サイバー攻撃の拡大で増える
ランサムウェアによる被害
ソフォス株式会社
代表取締役
中西 智行 氏
サイバーリスクが高まる中で、特に注目されるのがランサムウェアの脅威だ。ソフォスの日本法人の代表取締役を務める中西智行氏は「Emotetを使った攻撃が急速に増えていて、それに伴うランサムウェアの被害が高止まりしています」と最近の傾向を指摘する。
ソフォス株式会社
代表取締役
中西 智行 氏
同社へのインシデント対応の約8割がランサムウェアによるものだという。
非常に感染力が強いEmotetは、情報を盗み取るだけではなく、他のウイルスによる感染を広めるために悪用される。攻撃の手法としては正規のメールに対する返信を装うものもあり、防御するのが難しいとされる。攻撃者はEmotetを足がかりにウイルスを送り込み、データを盗み出したり、ファイルを暗号化して身代金を要求してくる。
「警察庁の発表ではランサムウェアの被害報告数は、2020年下半期と比べて2021年の下半期に約4倍に急増しています。表に出てこない被害も相当数あり、大きな脅威になっています。身代金を支払っても解除されなかったり、情報公開をちらつかせる二重恐喝も行われています」とソフォスのセールスエンジニアリング本部本部長の大木竜児氏は話す。
ソフォス株式会社
セールスエンジニアリング本部本部長
大木 竜児 氏
脅威が深刻なのは、標的となるのが必ずしも大企業などに限定されないことだ。しっかりしたセキュリティ対策チームのある大企業を避けて、セキュリティ面で弱い取引先の中堅中小企業に攻撃をしかける「サプライチェーン攻撃」が増えている。どの企業もサイバー攻撃の脅威から逃れることはできない。
さらに脅威を広げるきっかけとなっているのが、クラウドやハイブリッドワークの普及だ。「クラウド活用が当たり前になり、PCなどのデバイスがファイアウォールなどセキュリティ対策が施されている社内から社外に持ち出されることでセキュリティが丸腰の状態になりかねません。リスクはますます高まっています」と中西氏は警鐘を鳴らす。
これまでネットワークのセキュリティを担保するものとして仮想の閉域網であるVPNに頼ることが多かったが、設定によっては脆弱性が生じ、そこを攻撃者に狙われるケースも多いため、万全とは言えないのが現状である。
従来のセキュリティを超えた
次世代型セキュリティ対策を
セキュリティリスクが高まる中で注目されているのが、より高度化された次世代型のセキュリティ対策だ。「従来型のセキュリティ対策では日々進化するサイバー攻撃を防ぐことはできません。そこで未知の脅威に対応できる次世代型のセキュリティ対策を検討する企業が増えています」(中西氏)。
そのひとつが狙われやすいデバイス、つまりエンドポイントを守るEndpoint Protection Platform(EPP)である。EPPは侵入を防ぐための製品で、従来からあるアンチウイルスもEPPだが定義ファイルベースのため未知のウイルスは防げないため、最近ではAIなどによって未知のウイルスを検知できる次世代型アンチウイルスの導入が進んでいる。
このEPPの先を行くものとして利用され始めたのが、Endpoint Detection and Response(EDR)という次世代型エンドポイントセキュリティだ。EPPによって侵入を防ぐだけでなく、デバイス上の振る舞いを観察することでEPPをすり抜けた脅威を検知し、通知する。EPPで100%防げなくても被害を最小限に抑えられる。
さらにExtended Detection and Response(XDR)というEDRの先を行く製品も登場してきた。エンドポイントだけでなく、サーバーやファイアウォール、メール、クラウドなどへ監視対象を広げ、収集してきたデータを分析して、脅威を防ぐ。製品横断でセキュリティを確保するので実効性が高い。
ただし、XDRを実現するにはすべての製品が同一ベンダーのものでなければならないことが殆どのため、マルチベンダーになっている現実と相入れない。そこで次世代型のセキュリティ対策としてはEDRが本命視されている。しかし、中西氏は「EDRの活用はそう簡単ではありません」と難しさを説明する。
EDRではデバイスの操作ログを監視して、マルウェアかどうかを判断して万が一に備える。そのためには膨大なログをリアルタイムに監視し、データを解析して脅威につながるかどうかを判断しなければならない。それができる専門知識のある人材を持っている企業は少なく、中堅中小企業にとってEDRはハードルが高過ぎるかも知れないのだ。
EDRをフルに活用した
マネージドサービスの提供
人的なリソース不足からEDRを使いこなせないという問題を解決するサービスもある。Managed Detection and Response Service(MDR)である。EDRによって収集された監視ログをリアルタイムに監視し、マルウェアかどうかを判断するセキュリティの監視・運用サービスである。EDRとセットで提供されていることが多い。
中西氏は「EPPは玄関に鍵をかけること、EDRは監視カメラをつけること、そしてMDRは専門的な組織に警備を依頼することです」と説明する。餅は餅屋のように、MDRは自社のセキュリティ業務全体を専門ベンダーにアウトソーシングすることだ。
ソフォスでも当然これらのフェーズをすべてカバーしている。同社のEPPである「Intercept X」はディープラーニングおよび複数の検知技術を搭載した多層防御と用いて、高レベルのエンドポイントセキュリティを実現している。99.98%という驚異的な精度で攻撃を自動でブロックし、ランサムウェアを即座に阻止する機能も提供されている。
「Intercept X Advanced with XDR」はエンドポイント、サーバー、ファイアウォール、メール、クラウド、O365セキュリティを同期する業界唯一のXDRソリューションで、ステルス型の脅威を素早く検出し、組織全体で保護されていないデバイスを特定し、その原因となっているアプリケーションや管理されていないゲストやIoTデバイスを特定する。
そしてこれらの製品を活用したマネージドサービス、「Mnanaged Threat Response(MTR)」が提供されている。その最大の特徴は、脅威の検出から対応までの時間の短さだ。高い精度を持つEPPとマルウェアに精通した専門家集団によって実現する。マシンの能力と人間の能力を融合した自動化が行われているのだ。
脅威の検出と通知だけではなく
除去まで任せることもできる
MTRでは他社にはない機能が提供されているのも大きな差別化ポイントだ。大木氏は「他社では通知までですが、当社は通知だけでなく脅威の根絶・中和化実行まで行います」と話す。脅威の根絶・中和化まで実行するとはどういうことを指しているのだろうか。
具体的には3つのレスポンスモードが用意されている。検出した脅威を通知する「通知」、検出した脅威に共同で対処する「共同対処」、そして脅威の封じ込め及び除去を同社が行い、実行したアクションについて報告する「承認」である。承認モードを選択すれば、ユーザ企業は何も対処する必要がない。
大木氏は「自社にCSIRTのようにセキュリティ対応部署がある場合には通知だけで良いケースもあります。また、セキュリティ人材を育成などをしたい場合には共同対処が効果的です。専門家に任せて迅速な対応を求める場合には承認がピッタリです。お客様のニーズに合わせて選択できるように3つのモードが用意されています」と説明する。
また、MTRでは「Standard MTR」と「Advanced MTR」の2つのサービスメニューが提供されている。前者では、24時間365日の脅威ハンティング、脅威への対処、敵対的攻撃の検出、セキュリティ状態のチェック、週次と月次のレポートの作成が提供される。
後者ではそれに加えて、巡回警備にあたる手がかりなしの脅威ハンティング、関連製品のデータを含めたXDRベースの攻撃の全体像の提供、専任の担当者との直接対話、セキュリティオペレーションセンターによるサポート、アセットに対応したセキュリティの提案などが行われる。
こうしたニーズに対応したMTRへの評価は高く、サービスの提供開始から2年で8,0000以上の組織に導入されている。MTRはこれまで英語で提供されていたが、今年の4月から日本語対応が実現した。子会社や拠点ごとに対応する際にも日本語と英語が選択できる。
中西氏は「私たちに丸投げしていただければ、お客様は本業に専念できます。ニーズに合わせて利用できるので気軽にお声をかけていただきたい」と日本企業にメッセージを送る。セキュリティ業務全体を同社に任せることで、セキュリティ人材がいない中堅中小企業であっても高度なセキュリティが実現できるのは朗報と言えるだろう。
5月12日、13日には同社の専門家集団がどうやって脅威ハンティングをしていくかをリアルに見られる「スレットハンティングアカデミー」というイベントも予定されている。是非覗いてみてはいかがだろうか。
TOP