ゼロトラスト型のエンドポイント対策とEDRを組み合わせ、現場に即した「ゼロカロリーのセキュリティ運用」とは：EDRを導入したものの、臨戦態勢から解放されない担当者の実態

「脅威の侵入を100％防ぐことは困難」という前提に立ち、EDRを導入する企業が増えてきたが、今度は「とても運用し切れない」という課題が浮上している。この課題の解決策として、ゼロトラスト型のエンドポイントセキュリティ製品と独自レポートを組み合わせる方法がある。果たして、どのぐらい有効なのだろうか。

[PR／＠IT]

PR

既存のセキュリティ対策ではもう限界、次なる一手は？

ディーアールエス
セキュリティ営業部長
大友崇弘氏

　昨今、サイバー攻撃は巧妙さの度合いを増すばかりだ。企業がアンチウイルス製品の導入をはじめとするさまざまな対策を講じても、Windows OSが備える正規の機能を悪用するなど、既存の対策では検知が困難な手法を用いて侵入してくる。この結果、業務に不可欠なシステムを暗号化して企業運営や工場の操業を妨げたり、重要な情報を盗み出して「金銭を支払わなければ暴露する」と脅したりする攻撃が、国内でも相次いで発生している状況だ。

　なぜこのような状況に陥っているのだろうか。大きな理由として、既存の対策の限界が挙げられる。「エンドポイントセキュリティ対策では、過去の攻撃実績を基にパターンを見いだすアーキテクチャが多く採用されていますが、それで検知できる既知の攻撃はマルウェア全体の4％にすぎず、残る96％は検知をすり抜けてしまう未知の攻撃です。4％の中でいくら検知率が高いことを競ってもあまり意味はありません」と指摘するのは、ディーアールエス セキュリティ営業部長の大友崇弘氏だ。

　こうした問題意識を背景に、特に各方面への報告義務や説明責任を負う企業の間で採用が広がっているのが、EDR（Endpoint Detection and Response）だ。「既存のエンドポイントセキュリティ製品では侵入を100％防ぐことは困難」という前提に立ち、脅威をいち早く検出して経路や影響範囲を特定して現在の活動状況を可視化し、対応に必要な情報を管理者に与えてくれる後方支援的な製品として、必要不可欠な対策と捉えられ始めている。

　だが、これにも課題はある。「EDRは運用負荷が大きく、なかなか使いこなせない」という声があちこちの企業から上がっているのだ。

EDRを導入したものの、臨戦態勢から解放されない担当者

Blue Planet-works
プロダクト＆テクニカルサービス本部
Director, Security Advisor
鴫原祐輔氏

　EDRは、導入した端末内で脅威の予兆を検知するとアラートを発し、さらなる調査や対応のトリガーを提供してくれる。つまり、アラートを受け取った担当者は、それを受けて何らかの対応をしたり、判断を下したりする必要に迫られる。しかも、アラートはいつ飛んでくるのか分からない。24時間365日、昼夜を問わずアラートに備え、対応できる体制を整えられるのは、人員や予算に余裕のある大企業に限られるだろう。

　企業の代わりにアラートを受け取り、一次解析を行って、深刻な事態につながりそうなものだけをエスカレーションするSOC（Security Operation Center）サービスを組み合わせる企業もある。ただ、多額の費用を投じてそうしたサービスを組み合わせても、判断が必要となる連絡はやはりゼロにはならず、結局は臨戦態勢を解除できないままだ。

　つまり、EDR導入にはコストはもちろん、会社の仕組みや人材確保といった面でもさまざまな変革、整備が求められる。組織としてその壁を乗り越えられず、せっかく導入したEDRを使いこなせていないことが大きな課題となっているのが現状だ。

　EDRに関する大きな誤解について、Blue Planet-worksの鴫原祐輔氏（プロダクト＆テクニカルサービス本部 Director, Security Advisor）は次のように指摘する。

　「EDRは監視対象で何が起きているかを可視化するツールですが、市場では『サイバー攻撃から情報資産を守ってくれるもの』と誤認されているケースも非常に多いようです。ここを間違えた結果、EDRを導入しても期待した効果が得られないといったことも起こっています」

　こうした残念な事態を防ぐには、新しいアプローチが必要だ。そうした問題意識から生まれたのが、ディーアールエスの「Enhanced EDR by AppGuard」（以下、EEA）になる。

「AppGuard」と組み合わせた“ゼロカロリー”なEDR運用

　EEAは幾つか重要なコンポーネントから構成されている。その一つが、Blue Planet-worksが開発した「AppGuard」だ。エンドポイントセキュリティ製品のAppGuardは、OS上で実行されるアプリケーションの起動を制御するという根本的な対策でマルウェアの行動を阻止する。

　EEAは、このAppGuardとEDRを組み合わせ、さらにディーアールエスによる分析レポート「グローバルマルウェア分析レポート」（以下、GMAR《ジーマー》）を提供するセキュリティサービスだ。担当者が24時間365日の臨戦態勢を取ることなく、防御と分析を両立できることが特徴で、同社はこれを「“ゼロカロリー”なEDR運用」と表現している。

Enhanced EDR by AppGuard - Carbon Black Editionの仕組み（提供：ディーアールエス）《クリックで拡大》

　既存のエンドポイントセキュリティ製品の大半は、過去のサンプルから抽出した情報に基づいて「悪意あるもの」を見つけ出すアプローチに基づいている。このため、昨今猛威を振るうランサムウェアやファイルレス攻撃のように、未知の攻撃や正規のツールを悪用した攻撃には、なかなか対処できない。

　対してAppGuardは、実行主体がたとえ正規のツールであろうと何であろうと、システムに害を与える不正な行為をしようとした時点でその動きを制御し、ストップをかける。マルウェアのダウンロードや感染、それを用いた不正アクセスといった「あってはならない動き」を制御し、たとえ外部から攻撃を受けたとしても、攻撃が成立しない状態を作り出す仕組みだ。

AppGuardが提供する2つの基本制御（提供：Blue Planet-works）《クリックで拡大》

　「現実世界における感染症対策でも、罹患（りかん）してからどうするかを考えることも重要ですが、いかに感染しない状態を作っていくかが求められています。セキュリティの世界でも同様に、ビジネスを止めないためにいかに衛生状態を保ち、予防するかが重要であり、AppGuardはそれを実現します」（鴫原氏）

　AppGuardは、全てを信用せず、確認し、必要なものだけを許可して不必要な権限は与えない「ゼロトラスト」の考え方をエンドポイントで実現するツールでもある。ディーアールエスもこのAppGuardのアプローチを高く評価してきた。

　「ディーアールエスがAppGuardに出会ってから4年ほどたちますが、その間、自分たちでも防御力を検証してきました。その経験から、AppGuardには絶対的な信頼を寄せています」（大友氏）

　AppGuardで不正プログラムの起動を制御すれば、それ以降の攻撃プロセスは成立しないため、被害は拡散しない。つまり、担当者が即時対応する必要がなくなることを意味する。これまでのように、夜中だろうと週末だろうとアラートが上がったら内容を精査し、端末を特定してネットワークから切り離す……といった作業に追われ、夜中でも休日でもプレッシャーを受け続ける生活からは解放されることになる。

　「AppGuardを組み合わせるからこそ、EEAはサイバー攻撃被害と並んで企業のセキュリティ対策上の課題でもあった運用負荷の増大を抑えつつ、詳細な調査と恒久的な対応、上層部や社外への説明といったEDRがもたらす価値を最大化できます」（大友氏）

　ただ、AppGuardは防御に徹した機能を提供する一方、ログの解析や攻撃の検知、駆除といった機能は苦手だ。「OSを破壊するような行為は徹底的に防御をする一方、その後のトレースは苦手です。そこにEDRを組み合わせることで履歴を追い、根本的な対策を行う際の参考にすることができます」（大友氏）。併用することで互いに補い合い、より良いセキュリティ運用ができるというわけだ。

　「AppGuardによってマルウェアからの被害を未然に防げるので、担当者は緊急対応から解放され、臨戦態勢を解くことができます。AppGuardが被害を食い止めているため実害には及ばないので、その間にEDRを用いてそのマルウェアがどこから侵入し、どこまで拡散しているか、どのような状態にあるのかを調査し、落ち着いて恒久対策に専念できます」（大友氏）

　AppGuardとEDRの2つをつなぐのが、ディーアールエスが提供する独自のGMARだ。

　ディーアールエスが先般、独自に開発したGMARでは、AppGuardが防御した不正なプログラムの情報を世界的なマルウェア情報データベース「VirusTotal」に照会して、マルウェアか否かの判断を下す。そして、その結果を当該プログラムのハッシュ値とともにレポートとして顧客に提示。後は、システム管理者が該当のハッシュ値を基にEDRにて検索すれば、そのプログラムがどこから侵入し、どこに潜伏して、どのような活動状態にあるのかを調査して根本的な対策につなげることができる。

分析レポート「グローバルマルウェア分析レポート」（提供：ディーアールエス）《クリックで全体表示》

運用現場の実務に即したエンドポイントセキュリティを実現

　「EDRを導入しても、上がってきたアラートを精査し、脅威インテリジェンスと突き合わせて……といった手間が必要で、とても運用し切れない」という声があちこちから上がっている。だが、「EEAは、マルウェア被害を未然に防止する価値と、EDR運用のリソースやコストを改善する価値の2つを同時に提供します」と大友氏は説明する。

　ディーアールエスでは現在、「VMware Carbon Black」を組み合わせる形でEEAを展開し、今後は他のEDR製品にもサポートを広げていく計画だ。このサービスに関する詳細を、操作画面や製品デモを交えながら紹介する、製品メーカー含め3社共催セミナー（DRSセミナー情報ページに移動）も予定している。

　既に従来型アンチウイルス製品では昨今のサイバー攻撃を防げないと不安を感じ、第1段階としてAppGuardを導入して防御力強化を実現した後に、第2段階としてEDRとGMARを組み合わせ、EDR運用の課題を解決し、コストを削減しながら、分析から対策検討までを自社完結しようと考えている企業もあるという。

　「私は長いインフラ運用の経験から、エンドポイントセキュリティ対策も、運用現場におけるシステム運用管理者の実務に即すべきと考えています」（大友氏）。その思想から生まれたのが、GMARの開発とEEAのパッケージになる。

　ディーアールエスはEEAを通して、攻撃の被害をAppGuardで食い止めつつ、そこで生まれた猶予を生かしてEDRで侵入経路や活動状況をトラッキングし、必要な対策を検討し、経営層や取引先、社会に対する説明責任を果たせる環境を実現していく。そしてこの取り組みは、ゼロトラストセキュリティにもつながっていくという。