企業間取引の脆弱性には、侵入前対策や従来のEDRでは不十分――コスト、運用の課題を解決するにはEDR導入後のメンテナンスも重要

取引先や子会社を経由する「サプライチェーン攻撃」に対応するには、侵入前対策に加え、侵入後対策が欠かせない。EDRは侵入後対策として有効だ。だがコストや運用に課題がある。従来のアンチウイルスソフトウェアのように導入のハードルが低いEDRはないだろうか。

» 2021年09月24日 10時00分 公開
[PR/@IT]
PR

企業間取引の脆弱性を突く攻撃が重大な問題に

 急速なグローバル化、少子高齢化といった社会変動を背景に、企業は変化を迫られている。コロナ禍は一連の変化を加速させた。在宅勤務やテレワークといった新しい働き方が広がっている。これまで以上に多様な機器やサービス、企業がネットワークを介してつながり、より効率的に業務を進めることで、日々刻々と変わるビジネス上の要請に応える環境が整備されつつある。

 一方で新たな懸念も浮上している。最たるものが、ランサムウェアをはじめとするサイバー攻撃だ。近年、子会社やグループ企業、取引先など、業務上のつながりがある企業経由で大手企業に侵入し、機密情報を盗み出したり、システム稼働に害を及ぼしたりするサプライチェーン攻撃のリスクが高まっており、NISC(内閣サイバーセキュリティセンター)をはじめとする政府機関も注意を呼び掛けている。

 フォーティネットジャパン セキュリティファブリック推進本部 第一営業部 アカウントマネージャー 前田成保氏は「大手企業はかなりセキュリティ対策を強化しましたが、サプライチェーンでつながる全ての取引先が同等のセキュリティレベルを保証しているかというと、必ずしもそうではありません。企業間取引の脆弱(ぜいじゃく)性が問題となっています」と指摘する。

 もう一つ注意が必要なのは脅威そのものの変化だ。最近の攻撃者は「取引先になりすまして知らず知らずのうちに攻撃の“仕掛け”を仕込みます。そして半年、1年といった単位で潜伏し、しかも企業のセキュリティ監視体制を把握して、夜間や休日などすぐに対応できないタイミングで攻撃してきます」(前田氏)。

 分かりやすい攻撃を未然に防ぐ「侵入前の対策」だけでは不十分だ。取引先を装って人をだましたり、既存の防御の網をすり抜けたりして「脅威は侵入し得る」という前提に立ち、「侵入後の対策」にも取り組むことが必要になっている。「防御だけでなく検知、対応、復旧にも取り組むべき」という指針は、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワークでも示されている。

侵入後対策を支援すべく登場した第1世代のEDRが抱える課題

 こうしたニーズを踏まえてセキュリティベンダーが数年前から市場に投入してきたのが、脅威の検知、対応を支援するEDR(Endpoint Detection and Response)製品だ。侵入前対策のアンチウイルス/EPP(Endpoint Protection Platform)製品に、侵入後対策のEDRオプションを追加して提供するケースも増えている。

 だが、「さまざまな調査結果を見ても、EDR製品の導入率はまだまだ低い水準です」と前田氏。グローバルに拠点を展開し、海外拠点の侵害やガバナンスの維持に腐心している大手企業ならともかく、中堅中小企業ではなかなか導入が進んでいない。

 その要因はコストと運用だ。アンチウイルス製品は、1人当たり数百円といった低いコストで、しかも自社で運用できる。ここに侵入後対策を加えると、いろいろな機能が追加されて製品自体のコストが上昇するだけではなく、さまざまなアラートを分析し、その中から脅威を見つけ出して対処しなければならず、「自分たちではとても使いこなせない」というのが現状だろう。

侵入前/後対策を統合し、アンチウイルス製品感覚で運用可能な「FortiEDR」

 攻撃者はそうした事情などお構いなしだ。サプライチェーンを狙ってくる昨今のサイバー攻撃の傾向を踏まえ、侵入前だけではなく侵入後に備えた対策を取りたいが、いかんせんコストや運用を考えると腰が上がらない――そんな企業の悩みを踏まえて登場したのが、Fortinetの次世代EDR製品「FortiEDR」だ。

 FortiEDRは第1世代のEDR製品が抱えてきた課題を克服すべく、侵入前/後対策を1つの製品でカバーする。既存のアンチウイルス/EPP製品に後からオプションとしてEDR機能を追加する形ではなく、1つのモジュールにアンチウイルス/EPPの機能とEDR機能を統合している。このため「インストール先に求められるメモリやHDDの要件も少なく済みます。メモリは120MB、HDDは20MB程度です。今あるPCにそのまま導入でき、『エンドポイントセキュリティ製品を入れ替えたらPCが重くて仕事にならなくなった』といった事態を避けることができます」(前田氏)

FortiEDRはアンチウイルス/EPPとEDRを統合したEDR製品(提供:フォーティネットジャパン)

 FortiEDRの侵入前対策機能は、機械学習技術と振る舞い検知を用いて、侵入するマルウェアをブロックする。過去のアンチウイルス製品の多くが頼ってきたシグネチャ(パターンファイル)ではなく、特許技術の「コードトレース技術」を用いてソフトウェアの動きそのものを監視する。PCに害を及ぼす恐れのある怪しいものと判断すれば停止する。感染した時点で致命傷になりかねないランサムウェアでも、データを暗号化しようとした時点で捉え、ブロックできる。いわば、アンチウイルス製品と同じ感覚で運用できるわけだ。

 最初は無害なファイルを装って侵入し、システム内部の情報を収集しながら少しずつ侵害範囲を広げ、最終的な目的を達成しようとする手口もある。その場合に効果を発揮するのがFortiEDRの侵入後対策機能だ。不審な動きを迅速に見つけ、警告を発する。誤検知、過検知が少ないこともFortiEDRのメリットだという。

 「一般にEDR製品は何か怪しいものがあれば検知し、アラートを発します。担当者はその検知ログを見て、他のログとも突き合わせて解析し、どこを止めるかを決めてから対応に入ります。そのため、どうしてもタイムラグが生じます。これに対してFortiEDRは、あらかじめ対処を指示した『プレイブック』機能によって、検知した脅威の隔離やブロックを自動的に、リアルタイムに行えます」(前田氏)。FortiEDR自身が踏み込んで対応を判断できるので、運用者の負担を減らせることも、「次世代」のゆえんだ。

インシデント対応の自動化を実現(提供:フォーティネットジャパン)

 FortiEDRにはもう一つ、Fortinetだからこそ可能な保護機能がある。Fortinetは長年にわたって、UTM(Unified Threat Management)製品「FortiGate」を提供し、国内企業に導入されてきた。FortiEDRはこのFortiGateと連携し、検知した不審な通信先の情報をフィードバックできる。最初は怪しく見えずにすり抜けてしまった通信でも、FortiEDRの検知情報に基づいてブロックし、社内ネットワーク全体を守ることができる。

FortiGateとの連携例(提供:フォーティネットジャパン)

 「プリンタや無線LANルーターのような機器も社内ネットワークにどんどんつながるようになっています。しかしこういった機器に保護製品やEDR製品を、追加導入することは困難です。もしこうした機器が攻撃者に操られてしまえば、踏み台となって攻撃に加担してしまう恐れもありますが、FortiGateを連携させ、多層防御を図ることによって、このような機器も含めたネットワーク全体を保護できます」(前田氏)

環境の変化に合わせたメンテナンスで、継続的な保護を支援するJBサービス

 アンチウイルス製品と同じ感覚で運用でき、FortiGateと連携して包括的に保護するFortiEDRには、長い目で見ると課題もある。JBサービス サービスマーケティング 企画推進本部 企画推進第2部 ソリューション営業企画Grの渡辺佳代子氏は、「導入しても、その後のメンテナンスを怠れば脅威を防ぎ切れなくなる場合があります」と、運用の重要性を指摘した。

 ITシステムはサポート期限の終了や新しいアプリケーションの導入、バージョンアップ、ビジネスの変化に応じて常に変わり続けている。こうした変化に合わせて適切にメンテナンスしなければ、通すべき通信を脅威と勘違いして誤検知が急増して対応に追われたり、みすみす脅威を見逃したりといった事態が起こりかねない。

 過去には、とあるエンドポイントセキュリティ製品で「ある日突然、ファームウェアの自動更新機能を悪意あるものと判断するようになり、大量のアラートの対処にてんてこ舞いになる」ことがあったという。そんな場合には、アラートを精査して誤検知を排除する作業が不可欠だ。同時に、大量のアラートの中に疑わしいものが隠れていないかどうか、確認を怠るわけにはいかない。それにはやはり専門的な知識やノウハウが求められる。

 こうした課題を解消するためにJBサービスは、運用センターの「SMAC」(Solution Management and Access Center)をベースに、24時間365日体制のマネージドセキュリティサービス「FortiEDR運用サービス」を提供し、日々のログ分析を支援するとともに、専門知識を持ったセキュリティ専門家チームやSOC(Security Operation Center)がログを分析し、IT環境の変化に合わせたメンテナンスを提供する。

FortiEDR運用サービス導入イメージ(提供:JBサービス)

 「FortiEDRは機械学習機能を搭載し、分かりやすい管理画面を備えていますが、生成ログが非常に多いので、その中から重大なインシデントを見抜くことがポイントになります。そこで、JBサービスの認定ホワイトハッカーがお客さまに代わっていち早く深刻なインシデントを見抜いて報告し、的確なアドバイスを提供します」(渡辺氏)

 しかもJBサービスはAdvancedパートナーとして、FortiGateをはじめとするFortinet製品の運用を18年にわたり支援してきた。その経験や知見を生かすことで、ネットワークからエンドポイントに至るまでの保護をワンストップで提供し、トータルなセキュリティ対策を支援する。今後はクラウドセキュリティやゼロトラストアクセスといった新たな領域にも拡張していく方針だ。

 「企業間取引の脆弱性を悪用した巧妙な攻撃の増加に伴って、これまで何とか侵入前対策のみで頑張ってきた環境でも、そろそろ限界が見えつつあります。FortiEDRとJBサービスのFortiEDR運用サービスを組み合わせることで、事前の対策から侵入後の検知、有事の際の調査、再発防止まで、全体にまたがるセキュリティ運用を実現できます」(前田氏)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:フォーティネットジャパン株式会社、JBサービス株式会社、図研ネットウエイブ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年10月23日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。