防御しきれなかったサイバー攻撃をより迅速に検出する方法

「サイバー攻撃を100％防ぐことは不可能」であるという認識は、すでに世界中に浸透しています。堅牢なセキュリティ対策を講じているであろう多数の企業が情報漏えい事件などを起こしていることからも、それはやはり事実なのではないでしょうか。

そのため、セキュリティに関して悲観的な考えを持つ方もいらっしゃるかもしれません。
しかし、だからといってセキュリティ対策を疎かにしてしまうとそれこそサイバー犯罪者の思うつぼです。100％は無い中でも限りなくそれに近い精度でサイバー攻撃を防げるようなセキュリティ対策が欠かせません。

その第一歩として取り組んでいただきたいことの一つが「サイバー攻撃の効果的かつ迅速な検出」です。ユーザーが使用する端末や社内ネットワーク、提供中のWebサービスやそれらを管理するサーバで「今」何が起きているのか？
これをリアルタイムに把握することが、企業のセキュリティ対策を非常に堅牢なものとする第一歩となります。

今回は、その方法についてご紹介しましょう。

世界のサイバー攻撃事情

2019年の世界におけるサイバー攻撃事情を理解するために重要なキーワードは「標的型攻撃」「ランサムウェア」「AI(人工知能)」「IoT(モノのインターネット化）」「ブロックチェーン」の5つです。

標的型攻撃

標的型攻撃とは特定のターゲットに絞って仕掛けられるサイバー攻撃であり、2014年頃から世界で散見されるようになりました。国内では2015年に日本年金機構での大規模な個人情報流出事件が発生し、その原因となったのが標的型攻撃だったことで一気に危険視されるようになります。

標的型攻撃の脅威は今も健在であり、多くの企業が被害に遭っています。

ランサムウェア

ランサムウェアは「身代金要求型マルウェア」とも呼ばれ、感染した端末をロックして解除キーと交換条件で金銭を要求するというマルウェアです。2017年5月には「WannaCry」というランサムウェアが世界中で流行し、40億ドル(約4,400億円)もの被害を出したとされています。
（参照：https://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/）

このランサムウェアはこの先も流行する見通しで、WannaCryを越えるランサムウェアの誕生は時間の問題だという見解もあります。

AI(人工知能)

昨今、様々な分野においてAIが目覚ましい進化を遂げています。2017年にはGoogle傘下のDeep Mind社が開発した囲碁AI「Alpha GO」が世界最強の棋士を破るなど、何かと話題の多い研究分野です。

ただし、AIに対するセキュリティ技術はまだ発展途上であり、AIへのサイバー攻撃が多発することで様々なところに影響を及ぼす可能性があります。さらに「サイバー攻撃のためのAI」というのも開発されつつあるため、サイバー犯罪の高度化が恐れられています。

IoT(モノのインターネット化)

IoTとはあらゆるものをインターネットと接続し、生活の利便性を高めようという取り組みおよびそれを実現するためのデバイスです。最近ではウェアラブルデバイスやスマート家電など様々なIoTデバイスが登場しています。

IoTによって生活の利便が増す反面、世界中で扱われる個人データが多くなることでサイバー攻撃のさらなる悪化が懸念されています。すでにIoTを対象にしたマルウェア感染はあじまっており、今後のセキュリティ技術の進展に期待が集まっています。

ブロックチェーン

ブロックチェーンとは仮想通貨の「ビットコイン」の中核を成す技術です。従来、システム上のトランザクション(一連の処理)は集中管理されたサーバに記録されますが、ブロックチェーンでは複数のコンピューターに分散してユーザー同士で記録を管理します。そうすることでシステム障害に強くなり、集中管理による多くのリスクを軽減できるという利点があります。

ただし耐改ざん性が高いとされているブロックチェーンにも「51％問題」という重大な課題があります。これは、悪質な意思を持つユーザーが全体の51％以上の計算能力を掌握することで、ブロックチェーンをある程度コントロールできてしまうという問題です。

このように、世界のサイバー攻撃事情は昨年とはまた違ったトレンドが登場しており、情報セキュリティ業界は深刻さをかかえたままになっています。しかし、サイバー攻撃の変化に応じてセキュリティ技術も進化しています。そのため、常に最新のセキュリティ対策を施すことが重要なのです。

サイバー攻撃の検出を強化する「EDR」

「EDR (Endpoint Detection and Response)」とは、次世代のエンドポイントセキュリティとして注目されるソリューションの一つです。EDRの特徴は「監視」「検出」「対応」と3つあります。

監視

まずは端末(エンドポイント)の「監視」。従業員が使用する端末に対してサイバー攻撃が実行されていないかを監視します。
具体的な仕組みは製品によって異なる場合もありますが、多くは端末にエージェントをインストールし、このエージェントが端末のアクティビティ情報を収集します。この情報に対して、端末上もしくは管理サーバ、管理クラウド上での解析によりサイバー攻撃被害が発生していないかの監視を行います。

検出

次にサイバー攻撃の「検出」です。収集している情報から不審な動きがあれば、EDRはそれを検出して管理者に通知します。
端末上での解析を行う製品では端末負荷を下げるために大掛かりな解析エンジンを実装することは難しく、ほとんどが効果的にサイバー攻撃を検出するための検知ルールやサイバー攻撃特有の通常の端末動作とは違った独特の動きを検出するパターンファイルを保持します。そのパターンマッチングを行うことでサイバー攻撃を検出します。管理サーバや管理クラウド上での解析の場合には、さらに解析エンジンを用いたより高度な解析を行う製品もあります。

対応

最後にサイバー攻撃への「対応」です。サイバー攻撃が発生してから被害を最小限に留めるためにはスピードが命であり、管理者が通知を受け取ってから手動で対処していては遅すぎます。
これもEDR製品ごとの機能差はありますが、ネットワークを遮断して端末を隔離したり、収集しているログから社内の全端末への調査を支援する検索機能や可視化機能を提供したり、よりリアルタイムの端末の状況の調査や、さらに復旧のための設定変更まで可能なリモート操作機能も実装されているものもあります。

これがサイバー攻撃をリアルタイムに可視化し、その後の対応まで行うEDRというエンドポイントセキュリティです。

EDR以外にもサイバー攻撃を可視化するためのソリューションはありますが、今最も注目されているのはやはりEDRでしょう。EDRは「サイバー攻撃を未然に防ぐ」のではなく、サイバー攻撃を受ける前提で「事後対応をスピーディにする」ことで被害を抑えます。情報セキュリティに100％は無い以上、時代に即した現実的なセキュリティソリューションと言えるでしょう。

Carbon Black(カーボン・ブラック)社のEDR製品

世界的なEDRベンダーとして知られるCarbon Black社は、企業のセキュリティ環境に応じて様々なソリューションを提供しています。その中でセキュリティ専門家でなくとも扱えるEDR製品が「CB Defense」です。

「CB Defense」はEDRに加えて次世代アンチウイルス (NGAV) を統合したセキュリティソリューションであり、クラウドベースで提供されています。最短15分でセキュリティを展開することができるので、緊急のセキュリティニーズに対応できるのが特長です。

当社ネットワークバリューコンポネンツはCarbon Black社製品を扱うセキュリティ企業として、日本国内で唯一「Emerging Partner of the Year 2017」を受賞しています。サイバー攻撃を可視化し、いち早く問題を検出して対応できる、堅牢なエンドポイントセキュリティを講じたいというニーズをお持ちであれば、ぜひお気軽にご相談ください。