伊藤忠テクノソリューションズ(以下、CTC)は2017年2月24日にセミナー「エンドポイントリスクを考慮した新しいセキュリティ戦略」を開催した。セミナーに合わせて、米SentinelOneのCEO、CTOが来日した。
伊藤忠テクノソリューションズ(以下、CTC)は2017年2月24日、「エンドポイントリスクを考慮した新しいセキュリティ戦略」と題したセミナーを開催し、近年頻発するサイバー攻撃に関する最新動向を解説するとともに、同社が新たに拡充したエンドポイントセキュリティソリューション「SentinelOne」を紹介した。SentinelOneは、過去に米Netflixや米Timeに一斉導入された実績もある製品だ。
サイバー犯罪者が企業ネットワークに侵入するための足掛かりとなるのが、PCやサーバなどの「エンドポイント」だ。攻撃手法は、マルウェアをメールやWebを通じて送り込む「ファイル/プログラム系」、システムの脆弱(ぜいじゃく)性を利用して任意のコードを遠隔実行する「エクスプロイト系」、さらには攻撃対象のメモリ領域に不正なプログラムを常駐させる「メモリベース系」などと多様化しているが、エンドポイントが主なターゲットとなっていることに変わりはない。
しかし、こうした多様な攻撃を、従来のアンチウイルス製品で防ぎ切ることは難しいというのが、現在では1つの“常識”になっている。従来型のアンチウイルス製品が不正の検知に用いる「シグネチャ」は、不正なファイルの特徴を定義したリストであるため、ファイルの内容を少しでも変更されたり、そもそもファイルを用いない「エクスプロイト系」や「メモリベース系」の手法を用いられたりしてしまうと、太刀打ちできないからだ。
そんな現状に対し、機械学習などの技術を駆使して多様な攻撃を予防、検知、駆除しようと試みているのが米SentinelOneだ。
米SentinelOneは、2013年1月に設立された米国企業。CTCセミナーに合わせて来日した同社の創業者でありCEOのトーマー・ウェインガーデン氏と、CTO(最高技術責任者)のアルモグ・コーエン氏は「16歳のころからのハッカー仲間」(ウェインガーデン氏)だそうだ。他にも同社には、マカフィーやチェック・ポイント・テクノロジーズ、イスラエル国防軍などで実績を積んだサイバーセキュリティの専門家が在籍している。「攻防両面の豊富なナレッジがわれわれの強み」とウェインガーデン氏は語る。
同社のエンドポイントセキュリティ製品「SentinelOne Endpoint Protection Platform」は、脅威を「実行前」「実行中」「実行後」の3レイヤーで断ち切る。ファイル型でない攻撃の検知や、ランサムウェアなどによって改変されたファイルの復元(ロールバック)が可能である点に特徴がある(ロールバック機能は現状Windowsのみで利用可能。Mac OS、Linuxは順次対応予定)。
1つ目のレイヤーでは、既知および新規マルウェアが侵入を試みたとき、ホワイトリストやブラックリストの他、機械学習を活用した同社独自のDFI(Deep File Inpectino)と呼ばれるエンジンを組み合わせてふるいにかける。
これをすり抜ける攻撃には、2つ目のレイヤーである「動的ふるまいエンジン」で対処する。ここでは、システムコールやI/Oトランザクション、メモリなど監視しながら、不正なふるまいや異常な挙動を検知、プロセスの強制終了や感染ファイルの隔離などを実行して、感染端末をネットワークから速やかに遮断する。ファイル型でない攻撃は、ここで検知する。
そして3つ目のレイヤーでは、ネットワークやシステム上でのフォレンジックを通じて攻撃者の活動を追跡し、「Attack Storyline」(攻撃の流れ)を可視化する。これにより、攻撃の影響調査が可能になる。
「マルウェアの『特徴』と『ふるまい』を組み合わせて解析し、攻撃の流れを俯瞰することで、統計的モデルに基づく予測的な防御を実現できる。また、エンドポイントに導入するエージェントには検知アルゴリズムが組み込まれており、『シグネチャのアップデート』が不要である(オフラインでも脅威を検出できる)ことも特徴だ」(コーエン氏)。
なお今後についてウェインガーデン氏は、「保護対象のエンドポイントが多様化し、企業が守るべきネットワークの境界も広がるなど、サイバーセキュリティをめぐる情勢は激しく変化している。IoTはもちろん、5年後にはSDN(Software Defined Network)への対応が問われているかもしれない。どのような状況であっても、私たちは時流を見極めながら柔軟に進化したい」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.