エンドポイントのセキュリティと言えば、アンチウイルスソフトで最新のシグネチャを更新して守ることに尽きる――長らく続いてきたそんなイメージにそろそろ変化が必要です。
2017年に入っても、私たちはさまざまな脅威に取り巻かれています。2016年に激増し、個人のみならず多くの日本企業に被害をもたらしたランサムウェアをはじめ、ばらまき型メール、より高度な手法を用いる標的型攻撃による被害は相変わらずメディアを騒がせています。
シグネチャに基づくアンチウイルスソフトウェアは、脅威に対して有効な策ではありますが、残念ながら、それだけではこれらの脅威を100%止めることはできません。それもそのはず、攻撃者は既存の対策をかいくぐろうと、常に手を替え品を替え、新たなマルウェアや手法を試みるからです。このいたちごっこから脱却するには、複数のテクノロジを活用して防御をいっそう高めていくと同時に、「それでも脅威は対策をすり抜けてくることがある」という前提も考慮に入れ、新たなエンドポイント保護を考えなければなりません。
そこでこのコラムでは前編・後編の2回に分け、これからのエンドポイントセキュリティのあり方と、インテル セキュリティの取り組みを解説していきます。前編では「感染は起こり得る」という前提を織り込んだバランスの取れた対策の必要性について、後編では未知の脅威に対抗するための高度な防御機能について紹介します。
防御はもちろん、検知、復旧、適応も視野に入れたバランスの取れた対策へ
まず、従来のアンチウイルスに頼った対策は何に有効で、どんな限界があるかをおさらいしてみましょう。
アンチウイルス製品は、検体が出回っている既知のマルウェアを解析して特徴をまとめた「シグネチャ」と、端末に届いた疑わしいファイルを比較することで、悪意あるソフトウェアか否か判断します。これは、広くインターネット上に出回っているばらまき型の攻撃からエンドポイントを保護するのには非常に有効です。
しかし、攻撃者側は常に同じマルウェアを使ってくるわけではありません。むしろ、インテル セキュリティがMcAfee Labs 脅威レポートなどで指摘している通り、ファイルの一部に変更を加えたり、「パッカー」と呼ばれるツールを用いるなどして、次々に「亜種」「新種」を作っており、その数は指数関数的に増加しています。何らかの形で新種のマルウェアを入手できればそれを元にシグネチャを作成できますが、解析作業には数日単位の時間を要するのが実情で、その間に被害が生じる恐れは否定できません。
従って、こうした未知の脅威からエンドポイントを守るには、シグネチャ以外のテクノロジを活用して「保護」を一段と強化すると同時に、その先をいく対策も必要となります。具体的には、「脅威が防御の網をすり抜けてくる可能性はあるという前提に立つ必要があります。」と、マカフィー株式会社 マーケティング本部 ソリューション・マーケティング部長 平野祐司は指摘します。
これまで、特に完璧を良しとする日本の企業では、感染を防止する「Protect」(防御)の部分に力点が置かれがちでした。しかし前述の通り、脅威の変化にともなって、従来型の保護に投資するだけでは未知のマルウェアへの対策が困難になりつつあります。現実的な戦略として、「Protect」(防御)に加えて、アンチウイルスをすり抜けてきた脅威をいち早く見つけ出す「Detect」(検知)と、通常業務への影響を最小化する「Correct」(復旧)、そして、そこから得られた情報や経験、知見を組織内への共有「Adapt」(適応)することが重要です。
最近、セキュリティの視点からも、防ぎきれない攻撃への対処方法として、組織のレジリエンス(回復力)に注目されています。我々が提唱している脅威対策ライフサイクルのコンセプト(防御・検知・復旧・適応)で、セキュリティ対策を捉えていくことで、レジリエンスが強化されていくと考えています。
仮に、不注意や巧妙な手口によって最初の1台がマルウェアに感染したとしても、防御、検知、復旧、適応という4つの取り組みをバランスよく進めることで、重要情報の流出といった深刻な事態に陥る前に復旧できます。つまり「組織のレジリエンスを高め、何かあってもすぐに立ち直れる対応力、回復力を高めることにつながります」(平野)。
「未知の脅威を見つけるためにProtectの壁を高くしていくと同時に、Detect、Correct、Adaptの部分をカバーする手段を持っているか、ぜひセルフチェックしていただきたい」と、同セールスエンジニアリング本部長 櫻井秀光は述べ、それがレジリエンス(回復力)の高い組織を実現するポイントだと述べています。
脅威対策ライフサイクルを通じて回復力の高い組織へ
インテル セキュリティではかねてから、新しいエンドポイント保護のあり方として、防御、検知、復旧、適応からなる「脅威対策ライフサイクル」というコンセプトを提唱してきました。
そのためのツールが、エンドポイント保護製品「McAfee Endpoint Security 10」や、エンドポイントでの検出・対応を支援するEDR(Endpoint Detection and Response)製品の「McAfee Active Response」です。これらは、未知の脅威をサンドボックス解析で検出する「McAfee Advanced Threat Defense」(ATD)や、これらの製品で得られた情報(インテリジェンス)を互いにフィードバックし、いち早く社内で共有する「McAfee Threat Intelligence Exchange」(TIE)といったソリューションも含め、単一の管理プラットフォーム「McAfee ePolicy Orchestrator(ePO)」で統合的に管理できます。
実際にインテル セキュリティ自身がこれらのソリューションを活用して脅威対策ライフサイクルを適用した結果、未知の脅威を検知してから、影響を受けたエンドポイントを特定し、処置を実行するまでの所要時間は約3分半に、またMARで得られた情報を元に社内の全ての製品に対応を反映させるまでの時間は約7分に短縮されました。
「Protectに加え、これまであまり注目されていなかったDetect、Correct、Adaptも含めた対応の仕組みを用意することで、端末を効率よく保護できます。各製品が連携し、『何が起きたか』を可視化し、瞬時に共有することにより、組織としてのセキュリティ対応力も上がっていきます。さらに、その運用を自動化すれば、人手不足の中でもライフサイクルを適切に回していくことができるでしょう」と平野は述べています。
後編となる次回は、「Protect」(防御) 、「Detect」(検知)、「Correct」(復旧)、「Apapt」(適応) のバランスを考慮した上で、どのように未知の脅威に対処していくか、防御面での先進的な技術をご紹介します。
【製品情報】
McAfee Endpoint Security 10
EDR(Endpoint Detection and Response)
McAfee Advanced Threat Defense(ATD)
McAfee Threat Intelligence Exchange(TIE)
McAfee ePolicy Orchestrator(ePO)