全ての業務を停止した
石油パイプライン企業
ソフォス株式会社
代表取締役
中西 智行 氏
企業に対するサイバー攻撃の中で最も脅威となっているのが「ランサムウェア」と呼ばれるものだ。企業のシステムに侵入し、顧客情報や設計情報などの重要な情報が入ったファイルを暗号化して人質にとり、身代金を要求してくる。現状はどうなのだろうか。
大手セキュリティベンダーのソフォス株式会社代表取締役社長の中西智行氏は「攻撃はコンスタントに増えています。攻撃の種類は大きく2つあります。一つの組織に絞り込んだ標的型攻撃と対象を特定しない無差別型攻撃です」と語る。
ソフォス株式会社
代表取締役
中西 智行 氏
特に注意すべきなのは、前者の標的型攻撃だろう。より巧妙な方法に進化していて、侵入されていることが気付きにくく、大きな被害につながりやすい。リモートワークで広がっているエンドポイントやレガシーシステムなど、防御レベルの弱い部分が狙われる。複数の攻撃を組み合わせた“サイバー・キル・チェーン”という一連のプロセスまである。
ソフォス株式会社
パートナー営業本部
テリトリーパートナー営業部
部長代理
田崎 十悟 氏
ソフォス株式会社パートナー営業本部テリトリーパートナー営業部部長代理の田崎十悟氏は「暗号化して身代金を要求するだけでなく、支払わなければネット上に情報を公開するという二重で脅迫してきます。身代金を支払ったとしても65%の企業しかデータが復元できていません」と脅威を指摘する。
ソフォス株式会社
パートナー営業本部
テリトリーパートナー営業部
部長代理
田崎 十悟 氏
こうしたサイバー攻撃によって事業継続自体ができなくなるケースも増えている。2021年4月にはアメリカにある世界最大の石油パイプライン企業が攻撃を受けて業務を停止したため、17の州で石油が不足するという事態が発生した。
中西氏は「日本企業でも基本的に大きな違いはありません。侵入を図る際の偽のメッセージを日本語に変える必要があるので多少の時差はありますが、翻訳機能の向上によって、その時間は短くなっています」と現状を指摘する。ITの進化による利便性は攻撃者にとってもメリットをもたらしているのだ。
テクノロジーと人間の
両面からの対策が必要
ランサムウェアによる被害を回避するにはどうすれば良いのだろうか。中西氏は「求められるのは、テクノロジーで守ることと、従業員の意識改革を進めることです。常に攻撃を受けているという前提に立って従業員への継続的なトレーニングを実施していく必要があります」と話す。
従業員教育が大きな柱の一つになるのは、攻撃手法としてフィッシングが使われることが多いからだ。いかにもありそうな偽のサイトを作り、標的型メールによってそこに誘導してシステムに侵入してくる。メールを送ってきた相手を確認したり、サイトのURLを確認することなどで、その被害を防ぐ確率を高められる。
テクノロジーで守るという意味では、ファイルのバックアップをとっておくのは当然だろう。「しかし、それだけでは不十分です。バックアップファイル自体も攻撃対象であり、いざという時に利用できなくなる可能性もあります」と田崎氏は語る。
そこで求められているのがランサムウェアに対応できるセキュリティツールの活用だ。どんなツールが有効なのだろうか。それを考えるためにはランサムウェアという攻撃の特質を理解する必要がある。
ランサムウェアはシンプルな攻撃ではない。まず標的を決めたら様々な方法でシステムを観察する。その情報に基づいて標的への侵入方法や攻撃方法を確定し、実際に侵入できる状況を確保。そこからランサムウェアが送られてきて、ファイルが盗みとられて暗号化される。そして仕上げとして脅迫メールが送られてくるのである。
「ランサムウェアは最後に使われる手段です。その前に様々な仕掛けを行っています。多くの場合、企業側はランサムウェアを送られてきてから、攻撃を受けていたことに気がつきます」という田崎氏の言葉にツールを選ぶポイントがある。
攻撃者は段階的に攻撃を仕掛けてくる。そうであればその段階ごとに防御策を施しておくのが最善の策だ。つまり多層防御である。それを実現しているのが、ソフォスが提供する「Sophos Intercept X Advanced(以下、Intercept X)」である。
多層化防御を高度化する
機械学習を採用したAI
エンドポイントセキュリティ製品であるIntercept Xでは、パターンファイルによる脆弱性対策からAIによる不審な振る舞いの検知、マルウェアの隔離と駆除、原因分析と修復といった幅広い保護機能が提供さてれている。
攻撃手法を検知して防御し、マルウェアかどうかを判断し、ランサムウェアの動きを制御する機能が提供されると共に、被害後の分析までできるのが大きな特徴だ。
「特に重要なのがディープラーニングを使ったAIを導入している点です、ディープラーニングを採用しているAIはまだ少ないのが現状です」と田崎氏は語る。パターンファイルに頼るだけではなく、マルウェアの振る舞いから判断することによって、高い検知率で未知のマルウェアを検知できる。
ソフォスがこの仕組みを実現できた背景にあるのは、世界5ヶ所に開設された「ソフォスラボ」の存在だ。多くのアナリストが24時間365日リバースエンジリアリングの手法を駆使してマルウェアの解析にあたっている。ここで得られたデータをディープラーニングすることで、アナリストと同等のレベルをAIで達成しているのである。
「優秀なアナリストがPCなどのデバイスの中に常駐しているイメージです。しかも人を凌ぐほどのものすごいスピードで解析します。Intercept Xでは、様々な機能とこのAIを組み合わせることで、多層防御を実現しているのです」と中西氏は話す。
多層防御によって、ランサムウェアの段階的な攻撃のどこかを断ち切ることで、被害の発生を防ぐことができる。特に厄介なのは未知のランサムウェだが、Intercept Xはニュースになるようなランサムウェアをいち早く検出して攻撃を防いできた。これまでユーザからは被害の報告はないという。
クラウドのニーズに応える
国内データセンターの開設
ソフォスのエンドポイントセキュリティ製品の特徴はもう一つある。クラウド管理型のサービスが提供されていることだ。Intercept Xもクラウドサービスとして利用できる。リモートワークが広がり、利用するデバイスも多様化する今、クラウド管理型であることは、エンドポイントセキュリティにとって必須の要件である。
クラウド管理型であれば管理サーバが不要で、バージョンアップなどにかかる人的コストを大幅に削減することができ、AI技術を取り入れた保護機能など常に最新の機能を利用することができる。Intercept Xが支持を集めている理由の一つだ。
「しかし、官公庁や自治体からはデータを国外に持ち出したくないという声があり、一般企業でも同様でした。当社としてこうしたご要望に応えるために、2021年9月に日本にデータセンターを開設することになりました」と中西氏はデータセンター開設を宣言する。日本にデータセンターを持つ海外ベンダーは少ないだけに大きなインパクトがある。
田崎氏は「これまで通り海外のデータセンターを選択することもできて、ユーザにとっては選択肢が広がったことになります」と語る。
今回の日本でのデータセンターの開設は日本市場により注力していくという同社の決意を示したものだ。「リモートワークが広がる中でクラウド管理型のセキュリティニーズは高まっています。大企業だけでなく、中堅中小企業も高いレベルのセキュリティを確保できるように、より日本市場に寄り添ったサービスを強化していきます」と中西氏は語る。
現在同社ではオンプレミスで同社の製品を利用しているユーザを対象に、クラウド製品を同じ期間無償で利用できる「Sophos Central移行キャンペーン」を行っている。日本にデータセンターが開設されたこともあり、この機会にクラウド管理型への移行を検討することをお勧めする。
TOP
