攻撃をなかったことにするEPP／EDRの新機能「Activity Monitor」とは？ ウィズセキュア発表：振る舞い検知とサンドボックスのデメリットとは

ウィズセキュアは2023年2月22日、同社のEPP／EDRに新機能「Activity Monitor」を追加すると発表した。これまでの振る舞い検知とサンドボックスのデメリットをカバーし、ユーザーエクスペリエンスを犠牲にしない機能だという。

[宮田健，＠IT]

　ウィズセキュア（旧エフセキュア）は2023年2月22日、同社のEPP（Endpoint Protection Platform）／EDR（Endpoint Detection and Response）に新機能「Activity Monitor」を追加することを発表した。これまでの振る舞い検知とサンドボックスのデメリットをカバーし、ユーザーエクスペリエンスを犠牲にせずにランサムウェア／マルウェアによる被害をロールバックできる仕組みを提供する。

振る舞い検知とサンドボックスのデメリットとは

WithSecureのブロデリック・アキリーノ氏

　Activity Monitor機能は同日に行われた、ウィズセキュア2023年事業説明会で、WithSecureでLead Researcherを務めるブロデリック・アキリーノ氏によって披露された。

　アキリーノ氏によると、これまでもWithSecureのEPP／EDRには、悪意ある挙動を監視してブロックする機能「DeepGuard」や、疑わしいアプリケーションを隔離空間で実行して解析するサンドボックス機能「SandViper」があったという。しかし「マルウェアの個別の挙動は悪意を判断しづらく、気が付いたときには既にダメージを受けていることが多い」（アキリーノ氏）。

　また、マルウェアの挙動を活動の早い段階で検知しようとすると、誤検知につながってしまうことなどを挙げ、「既存の技術にも課題がある。サンドボックスに関しては検査のために時間がかかることから、メールの添付ファイルの解析には適しているが、エンドポイントでの保護には適さない」（アキリーノ氏）とした。

　今回発表されたActivity Monitorについてアキリーノ氏は「振る舞い検知とサンドボックスの、両方のメリットを得られる機能だ」と話す。アプリケーションの挙動を非同期で解析し、悪意あるアプリケーションの場合は関連するファイルのバックアップを自動で取得し、問題が判明したときにロールバックする。これによって、「サンドボックスと同様の安全性を、ユーザーエクスペリエンスを犠牲にせずに実現できる」と述べる。

ランサムウェアがサーバのファイルを暗号化したときに、何をしてくれるのか

　アキリーノ氏はデモで、Activity Monitorを活用した最初の機能として、ファイルサーバを持つオフィスで利用されることを想定した「Server Share Protection」も紹介した。これは「Elements Endpoint Protection for Servers」機能の一部として提供される。

　デモでは、保護されていないPCにランサムウェアが感染し、ファイルサーバ上にあるファイルを次々と暗号化し、ランサムノート（身代金の要求といった脅迫の通知）を表示するようなシナリオを用意した。このような場合でも、Server Share Protectionはファイルサーバ上のドキュメントをバックアップしており、ランサムウェアによって暗号化されたとしても、この挙動をロールバックし、ファイルを暗号化前の状態に戻す。感染元となったPCはファイルサーバには接続できなくなり、隔離することができる。

　今後はこの機能をエンドポイントでも活用できる「Activity Monitor for Applications」もリリース予定だ。

デモでは共有ファイルサーバにPCが接続される一般的なオフィスを想定。そこにランサムウェアに感染したPCが接続され、ファイルサーバが暗号化されるというシナリオだ

Activity Monitor機能を活用したServer Share Protectionによって保護されたファイルサーバにおいて、図の左側の感染PCが次々とファイルを暗号化するが、その動きを検知し、あらかじめ取得したバックアップを自動で戻す

ウィズセキュアの狙いは「アウトカムベースのセキュリティ」を浸透させること

　事業説明会では、WithSecureの日本担当リージョナルバイスプレジデントのジョン・デューリー氏、そして同社でCISO（最高情報セキュリティ責任者）を務めるクリスティン・ベヘラスコ氏も登壇し、WithSecureのビジネスアップデート、および同社が推す「アウトカムベースセキュリティ」に関して説明した。

WithSecureのポートフォリオ

　デューリー氏は「サイバー攻撃によって誰も深刻な被害に遭うことのない未来を作ることが、WithSecureのミッション」と述べ、同社のサービスがエンドポイント保護、クラウド保護などの製品だけでなく、マネージドサービスやコンサルティングサービスを含めたポートフォリオを持つことを強調した。この中で同社は「アウトカム（成果）ベースのセキュリティ」を展開する。

ウィズセキュアが提唱する「アウトカムベースセキュリティ」

アウトカムベースのセキュリティは経営的観点で理解できる形で現状を理解する

　アウトカムベースのセキュリティとは、ビジネス目標を検討して組織が望む成果を達成できるよう、セキュリティを検討することだという。これまで考えられてきた「スレットベースのセキュリティ」だと、例えば「Webサイトのセキュリティをどうするか」という命題に対する答えは「DDoS攻撃を防ぐために保護を実装する」といった回答になるが、これでは経営層には分かりにくい。アウトカムベースセキュリティでは、経営的観点での表現となり、「サイトによるビジネス上の目的を理解し、それを踏まえてセキュリティを検討する」といったものになる。

　「Forrester Researchとの調査において、サイバーセキュリティ組織のリーダーの82％がこの考え方を支持した。より良いビジネスアウトプットのために、一緒にセキュアになろう」（ベヘラスコ氏）

WithSecureのクリスティン・ベヘラスコ氏。説明会は銀座の観世能楽堂で開催された