前回の記事では、従来のエンドポイントセキュリティのあり方に戦略的な転換が求められていることを紹介しました。従来からのシグネチャだけでなく、新たな技術を活用して「Protect」(防御)を強化するとともに、それでも未知の脅威がすり抜けてくる可能性を考慮に入れ、「Detect」(検知)、「Correct」(復旧)、「Adapt」(適応)の4つにバランスよく取り組むことが、個々のインシデント対応を支援するだけでなく、組織としての対応力を高めていくことにつながります。
インテル セキュリティ(マカフィー)もそうした動きを先取りし、Protect、Detect、Correct、Adaptの全てをカバーするソリューションを提供しています。具体的には、防御を実現するエンドポイント保護製品「McAfee Endpoint Security 10」と、検出・対応を支援するEDR製品の「McAfee Active Response」(MAR)です。今回は、バランスを考慮した上で、どのように未知の脅威に対処していくか、防御面での先進的な技術をご紹介します。
膨大な情報をベースにした機械学習と動的隔離で、より高い防御の壁を
たびたび説明してきたとおり、攻撃者は私たちの手の内を読み、対策をかいくぐろうと、次々と未知の脅威を作っては送り込んできます。理屈上、既知のマルウェアの特徴を元にしたシグネチャだけで、これら未知のマルウェアの侵入を防ぐのは困難ですが、防御の壁を高くする手だては他にもあります。
2016年に発表されたMcAfee Endpoint Security 10の最新版では、シグネチャやブラックリスト/ホワイトリストに基づく検出、振る舞い検知といった、これまで磨きをかけてきた技術に加え、新たに2つの「壁」を追加しています。それが、機械学習型マルウェア対策の「Real Protect」と、アプリケーションの動作を制限してシステムへの悪影響を防ぐ「Dynamic Application Containment(DAC)」です。「Protectの部分にも最新の機能を追加し、未知の脅威に柔軟に対応できるダイナミックなエンドポイントを実現します」と、マカフィー株式会社 マーケティング本部 ソリューション・マーケティング部長 平野祐司は説明しています。
IT関連のニュースをご覧になっている方ならばご存知のとおり、セキュリティ市場においても機械学習技術の活用が広がり、いくつか新たなマルウェア対策製品が登場しています。が、その多くは、疑わしいファイルの実行前にさまざまな属性情報を学習し、実行の可否を判断するというものです。
これに対しReal Protectでは、実行前の静的情報の判断だけでなく、実行後の振る舞いについても機械学習を用い、クラウド上のエンジンと連携しながら、リスクが高いと判断した動作を停止させます。振る舞い検知では、サンドボックスではなく実際の環境上で動作を確認するため、最近増加気味のサンドボックス回避機能を備えたマルウェアも逃しません。「実行前と実行後の両方で機械学習を活用するユニークなプロテクション機能を提供しているのは、インテル セキュリティだけです」とインテル セキュリティ セールスエンジニアリング本部長 櫻井秀光は述べています。
その上、コンシューマー向けの製品も含め、インテル セキュリティのユーザーから得られた膨大な情報を基に、機械学習エンジンを日々改良できる点も特徴です。これまでインテル セキュリティが蓄積してきた脅威インテリジェンスやアナリストの知見を反映しているため、「今のところ、誤検知に関するクレームはありません」と櫻井は説明します。
また最近のマルウェアは、攻撃者がさまざまな難読化を施した結果、実行してみなければ中身が分からないことも少なくありません。一方で、重要なファイルやデータを暗号化してしまうランサムウェアのように、「ひとたび実行された時点で終わり」というタイプのマルウェアもあります。
DACは、この難問を解決するテクノロジです。「いわば疑わしいファイルを牢屋に入れて、手錠付きで動かして様子を見るようなもので、もしファイルを暗号化するといったリスクの高い動作が見られれば停止させます。これにより、マルウェアが動いた後の振る舞いも制御できます」と櫻井は述べています。
確かに未知の脅威から100%完璧に守りきることは難しいかもしれません。しかしインテル セキュリティではReal ProcectやDACのようなテクノロジを活用することで、限りなく100%に近づけていく努力を続けています。Procectの壁が高くなればなるほど、DetectやCorrectに割くことのできるリソースも増え、インシデント対応プロセス全体の最適化につながるでしょう。
製品の壁に妨げられない運用がポイントに
2回に分けて説明してきた新しいエンドポイントセキュリティ対策は、インテル セキュリティが提唱する脅威対策ライフサイクル(Protect, Detect, Correct, Adapt)すべてをカバーするDynamic Endpoint ソリューションの概要です。また、「McAfee Active Response」が該当する検出・対応を支援する分野は、「EDR(Endpoint Detection and Response)」とも呼ばれ、2015年頃から注目を集めてきました。経済産業省が公表した「サイバーセキュリティ経営ガイドライン」においても、事故前提型の対策の重要性が提唱されていますし、海外の先進的な企業の中には、既にEDRを自社の対策に取り入れているところもあります。2017年はおそらく、その流れがさらに広がっていくことでしょう。
ただ、EDR製品を活用する際に留意すべきポイントがあります。市場にはいくつかのEDR製品が存在しますが、その多くは、アンチウイルスやサンドボックスといった既存のセキュリティ製品とは独立した形で提供されています。管理コンソールも個別に用意されており、既存の手順とは別に運用・管理を行わなければなりません。こうした製品間の「壁」が管理負担を増やし、ひいては迅速な対応が求められるインシデント発生時のオペレーションを妨げる恐れもあります。
その点、インテル セキュリティが提供するMcAfee Endpoint SecurityやMARは、関連製品との連携を前提としたプラットフォームで、効率的な管理・運用が可能な、管理コンソール「McAfee ePolicy Orchestrator(ePO)」から一元的に管理できます。また、これら製品やサンドボックスの「McAfee Advanced Threat Defense」(ATD)から得られた脅威に関する情報(インテリジェンス)は「McAfee Threat Intelligence Exchange」(TIE)やSIEMを通じて速やかに社内で共有でき、感染拡大を防ぐ仕組みも整えています。インテル セキュリティでは、このような統合的な対策を「脅威対策ライフサイクル」として推進し、組織としてのレジリエンス(対応力)向上を支援しています。
セキュリティ市場全体を眺めてみても、ポイントソリューションの組み合わせから、統合管理が可能なソリューションへという動きが進展していくことは確実です。そうした動向も見据えながら、次世代のエンドポイントセキュリティを検討していただければと思います。