日々高度化するサイバー攻撃。被害が拡大する前にいかに検知して封じ込められるかが、セキュリティ対策の鍵を握る。11月25日に開催されたオンラインセミナー「TECH+ セキュリティ - 専門家とベンダーの対話 第10回 2022年を振り返る」で、クラウドストライク セールスエンジニアリング部 セールスエンジニア 八木下利勝氏、ラック セキュリティソリューション統括部 プリセールスエンジニア 熊谷悠平氏は、昨今のサイバー攻撃の動向と対策について紹介した。

戦術/技術/手順を進化させる攻撃者

クラウドストライクが毎年公表している「Falcon OverWatch脅威ハンティング報告書」の2022年版では、ハンズオンキーボードによる侵入の試みが前年比50%も増加したことや、過去1年間で7万7000件以上、およそ7分に1件という潜在的な侵入の試みを検出している状況などが報告されている。八木下氏によると、こうした結果は「攻撃トレンドと攻撃者の戦術が明確に変化していることの現れ」だという。

同報告書では、攻撃者の最初の侵入から水平展開(ラテラルムーブメント)までの時間が短縮している傾向も指摘されている。平均は1時間24分で、サイバー犯罪の侵入のうち約30%が攻撃から30分以内に水平展開を実現しているという。八木下氏はこのような状況について「攻撃者は戦術/技術/手順を進化させ、目的達成可能な規模とスピードを持っています」と説明する。

また、インタラクティブな侵入のうち、サイバー犯罪は43%、国家主導型の攻撃者は18%を占める。マルウェアフリー攻撃の割合は71%を占めており、マルウェアを使用しない攻撃への移行が進んでいることも注目すべき点である。この要因としては、攻撃者が認証情報を悪用して被害者環境へのアクセスや永続化を行っていること、新たな脆弱性が公開されるスピードと攻撃者がそれを悪用するスピードが早まっていることなどが挙げられる。

侵入のターゲットとなる業界のトップはテクノロジー業界だが、ヘルスケア業界に対する侵害の試みが前年比で2倍になっており、同業界はRaaS(Ransomware as a Service)の脅威に晒されていることがわかる。

隠れた高度な攻撃をプロアクティブに検索/阻止するFalconプラットフォーム

こうした状況に対応できるセキュリティソリューションとして八木下氏は、クラウドストライクの「Falconプラットフォーム」を紹介する。

クラウドストライク セールスエンジニアリング部 セールスエンジニア 八木下 利勝氏

クラウドストライク セールスエンジニアリング部 セールスエンジニア 八木下 利勝氏

「Falconは、クラウド時代のセキュリティを再定義し侵害を阻止するために、ゼロから構築されたエンドポイント保護プラットフォーム。端末に導入するFalconセンサーとクラウドの2つのコンポーネントから構成されています。センサーのアーキテクチャは、クラウドスケールのAIを活用してリアルタイムの保護、脅威の可視化を提供し、ネットワークの内外に問わずワークロードへの攻撃を防ぎます。クラウドは、独自に開発したTHREAT GRAPHを利用し、世界176カ国以上のエンドポイントにおける1週間あたり5兆件というイベントをリアルタイムに検知することができます」(八木下氏)

Falconが1日に収集するデータ量は8MBから10MB程度で、センサーのCPU負荷は1%程度。メモリサイズはWindowsであれば100MB前後となっている。インストール/アンインストール、バージョンアップ、ダウングレードの際に再起動が必要ないこともFalconセンサーの特長となる。

Falconプラットフォームの特長は、その拡張性の高さである。Falconでは、現在21種類のセキュリティ機能がサブスクリプション形式で提供されている。EDR/XDRやNGAV(次世代アンチウイルス)のほか、脆弱性管理、脅威インテリジェンス、ID保護、ログ管理などといったさまざまな機能が、Falconという単一のプラットフォームに集約されているため、それぞれシングルコンソール、シングルエージェントで導入・管理することが可能となっている。

  • Falcon Platformの機能

「攻撃者はあらゆる方法を結びつけながら、目標達成すべく攻撃してきます。防御側は、攻撃のいずれかのポイントで攻撃のつながりを断ち切るためにも、まず守るべき環境を把握する必要があります。新たな脅威に対しては、新たな対策を有効にし、対応しなければならなりません。また、それぞれのポイントで攻撃に合わせた対策をするのも重要ですが、個別の対策・対応は、インシデントの発生時には足かせになってしまう可能性もあります。隠れた高度な攻撃をプロアクティブに検索/阻止するソリューションの実装が有効です」(八木下氏)

また、クラウドストライクのソリューションは、人の手による分析も特長の1つとなっている。同社のOverWatchチームは、最新の脅威インテリジェンスを利用して、大量のデータから脅威ハンティングを絶え間なく実施している。 ただし、八木下氏は「ソリューション導入は、ゴールではありません。適切に運用するには、組織・人材が必要です」とも忠告。インシデント発生時の調査や状況把握、対処に向けた有意義な方法として、マネージドサービスの利用も検討すべきであるとした。

マネージドEDRサービスで運用時の課題を解決

八木下氏が指摘するように、ソリューション導入後の運用時にもさまざまな課題が発生する。熊谷氏は、特にEDR製品が抱える具体的な課題について次のように解説する。

ラック セキュリティソリューション統括部 プリセールスエンジニア 熊谷 悠平氏

ラック セキュリティソリューション統括部 プリセールスエンジニア 熊谷 悠平氏

「アラートは深夜や土日に発生することもあり、誰がどのようにアラートを受け取るのか、その後の対応をどうするか、どのような組織をつくっておくべきかといったことも含め検討しなければならなりません。また、アラートを受け取ったら過検知であるかどうかなど内容の判断も必要です。場合によっては、侵害や影響の調査、経営者やステークホルダーへの説明、報告書作成等の負担が運用者に掛かってしまいます。こうした課題に対処するための人材を採用しようとしても、実際に経験を持つ人材は多くないため難しいうえに、育成にも時間が掛かるでしょう」(熊谷氏)

こうした課題をアウトソーシングで解決できるのが、ラックの「マネージドEDRサービス」である。同サービスは、ラックにおいて2006年に発足した国内最古参のインシデント対応チーム「サイバー救急センター」が提供する。サイバー救急センターでは、日本企業や政府機関などをはじめこれまでに4000件を超える実績があり、国内でよく使用されているソフトウェアの知見の豊富さが特長となる。

同センターでは、各EDR製品を導入した顧客のアラートを365日24時間監視。アラートが発生した場合は速やかに当該端末を隔離し、その後ログをもとに調査を実施、 調査完了後は報告書を作成している。報告書は、インシデントの発生方法や対処方法まで記載されており、経営者への報告、記者会見などにも利用できる。このマネージドEDRサービスは、クラウドストライクのFalconソリューションにも対応している。

  • マネージドEDRサービス for CrowdStrikeの概要

熊谷氏によると、ラックがクラウドストライクのFalconを対象にしている最大の理由は、ログ収集量の多さと詳細さにあるという。アラート内容の調査を行う際には、必要なログがなければ、必要な調査を行うことはできない。製品によってはアラート前後のログしか取得されていないものもあるが、Falconでは常時収集されており、OSのレジストリの操作なども記録されているため、ディスクフォレンジックと同等の調査が可能となる。また、Falconのリアルタイム性の高さは、調査開始までの待ち時間が発生しないというメリットにつながる。さらに、ログの検索機能も高いため、アナリストの負担も少なくなる。

クラウドストライクの高精度な脅威ハンティングサービスも、ラックがFalconを対象にしている理由の1つだ。熊谷氏は「マネージドEDRでは、アラートが調査開始のトリガーとなるため、検知精度の高さは重要です。機械的な分析では発見できない攻撃も、クラウドストライクのOverWatch チームの目によって発見されています」と説明する。

Falconという高機能なソリューションを導入するにあたって、なぜラックのサービスが必要となるのか。その意義について熊谷氏は次のように語る。 「Falconは検知精度の高さが特長だが、アラート内容の詳細までは通知されません。これをラックの経験豊富なエンジニアが調査することで、侵害内容や影響範囲を把握できます。ラックは日本企業へのサポート実績も多く、国内ならではの特色やニーズ、方針を理解したうえで、侵害内容や対策についてのレポートが出せることも強みです。過検知についても、詳細な分析結果を提出しています」(熊谷氏)

なお、ラックとクラウドストライクは密に情報交換を行っており、双方のサービス向上に努めているという。

関連リンク

● クラウドストライクについて:https://www.crowdstrike.jp/
● ラックについて:https://www.lac.co.jp/

[PR]提供:クラウドストライク