昨年から話題になっている「Emotet」をはじめ、ネットの世界ではサイバー攻撃の手法が日々進化し、巧妙な手口で企業を脅かしています。新種のウイルスや既存のマルウェアを改変した亜種が次々と登場しています。そのため、パターンマッチング型のウイルス対策ソフトでのマルウェア検知率は、今後も低下することが予想されます。
パターンマッチング型のウイルス対策ソフトが効かないゼロデイ攻撃や標的型攻撃に対して、PCの怪しい振る舞いを検知して対処するエンドポイントセキュリティ手法も存在します。それが、「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティソリューションです。
一方でEDRを含め、セキュリティ運用では、検知された情報を分析し、対策を取るための人材が必要になります。たとえ人材を確保できたとしても、インシデントが起こった後には対外的な説明責任が問われるため、素早く原因を分析・把握し、説明できなければ、企業価値の低下にもつながります。しかも、グローバルでサービスを提供している場合は、日本時間だけのインシデント対応では手遅れになるため、24時間365日の監視が求められます。
進化するサイバー攻撃へのセキュリティ対策は、デジタルトランスフォーメーション(DX)推進に不可欠です。その要となるEDRをうまく運用するためには、どうすれば良いのでしょうか? セキュリティオペレーションに特化した運用サービスである「SDOC(Security Demand Operation Center)」を提供する、NTTコミュニケーションズ株式会社(以下、NTT Com)セキュリティサービスマネージャーの河野文則氏と小泉賢人氏に話を聞きました。
24時間365日、インシデント発生に対応できますか?
セキュリティオペレーションの具体的な対応イメージを、EDR製品が導入されている場合を例に説明します。パソコンなどのエンドポイントのログを収集し、サイバー攻撃の徴候を機械的に検知し、IT管理者に通知します。管理者はその通知をトリガーとして、エンドポイントのネットワーク隔離などの対処を実施し、サイバー攻撃の進行を食い止めます。
従来のパターンマッチング型のウイルス対策ソフトでは検知できなかったゼロデイ攻撃や標的型攻撃でも、エンドポイントの「振る舞い」を監視することによって重大なセキュリティインシデントに至らないようにしています。
ただし、企業規模にもよりますが、1日に数十~数百件のサイバー攻撃の挙動を検知する場合もあるようです。中には業務で使っている通信を「悪性」と判断してしまうこともあります。
「機械的に検知した数多くのイベントをすべて対処することは現実的でないため、それらの“危険度”を見極めることがIT管理者に要求されるわけですが、アナリストが攻撃の進行状況に応じて危険度の判定を行うサービスもあります。弊社でも、『WideAngle』というサービスを提供しており、エンドポイントやファイアウォールやプロキシなどのログを収集し、機械的に検知したイベントを総合的に分析し、4段階の危険度(Critical、Serious、Medium、Informational)に分類して、お客さまに通知しています。」(小泉氏)
NTT Comの河野文則氏は、多くの企業でこのことが課題になっていると指摘します。
「アナリストによる分析サービスを導入して、危険度の高いインシデントの発生が通知される環境がある場合であっても、自社の社員だけではリアルタイムに対処できないことを課題として感じている企業は少なくありません。特に海外拠点を持つ企業では、日本の深夜にセキュリティインシデントが発生することもあり、自社リソースだけでの対応には限界があるでしょう」(河野氏)
河野氏はこうしたリソース不足を解消するツールとして、冒頭で触れた「SDOC(Security Demand Operation Center)」の存在を挙げました。