1周回って再び活況を呈し始めたエンドポイントセキュリティ:セキュリティソリューションマップ 2017年版(1)
最適なセキュリティ対策を講じるには、IT環境や攻撃手法の変化を理解し、最新のセキュリティ対策技術を知ることが欠かせない。本特集では、企業のシステム管理者、セキュリティ担当者の方々に向けて、ちまたにあふれる「セキュリティソリューション」の最新動向を紹介する。
2016年、サイバー攻撃が変わらず猛威を振るった。個人のみならず法人もターゲットとし、多くの企業が被害を受けた「ランサムウェア」や「不正送金マルウェア」による金銭的な被害はもちろん、標的型攻撃による情報漏えい事件も、件数こそ減ったものの後を絶たない。
こうした攻撃には、無差別にさまざまな企業・ユーザーにメールなどを送り付ける「ばらまき型」と呼ばれる手法もあれば、特定の組織や企業を狙う「標的型」もある。また、既に解析され、シグネチャ(定義ファイル)が作られている既知のマルウェア(ウイルス)が用いられることもあれば、既存のマルウェアに少し手を加えたものや、新たに作成された未知のマルウェアが用いられることもある。要するに、一概に「このようなパターンで被害を受ける」とは言い切れない状況だ。
ただ、全般的な傾向として、こうした攻撃の最初の目標は、企業内で使われるPCなどのいわゆる「エンドポイント」であることが多い。電子メールの添付ファイルを開かせたり、不正なファイルを用意したWebサイトに誘導したりするなど経路はさまざまだが、まずは企業ネットワークに接続されたエンドポイントに感染することが攻撃者の第一歩。その上で、社内システムに横展開して侵入範囲を広げ、重要なデータを見つけ出し、外部に持ち出そうと試みる。
こうした攻撃を防ぐ上で、「境界型」の防御だけでは心もとない。電子メールの添付ファイルなどはしばしば境界を通過してしまうからだ。しかもクラウドサービスや、スマートフォン、タブレット端末といったモバイルデバイスの普及に伴い、企業とインターネットとの境界そのものが曖昧になっている。そこで今活況を呈し始めているのが、「エンドポイントセキュリティ」の領域だ。
なお、本稿では昨今特に目立つエンドポイントセキュリティ関連の動向を中心に取り上げる。より網羅的にソリューションを把握したい方は、2016年に実施した同特集記事をぜひ参考にしてほしい。
関連記事:敵は内部にもあり! エンドポイントセキュリティの果たす役割
エンドポイントセキュリティソリューションの最新動向
2016年のこの特集でも強調したが、セキュリティ対策は「多層防御」の考え方にのっとって、境界部分で可能な限り攻撃を検出した上で、エンドポイントも保護していくという在り方が基本だ(関連記事)。
最近はこうした既存の対策に新たな技術を適用し、攻撃者が用いるマルウェアに対する防御力の強化を図る動きが見えてきている。同時に、未知のマルウェアが防御の網をすり抜けてくることもあるという前提に立ち、脅威をいち早く見つけ、対処を支援するような製品も登場している。
EDR(Endpoint Detection and Response)
2015年から2016年にかけて、エンドポイントセキュリティ市場では相次いで「EDR」(Endpoint Detection and Response)と呼ばれる製品が登場してきた。EDR製品は、「未知のマルウェアは、シグネチャや振る舞いに基づくアンチウイルス製品をすり抜けてエンドポイントに感染することもある」という前提に立ち、感染後の脅威の検出と早期の封じ込め、影響範囲や原因の調査、復旧作業を支援する役割を果たす。
例えば、外部からの通報によって、社内から外部の不正なサーバと通信を行っていることが明らかになったとする。その際、ログなどを基にマルウェアに感染した端末を特定し、ネットワークから遮断したとしても、それで一件落着とはならない。他にも同様にマルウェアに感染した端末が残されている恐れがあるからだ。
EDR製品は、そうした際に有効だ。エンドポイント上のさまざまな操作やシステムの挙動を監視・記録し、マルウェアの特徴(IoC:Indicator of Compromiseなどと呼ばれる)を基に、感染した恐れのある端末を網羅的に洗い出すことができる。また、必要に応じてネットワークから端末を遮断したり、不審なプロセスを停止させたりするといった操作をリモートからも行える。製品によっては、ランサムウェアのような、端末の操作に致命的な影響を及ぼすマルウェアに感染した場合に、元の状態に回復させる機能を持つものもある。インシデントレスポンス/CSIRT運用を支援する製品ともいえるだろう。
ベンダー名 | 主な製品名 | URL |
---|---|---|
Sentinel One | Sentinel One | https://sentinelone.com/next-generation-endpoint-protection-platform/ |
Tanium | Tanium Platform | http://www.macnica.net/tanium/tanium.html/ |
シマンテック | Advanced Threat Protection | https://www.symantec.com/ja/jp/advanced-threat-protection/ |
ソリトンシステムズ | InfoTrace Mark II | http://www.soliton.co.jp/products/category/product/pc-security/infotrace_mark2/ |
Dell Secure Works | Red Cloak | https://www.secureworks.jp/capabilities/managed-security/endpoint-security/red-cloak |
EDR製品の例 |
「機械学習」技術のエンドポイントへの適用
マルウェア感染を100%防ぐことは困難であり、すり抜けることもあるという前提は前提として、感染を防ぐための技術も進化している。
これまでエンドポイントセキュリティ製品は、シグネチャ方式の限界(ただしシグネチャに効果がないわけではない)を踏まえ、振る舞い検知や不正侵入検知、サンドボックスなど、さまざまな技術を統合してきた。そして2016年は、機械学習によってマルウェアの特徴を捉えるアルゴリズムを生成し、不正なファイルか否かの判定を下すセキュリティ製品が登場した。これを機に、既存のエンドポイントセキュリティ製品も相次いで、最新バージョンに機械学習によるマルウェア検出機能を追加してきており、機械学習エンジンそのものや、学習の基となるデータの質・量などでしのぎを削りつつある。
ベンダー名 | 主な製品名 | URL |
---|---|---|
エフセキュア | F-Secure Client Security | https://www.f-secure.com/ja_JP/web/business_jp/products/client-security |
FFRI | yarai | http://www.ffri.jp/products/yarai/ |
シマンテック | Symantec Endpoint Protection | http://www.symantec.com/ja/jp/endpoint-protection/ |
トレンドマイクロ | ウイルスバスター コーポレートエディション | http://www.trendmicro.co.jp/jp/business/products/corp/index.html?cm_re=products-_-endpoint-_-corp |
マカフィー | McAfee VirusScan Enterprise | http://www.mcafee.com/jp/products/virusscan-enterprise.aspx |
パロアルトネットワークス | Traps | https://www.paloaltonetworks.jp/products/endpoint-security.html |
機械学習技術を搭載している製品の例 |
攻撃者を「だます」テクノロジの登場
厳密な意味でのエンドポイントセキュリティとは言い難いかもしれないが、攻撃者に偽の情報を与えて「だます」テクノロジー(Deceptionなどと呼ばれる)も登場している。システム内に重要そうなサーバやクライアントに見せ掛けた偽の環境を用意したり、管理者アカウント情報に見せ掛けた偽の情報をクライアント内に仕込んだりして攻撃者をおびき寄せ、その手口に関する情報を収集しつつ、実被害を防ぐというものだ。
ベンダー名 | 主な製品名 | URL |
---|---|---|
Attivo Networks | Attivo | http://www.macnica.net/attivo/ |
illusive networks | Deception Everywhere | https://www.illusivenetworks.com/product |
「だまし」の技術を搭載している製品の例 |
忘れてはいけない資産管理/脆弱(ぜいじゃく)性管理
2016年の特集でも取り上げたが、資産管理/脆弱(ぜいじゃく)性管理の重要性も引き続き叫ばれている。「OSやアプリケーションの利用状況を把握し、常に最新の状態に保つこと」は、変わらないセキュリティ対策の大原則だ。
だが、当然ながらこうした作業を手で行うのは現実的でない。そこでこうした部分を支援するツールとして、各端末にインストールされているソフトウェアのバージョンを把握し、パッチ適用状況を管理し、必要に応じてパッケージを配布する脆弱性管理ソフトウェアが提供されている。
ベンダー名 | 主な製品名 | URL |
---|---|---|
インターコム | MaLion | http://www.intercom.co.jp/malion/ |
エムオーテックス | LanScope Cat | http://www.lanscope.jp/cat/ |
クオリティソフト | QND | http://www.quality.co.jp/products/QND/ |
Sky | SKYSEA Client View | http://www.skyseaclientview.net |
ハンモック | AssetView | http://www.hammock.jp/assetview/ |
Kaspersky | Kaspersky Systems Management | http://www.kaspersky.co.jp/business-security/systems-management |
脆弱性対策/資産管理ツールの例 |
Copyright © ITmedia, Inc. All Rights Reserved.