エンドポイント製品にサンドボックス/機械学習の検知機能をプラス「ESET Dynamic Threat Defense」

全自動で管理いらず、ESETの次世代セキュリティは「手軽」が特徴

文●大塚昭彦/TECH.ASCII.jp

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 「かつてのマルウェアとは異なり、最近では“白・黒がつけにくい”、危険かどうか単純には判断しにくいマルウェアが増えています。そこでサンドボックスや機械学習(AI)といった、新たなマルウェア検知手法を追加で必要とされるお客様が増えています」(キヤノンマーケティングジャパン 植松智和氏)

 キヤノンマーケティングジャパン(キヤノンMJ)では今年5月、法人向けESETセキュリティ ソフトウェア シリーズにおいて、新たな製品「ESET Dynamic Threat Defense」の提供を開始した。既存のESET製品とクラウドサービスとを連携させ、新たなセキュリティレイヤーとして機械学習やサンドボックスといった高度なマルウェア検知技術を追加できるものだ。

 近年では、機械学習(AI)やサンドボックスの技術を取り入れた「次世代エンドポイントセキュリティ製品」が数多く発売されている。ただし、既存のエンドポイントセキュリティに追加するかたちになると、導入や運用の手間がかかりコストも高くつきがちだ。そこでESET Dynamic Threat Defenseでは、こうした課題を解消した「手軽な導入」を実現しているという。キヤノンMJでESET製品の企画を担当する植松智和氏、同じく技術検証を担当する中村菜摘氏に、ESET Dynamic Threat Defenseの特徴を詳しく聞いた。

ESET Dynamic Threat Defenseで検知した脅威(ESET Security Management Centerの管理コンソール画面)

(右から)キヤノンマーケティングジャパン エンドポイントセキュリティ企画本部 エンドポイントセキュリティ企画部 エンドポイントセキュリティ企画一課 チーフの植松智和氏、同本部 エンドポイントセキュリティ技術開発部 エンドポイントセキュリティ技術検証課の中村菜摘氏

「次世代」の検知能力をプラスするESET Dynamic Threat Defense

 近年多発している標的型サイバー攻撃では、PCなどのエンドポイントを狙うマルウェアも、個々のターゲット(企業や個人)に合わせて「カスタマイズ」されるようになっている。これは従来型のアンチウイルス/マルウェア対策製品による検知をかわし、ターゲットに侵入するためだ。同様の目的で、実行ファイルではなくOS機能を悪用するスクリプトなどをターゲットに送り込む「ファイルレス攻撃」も多発している。

 こうした新たな攻撃手法に対抗するものとして注目を集めているのが、いわゆる“次世代型”のエンドポイントセキュリティ製品だ。従来型のセキュリティ製品では検知しにくい脅威を検知する技術を備え、特に標的型攻撃で狙われやすい大手企業などで導入が進んでいる。

 ESET Dynamic Threat Defense(以下、EDTD)は、そうした次世代型セキュリティの検知機能をESETエンドポイントセキュリティ製品に追加するオプション的な製品である。具体的には「ESET Endpoint Protection Advanced」などの法人向けESET Endpoint Protectionシリーズ(V7以降。以下、EEP)と、管理サーバー「ESET Security Management Center(以下、ESMC)」を導入している環境で利用できる。クラウドサービスとして提供され、現在は最小250ライセンスからの販売となっている。

EDTDのシステム構成(ESETとの連携)

 EDTDは、エンドポイントにインストールされているEEPと連携して動作する。メールやWebからファイルがダウンロードされると、まずはEEPがそれをエンドポイント上で多角的に解析し、それがマルウェアかどうかを判断する。ただしこのとき「マルウェアと断定はできないが、不審なファイル」であれば、自動的にEDTDのクラウドに転送して、より詳細な解析を実行するという仕組みだ。

 EDTDのクラウド上では、機械学習を用いたファイル解析とサンドボックスによるふるまい解析、ESETエンジンによる詳細スキャンが実行される。

EDTDクラウド上での解析処理

 まずは既知のマルウェアサンプルから開発した3つの機械学習/ディープラーニングモデルを使って、既知のマルウェアとの“類似度”を判定する。たとえば前述したカスタマイズ済みのマルウェアであれば、既知のマルウェアと完全には一致しないだろう。だが、既知のマルウェアと多くの点で似た特徴を持っていれば、「危険度が高い」ファイルと判断できる。

 次にサンドボックス環境内で実際にサンプルを実行し、そのふるまい(挙動)を分析する。ここでは外部サイトとの通信もチェックするので、単体では危害をおよぼさないダウンローダーのようなマルウェアも検出できる。そして最後に、最新のESETスキャンエンジンで異常な点を詳細に分析したうえで、総合的な検証結果を企業管理者のESMCに通知する。

 通知される検証結果は、危険度が高いものから「悪意」「非常に不審」「不審」「未感染(問題なし)」の4段階に分かれている。企業側のEEPでは、たとえば危険度が「非常に不審」以上のファイルは「実行中の処理を中止して駆除」するなど、検知時のしきい値とアクションを設定できる。

 なお、検証結果と同時に個々のファイルの情報(ハッシュ値)も通知されるので、一度クラウドに転送して検証済みのファイルは、それ以降さらに迅速に、エンドポイント側で処理が実行される仕組みになっている。

EEP内のEDTD設定画面(検出しきい値、検出後のアクションを設定)

 技術検証を担当する中村氏は、「実際にわれわれもEDTDを導入していますが、ファイルの転送自体はかなりアグレッシブに(積極的に)実行されます」と語る。もちろんその転送処理は自動的に行われるので、管理者やエンドユーザーに余計な手間はかからない。また、転送するファイルの制限(サイズ制限など)も設定できる。

 EDTDの検知技術が特に強みを持つものとして、中村氏は「オフィス文書」のファイルを挙げた。最近では、危険なマクロ/VBスクリプトを埋め込んだExcelやWordのファイルをメールで送り付けるような攻撃が増えている。こうしたマクロ/スクリプトはダウンローダーであるケースが多いが、従来の検知技術では確実な判断が難しかった。EDTDを利用することで、こうした“白・黒つけにくい”脅威もより確実に検知できるようになる。ちなみにキヤノンMJの導入環境では、クラウドへの転送後、およそ2~3分で検証結果が通知されるという。

 またEDTDでは、サンドボックスで観察した詳細なふるまいを含む分析結果をESMCのWebコンソールで確認できるようになっている。この分析レポートを見ることで、どのようなマルウェアなのか、攻撃者がどのような攻撃を展開しようとしているのかが具体的にわかる。植松氏は「しばしばお客様から『不審なファイルが見つかったので調べてほしい』とご依頼いただくことがありますが、EDTDならばそうした詳しい分析結果も自動的にレポートされ、簡単に確認できます」と説明する。

EDTDによるファイルの挙動分析レポート

導入や運用管理、コストの「手軽さ」が最大の特徴

 このように、EDTDは既存のEEPシリーズに次世代型のセキュリティレイヤーを追加し、より強固なエンドポイントセキュリティ環境を実現してくれる。ただしそれだけではなく、そうした強固なセキュリティを「手軽に」導入できる点が大きな特徴だ。導入や運用管理の作業に手間がかからず、なおかつ導入コストも安く済む。

 まず導入作業は、EDTDのライセンスを購入し、EEPの設定画面でEDTDを有効にするだけだ(管理者がESMCからまとめて設定変更することもできる)。これだけで、あとは自動的にEEPとEDTDが連携処理を実行してくれる。クラウドサービスなので、自社でサーバーを構築/運用する必要もなく、定期アップデートなどの管理作業も不要だ。

 EDTDの稼働状況は、既存のEEPと同じESMCのコンソールから監視できる。クラウド送信され、解析されたファイルの一覧や、詳細な解析結果などもこのコンソールで閲覧できる。危険度の高いファイルの検出件数などはダッシュボードで可視化されるので、定期的にこれを監視して、自社に対する攻撃が増えていないか、特定の部門や人物が攻撃ターゲットにされていないかといった状況も把握できる。

植松智和氏

 次世代エンドポイントセキュリティ製品は市場に多数登場しているが、EDTDはEEPシリーズに追加するオプション的な製品であり、他社製品と比べてかなり安く導入できる点もポイントだ。

 たとえば保護対象のエンドポイントが250台の場合、EDTDのライセンス税抜価格は1台あたり年額1,520円である。EEPシリーズの上位版製品「ESET Endpoint Protection Advanced」と組み合わせても、合計で1台あたり年額3,910円で済む(500台以上の規模になればさらに安価だ)。他社製品の価格が1台あたり年額8,000~10,000円程度であることを考えると、ESETの次世代セキュリティはコスト面でもかなり手軽と言えるだろう。

 EDTDはもちろん全社導入するのが理想的だが、特定の部門やユーザーにだけ導入することもできる。

 「全社でEEPを導入しつつ、特にリスクが高い部門だけ、EDTDを追加導入して防御力を高めることもできます。たとえば営業部門やサポート部門のような、社外のお客様とメールやファイルをやり取りする機会が多い部門に導入すれば、効果は大きいと思います」(植松氏)

ESETの製品哲学である「誤検知が少ない」点も重要なポイント

 もうひとつ、EDTDは「誤検知が少ない」点も特徴としている。地味なポイントのように思われるかもしれないが、実際には運用管理のしやすさにつながる重要なポイントだという。

 アンチウイルス/マルウェア対策製品では、しばしば「検知率の高さ」が評価基準と見なされてきた。たしかに検知率が高いことは重要だが、同時に「誤検知率」も高ければ使い勝手は悪くなる。特に企業においては、本当は問題のないファイルが誤検知でブロックされるようなことがあれば、業務の妨げになってしまう。管理者も誤検知で多発するアラートに振り回されるのは困るだろう。

 そして次世代エンドポイントセキュリティにおいては、この「誤検知の多さ」が導入を妨げる一因になっていると植松氏は指摘する。こうした製品は従来型のアンチウイルス製品に追加するかたちで導入されるケースが多いため、製品の存在意義を示そうと「悪い意味で積極的に」検知してしまい、誤検知も増えるというわけだ。

 ESET社では従来から一貫して「誤検知ゼロ」を目標に掲げており、セキュリティ製品の第三者テスト機関であるAV-Comparativesによるレポート(Summary Report 2018)でも「最も誤検知率が低いベンダー」と評価されている。EDTDにおいてもその姿勢は変わらない。「EDTDはアグレッシブにファイルをクラウドに送ると説明しましたが、しっかり多角的な解析を行うので、誤検知や過検知の件数は少ないと体感しています」と中村氏は語る。

中村菜摘氏

 今年5月の国内提供開始後、EDTDに対してはさまざまな企業から問い合わせがあるという。たとえば他社の次世代エンドポイントセキュリティ製品を導入したものの、誤検知の多さや運用の手間が課題となっており、それを解消したいと考える企業などだ。

 また植松氏が「少し誤算だった」と語るのは、エンドポイント台数が250台に満たない小規模な企業からの問い合わせも多いことだという。現在ではスタートアップのような小さな企業でもITセキュリティが「ビジネスの生命線」になっており、より高度なセキュリティを導入したいというニーズがあるようだ。

 「EDTDは導入コストも安く、専任のIT管理者やセキュリティ管理者がいない規模のお客様でも導入しやすいのはたしかです。われわれもそのニーズに応えたいと考えており、今後はより小さい規模のお客様にも販売できるよう、ESET社と前向きに検討を進めているところです」(植松氏)

(提供:キヤノンマーケティングジャパン)