ESET/マルウェア情報局

「振る舞い検知」や「機械学習」などでエンドポイントを守る「NGEPP」

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「NGEPPの導入で高める企業のサイバーセキュリティ」を再編集したものです。

 サイバー攻撃の高度化が進む中、エンドポイントセキュリティーの対策が改めて見直されてきている。エンドポイントセキュリティーとは、エンドポイントすなわち企業内で利用されるパソコンやスマホ、サーバーなどのデバイスへの外部からの侵入を防ぐための対策だ。この記事では、近年増加してきている新たなテクノロジーを活用してエンドポイントを保護するNGEPPの概念と製品・サービスについて解説していく。

NGEPPとは

 近年、高度化・巧妙化の一途をたどるサイバー攻撃の状況を受け、エンドポイントセキュリティーの対策を見直すケースが増えてきている。新たな対策として導入が進むEDRはエンドポイントに焦点を置きつつ、侵入された場合でも検知・隔離を速やかに行なうことで被害の最小化を目的としたツールとなる。

EDRとは?エンドポイントセキュリティに求められる侵入検知と対応

 https://eset-info.canon-its.jp/malware_info/special/detail/200206.html

 一方、NGEPP(Next Generation Endpoint Protection Platform)は従来のEPP(Endpoint Protection Platform)同様に、侵入の防御に特化する。NGEPPは和訳すると「次世代型エンドポイントセキュリティー」となる。要するに、「次世代型」として「振る舞い検知」や「機械学習」など新しいテクノロジーを採用していることがEPPとの大きな違いだ。標的型攻撃をはじめサイバー犯罪の手口が凶悪化していく中で、従来のEPP製品では防御しきれない攻撃手法に対してNGEPPは有効な対策と考えられている。大企業などを中心に、セキュリティー対策を一段階引き上げるために、NGEPPとEDRを組み合わせた対策も浸透しつつある。

NGEPPが求められる背景

 高度化・巧妙化するサイバー攻撃の進化に対し、従来のパターンマッチングでは次々と産み出される新種や、ターゲットに合わせカスタマイズされたマルウェアなどに対応できないケースが増えている。また、ウェブサイトに仕込んだリンクをクリックさせることでマルウェアをインストールさせる、ドライブバイダウンロード攻撃などの手口も一層狡猾になっている。他にも、近年増加傾向にある、Office形式のファイルに組み込まれたマクロ機能を用いてインストールをたくらむマルウェアやOSの機能を悪用するファイルレス攻撃など、これら狡猾化する手口への対応は困難を極める。そして、構成されるファイルが暗号化、難読化されていることで検知困難なマルウェアも確実に増加している。これらの進化するさまざまな攻撃手法に対し、より高度なテクノロジーを用いて検知・防御するのがNGEPPとなる。

NGEPP製品の主な機能

 高度化し続けるマルウェアの進化に対し、「次世代型」として新しいテクノロジーを活用して検知・防御を行なうのがNGEPPと称する製品の主な特徴である。以下、具体的に解説していく。

 ・「パターンマッチング(検知)」から「振る舞い検知」へ

 

 従来、侵入を検知するには定義ファイルと呼ばれるパターンマッチングのためのリストをベースに、社外からの通信を監視し、パターンに該当する(あるいは近しい)ものを検知していた。しかし、先述の通りマルウェア開発の急速な進化や暗号化・難読化されたマルウェアの増加など、従来のパターン検知では検知できないケースが増えてきている。また、インストールのタイミングでは正常なプログラムを装い、その後にマルウェアへ変貌するような手の込んだ手法もある。

 そこで、エンドポイントのプログラムの状況を監視し、対象物の挙動を見ることで、マルウェアを検知する仕組みが振る舞い検知である。悪意があると捉えられる挙動を検知し、隔離することで被害を防ぐことができる、という考え方となる。

 ・機械学習を活用して検知力を高める

 従来のパターンマッチングに代わり、近年の急速に進化するディープラーニングを活用して高度なマルウェアに対抗する。既知のパターンをベースに分析し、未知のパターンや亜種などを事前に予測し、検知の精度を高めるという考え方だ。ディープラーニングの活用には膨大な処理能力が必要になるため、クラウドとの連携が前提となる。近年、企業の通信環境が常時接続となったことも導入の障壁を大きく下げている。

 それでは、NGEPP製品の一つである「ESET Dynamic Threat Defense(以下、EDTD)」を例にして説明する。

 1)未知の脅威を自動解析・自動防御

図1 EDTDとの連携における検出から解析、防御対応までの流れ

 EDTDは従来のESET Endpoint Protection(以下、EEP)との連携を前提としている。EEPのインストール環境下の端末で検出された不審なファイルは、EDTDのクラウドサーバー「ESET Cloud」に自動送信される。数分で分析が完了し、危険なファイルと判定されると、該当のファイルを隔離し、端末は自動的に防御される。また、同じタイミングで「ESET Security Management Center(以下、ESMC)」経由で管理下にあるEDTD導入の端末すべてにその防御は適用される。すなわち、企業内で検出された不審なファイルに即時対応することで関連する危険性を取り除くことが可能となる。

 2)最新のテクノロジーによる解析

 EDTDでは、ESET Cloud上で不審なファイルの解析を行なう。その流れは図1の通り、まず機械学習によりサンプルファイルを既知のマルウェアと比較する。次にサンドボックス上でサンプルファイルを実行し、その振る舞いを検証する。最後に、最新のスキャンにより、異常の有無を詳細に分析する。こうした一連の作業をクラウド上で行なうことで、短時間でのフィードバックを可能にしている。

 3)脅威の可視化・解析結果の確認

 EDTDで分析された不審なファイルの分析結果はESMCに送信され、管理者はコンソール上でそのファイルの詳細を確認することができる。また、検出のしきい値や検出後のアクションなどもコンソール上で一括設定できるため、管理者の負荷も少ない。コンソール上では他にも、不審ファイルの検出状況などを確認することができるため、自社の晒されている状況を逐一把握することが可能となっている。

図2 ESMCのコンソール上での設定画面

 NGEPP製品はさまざまな企業からリリースされており、それぞれ得意とする技術、サービスが異なるように、各製品ごとに特徴も異なる。EDTDのように既存製品にアドオンして利用するものもあれば、リプレースを前提とするものもある。製品の比較検討の際に用いられる指標の一つに「検知率」があるが、検知率が高い製品の場合、誤検知や過検知といった問題も生じることが少なくない。誤検知がたびたび発生すると、運用担当者の負荷が大きく増えてしまうことには注意が必要だろう。

 また、これは従来のエンドポイントセキュリティー製品でも言われてきたことであるが、端末に大きな負荷がかかることで作業効率が落ちる場合、端末利用者である従業員の生産性を損ないかねない。NGEPPは新しいテクノロジーを利用することもあり、どうしても端末への負荷が大きくなる点は否めない。だからこそ、製品・サービスを選定する際にはどの程度の負荷がかかることになるのかという視点は持ち合わせておきたい。

DX全盛時代に向け、NGEPPなどの積極的な活用を

 昨今、企業経営においてデジタルテクノロジーの活用はもはや生命線にすらなりつつある。その生命線を脅かす可能性があるサイバー攻撃に対して、適切な対策を講じることはもはやセットで考えなければならない時代であることに、もはや反論の余地はないはずだ。

 サイバー攻撃はテクノロジーの進展を背景に、着実にその力を高め続けている。このような状況に対して従来のパターンマッチングの手法だけでは限界があるのは先述の通りだ。新しい脅威に対して、新しいテクノロジーで生み出されたNGEPPをはじめとした次世代型ツールの積極的な活用も検討し、企業の生命線を守り抜いていってほしい。