EDR導入はハードルが高い？ 最適なコストで始められるエンドポイントセキュリティ強化とは：意外と知られていない次世代アンチウイルス製品の実力

脅威の巧妙化、そしてクラウドをはじめとするIT環境の変化に伴って、既存のセキュリティ対策だけでは限界があると感じるセキュリティ担当者は少なくないだろう。かといって、検知／対応までを支援するEDRを導入するには、コストも、また人的リソースの面でもハードルが高い。その間を補う、手の届きやすいソリューションとは。

[PR／＠IT]

PR

サイバー脅威の巧妙化とIT環境の変化で露呈した、従来のセキュリティ対策の限界

　これまでのセキュリティ対策ではどうもうまくいかない――うすうすと、あるいははっきりとそう感じているIT管理者は少なくないだろう。

　懸念はエンドポイントの保護だ。かつての「ウイルス」とは異なり、最近のサイバー攻撃の多くは、Windowsの標準機能を利用してウイルス対策ソフトウェアの検知をかいくぐる「ファイルレス攻撃」と呼ばれるタイプで占められている。それでなくとも、シグネチャベースでは次々登場してくる新種、亜種のマルウェアは検知できず、対応までに数日単位の時間がかかる。そうこうしているうちに侵入した脅威は横展開を広げ、重要なサーバに侵入し、個人情報や機密情報を盗み出すかもしれない。

マクニカネットワークス 第1技術統括部第2技術部第1課 大髙壮平氏

　もちろん、対策ソフトウェアの中にはシグネチャ以外の検知方式を実装し始めたものもあるが、「誤検知が増えたり、端末動作が重くなって利用者のストレスになったりで、運用に耐えないことが多かった」とマクニカネットワークスの大髙壮平氏は説明した。

　既存のセキュリティ対策がうまくいかないもう一つの理由は、IT環境の変化だ。ファイアウォールやIDS／IPS（不正侵入検知システム／不正侵入防御システム）といった境界型防御によって、社内システムの重要なデータを外部からのさまざまな攻撃から守るアプローチは、クラウドサービスの普及に伴って有効性を失いつつある。HTTPS化の広がりや、持ち出し端末の増加も、境界型での検出を難しくしている。このようにして、エンドポイントでの対策の比重が高まりつつある。

　こうしたさまざまな限界を踏まえ、「できる限りの防御を講じる」のと同時に、「それでもなお、脅威はすり抜けてくる可能性がある」ことを前提にして、検知／対応を行うアプローチが推奨されつつある。米国立標準技術研究所（NIST）のサイバーセキュリティフレームワークでも示されている通り、「特定」「防御」だけでなく、「検知」「対応」「復旧」という、合わせて5つのステップ全体にまたがって検討していくことが、今後の対策に求められている。

限りあるリソースやコストの中で実現する最適なエンドポイントセキュリティとは

　では、どのように5つのステップを実装していけばよいのだろうか。どちらかというと防御に偏っていた従来のセキュリティソリューションに対し、文字通り、検知や対応のプロセスにフォーカスするのが「EDR」（Endpoint Detection and Response）だ。端末の挙動を監視して疑わしい兆候を検知し、必要に応じてネットワークからの切断といった対応を行う。加えて、脅威がどのような経路から侵入し、どこまで拡散したのかを明らかにし、被害拡大を防止する。

マクニカネットワークス 第2営業統括部第3営業部第3課 大坪紗耶氏

　これでめでたしめでたし、と言いたいところだが、残念ながらそうはいかない。「既存のアンチウイルスソフトウェアに限界を感じ、EDRに移行しようと考えても、コストが何倍にも膨らむため踏み出せずにいる企業は少なくない」と、マクニカネットワークスの大坪紗耶氏は指摘する。

　ここでいうコストは、導入費用だけを指すわけではない。インシデント対応の専門組織「CSIRT（Computer Security Incident Response Team）」を組織する企業が少しずつ増えるなど、セキュリティ対応体制の整備が進んでいるとはいえ、EDRのようなソリューションを使いこなせる知識やスキルを備えたエンジニアが不足している。特に中堅中小規模の企業ではセキュリティ人材不足が著しい上、IT部門に任された仕事は他にも満載で、そこまで高度なソリューションにはなかなか手が出せない。

　これまでの対策では限界だが、いきなりEDRを導入するのはハードルが高い――そんな悩みを抱える企業に対し、マクニカネットワークスではCrowdStrikeの次世代アンチウイルス（NGAV）製品「Falcon Prevent」を提供している。パターンマッチングに頼らず、振る舞いや機械学習ベースでマルウェアをブロックする「防御」の機能に加え、脅威がなぜ感染したか、どこから入ってきたのかという、対応のために必要十分な情報を把握できることが特長だ。

アクティビティー可視化機能を兼ね備えた次世代アンチウイルス「Falcon Prevent」

　CrowdStrike Falconは、米CrowdStrikeが開発したソリューションだ。単一の軽量なエージェントを介してエンドポイントの操作ログやプロセス稼働状況などの細かな情報を収集し、「Falcon Platform」という共通のプラットフォームを介して管理する。Falcon Prevent以外に、リアルタイムな検知／調査／対応を行う「Falcon Insight」、端末にインストールされているアプリケーション一覧を可視化する「Falcon Discover」など複数のモジュールがある。

　Falcon Preventは、いわゆる次世代アンチウイルス（NGAV）としての機能を提供する。ファイルベースの攻撃だけではなく、振る舞いに基づいてファイルレス攻撃なども検知、ブロックできる他、メモリベースのブロックによって、脆弱（ぜいじゃく）性を狙う攻撃から端末を保護する。

　「さらにFalcon Preventの特長の一つは、なぜその脅威が侵入したか、どのようなファイルが実行されて、どこと通信しているのかといった『活動経緯』を把握できることだ」（大髙氏）

　しばしば脅威の手掛かりとして示されるファイル名やハッシュ値だけにとどまらず、どのユーザーがマルウェアを実行し、その結果、どのプロセスが起動してどのようなファイルが書き込まれ、どこと通信しているかといった一連のつながりを、グラフィカルに分かりやすく表示する。インシデント検知後の初動対応に必要十分な情報が一目で分かる仕組みだ。「これまでは、どこから侵入してきたか、特定が難しく、結局（OSなどを）再インストールすることで対処していたが、Falcon Preventならば対処が格段に楽になる」（大坪氏）

Falcon Preventの利用画面

　オプションを追加すれば、さらに感染端末のネットワークからの切断といった簡単なレスポンス作業まで行える。つまり、防御と検知、対応のプロセスをFalcon PreventというNGAV製品だけでまかなえるようになっているのだ。「ここまでできるなら、あたかもEDR製品のようだ」と思う方もいるかもしれない。

　もし、マルウェアに関連するログだけでなく、他の全ての“正常な”ログも含めて分析／検索したり、フォレンジックを行って詳細に調査したりしたいという場合には、EDRとしてのフル機能を備えたFalcon Insightが用意されている。脅威ハンティングサービスも利用できる。やりたいことと自社の運用体制やスキルに合わせ、無理なく導入できるだろう。

　CrowdStrike Falconはクラウドベースで提供されており、容易に導入できることも特長だ。働き方改革の一環で、リモートワークや在宅勤務を選択する従業員も増え、エンドポイントセキュリティの重要性がますます高まっている。「Falcon Preventならば、管理コンソールを介してリモートから全てを把握でき、すぐに対処できる」と大坪氏は述べた。

充実した手厚いサポートで海外製品でも安心して利用可能

　マクニカネットワークスでは、CrowdStrike日本法人の設立前から国内総代理店としてCrowdStrike Falconを販売し、製品知識や運用に関するさまざまなノウハウを蓄積してきた。

　導入前のコンサルティングから導入時のトレーニング、そして導入後のサポートに至るまで支援しており、さらに日本語マニュアルを用意する他、CrowdStrike Falconのユーザーインタフェースを日本語化する独自のツールを提供し、顧客から評価されている。

　また、定期的にユーザー会を開催し、セキュリティ運用や今後の対策に関して、同じ課題を抱いているセキュリティ担当者が横のつながりを持ち、互いにコミュニケーションができる場を提供している。

◇

　今、攻撃者は対象を問わずにサイバー攻撃を仕掛けてくる。「自社には機密情報がないから」「そんなに大手ではないから」と、狙われないと思っている企業でも、サプライチェーン攻撃の足掛かりにするため、あるいはランサムウェアを仕掛けて金銭を盗み取るためのターゲットになる恐れは十分にある。

　どんな企業でも、狙われる理由は十分にある。既存のセキュリティ対策からFalcon Preventを活用し、「一歩踏み出したセキュリティ運用」に取り組んでみてはどうだろうか。

資料ダウンロード

5年で限界を迎えるセキュリティ製品、現代のエンドポイントに必要な対策は？

サイバー空間における攻撃・防御の手法は大きく変化し、既存のアンチウイルス製品では端末を守り切るのが難しい。企業のネットワーク環境や攻撃者の狙い・手法などの変化に対応し続けられる、今、そして未来でも必要な対策とは何か。