その様子の一部を紹介する。
北河氏: 中小企業でEDRまで入れている企業は少ないイメージがあるが、実際にはどうか。
平澤氏: 当社は本社がフィンランドにあり、欧州の中堅・中小企業を中心にご利用いただいているが、特に今年に入ってからは、50名以下の企業での導入が増えている。ランサムウェアやEmotetの報道を受け、問い合わせをいただくケースが多くなってきている。
北河氏: EPPのみの場合と、EPP+EDRを組み合わせている場合の比率はどれくらいか。
平澤氏: 会社規模によらず、現時点ではEPPのみの利用者が多い。ただし、日々の問い合わせはEDRを検討しているケースが増えてきている。
根岸氏:Windowsファイアウォールの設定変更によって自動対応で隔離するということだったが、それによる弊害はないのか。
平澤氏: いきなり本番稼働というケースはないため、ほぼ問題ない。導入は、検証フェーズから入って、チューニングフェーズで全社端末に展開し、ホワイトリストを作成する。これにより、本番稼働の段階では誤検知が出ないようにしている。
根岸氏: EPP+EDRの連携のメリットを聞きたい。EDRのみを入れたい場合、EPP+EDRのケースと比べてメリットが出にくい印象がある。
平澤氏: 仰るとおり。EPP+EDRのメリットは、互いのコミュニケーションがとれることにある。EPPとEDRを連携して時系列でセキュリティイベントを調べられるので、運用者にとっては非常に楽。EDRのみを入れた場合、サポート窓口が二手に分かれてしまうのも問題。障害が起きた際にサポート連携がうまくいかない懸念がある。
北河氏: 競合製品が多くあるなか、WithSecure Elementsの一番の推しポイントはどこか。
平澤氏: PoCで検証したお客様のほとんどがGUIを評価している。わかりやすいインターフェースで使い勝手が良いというところが、WithSecure Elementsの特徴の1つ。毎日見るインターフェースなので、違和感やわかりにくさがあると、セキュリティ担当者の皆様の業務効率を下げてしまう。使いやすさまで考慮して製品づくりに取り組めている点は、個人的に重要なアドバンテージだと思っている。
導入を検討する企業が急激に増えているEDRだが、ある程度の知識や経験がないと使いこなすのが難しいと評されることもしばしば。そうした中、GUIがわかりやすく、サポート体制も明確で、マネージドサービスも提供されているウィズセキュアのソリューションは、現場の強い味方と言える。専門のセキュリティ担当者が不在の中堅・中小企業であっても前向きに検討してよいのではないだろうか。
[PR]提供:ウィズセキュア
