第4回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

脅威の検知だけでなく対処までを自動化 「FortiEDR」で運用負荷の課題をクリア

EDRが発したアラートへの対応が遅れ、100GB超の情報漏洩! どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • お気に入り
  • 本文印刷

■今回のセキュリティ事故:

 従業員数およそ600名の中堅物流企業であるG社では、半年前、社員が使う業務PCやファイルサーバーにEDR製品を一斉導入した。古くから導入してきたEPP製品、いわゆるアンチウイルスソフトだけでは、現在の高度化したサイバー攻撃には対抗できないと考えたためだ。

 ただし、限られた予算の都合上、SIベンダーに依頼できたのはEDRの導入作業とチューニングまでで、運用監視を委託するSOCサービスまでは導入できなかった。ひとまず今年度はIT部門が業務時間内で運用監視を行い、来年度の予算でSOCサービスへの外注を始める計画だった。

 そんなタイミングで、G社をセキュリティ事故が襲った。ある土曜日の深夜、すでに社内のPCに侵入(感染)していたランサムウェアが攻撃を開始し、ファイルサーバーに保存されていた100GB以上の業務データを盗み出したうえで、サーバー上にあったデータの大半を暗号化してしまったのだ。

 EDRは、攻撃開始の20分後には不審な動きを検知し、IT担当者にアラートメールを送信していた。しかし、休日の深夜ということもあり、担当者がアラートに気づいて緊急で状況調査を行い、感染したファイルサーバーやPCを特定し、隔離できたのは、翌日の朝だった。そのわずか数時間のうちに、被害は重大なものになってしまった。

 盗み出されたデータや感染した端末について迅速に調べることができたのは、EDRを導入していたおかげだ。だが、被害の発生を食い止めることはできなかった。……このセキュリティ事故はどうやったら防げたのだろうか?


激しさを増すランサムウェア攻撃を背景に、日本でも導入が進むEDR

 業務PCやファイルサーバーといったエンドポイント端末のセキュリティを強化するために、日本の企業でもEDR(エンドポイント検知&対応)の導入が徐々に進み始めている。調査により数字はまちまちだが、すでに30~50%の企業がEDRを導入していると見られる。

 従来から導入されてきたEPP(エンドポイント保護プラットフォーム)は、サイバー攻撃の初期侵入を「予防すること」を主な目的としている。その必要性は今でも変わらないが、ランサムウェア対策ではむしろ「侵入後の攻撃行動」を迅速に検知し、防ぐ必要があることから、EDRに新たな期待が寄せられているのだ。

 EPPの役割を“システムの門番”にたとえるならば、EDRは“監視カメラ”である。EDRでは、PC上で実行されるあらゆるプロセスを継続的に監視し、サイバー攻撃が疑われる不審なふるまいを検知して、アラートを発報する。また、攻撃者の侵入が発覚した場合に、EDRが記録(収集)したログを解析すれば、どのようにして侵入されたのか、攻撃行動がどの段階/範囲まで進んでいるのか、どのような実被害が出たのか(どの情報が盗み出されたのかなど)といったことも調査できる。

 こうしたEDRの機能によって、インシデント全体の可視化が可能になり、迅速かつ効果的な対応につなげることができる。

EDR導入のハードルは「導入するだけでは効果を発揮しない」点にある

 ただし、EPPとは違って、EDRは導入するだけでセキュリティレベルが高まるツールではない。具体的には、EDRが発するアラートを監視し、それがサイバー攻撃なのか誤検知なのかを判断する業務が継続的に発生する。そして、それが攻撃だった場合は、すぐさま調査や対処(脅威ハンティング)に着手しなければならない。

 繰り返すが、EDRはあくまでも“監視カメラ”であり、EDRが検知した脅威の分析や判断、対処には、セキュリティの専門人材が必要だ。この点が、EDR導入の大きなハードルとなってきた。自社で人材を確保し、継続的な(理想的には24時間365日の)監視体制を敷けるのは、通常、自社でSOC(セキュリティオペレーションセンター)を構えるような大規模な企業に限られる。

 そのようなセキュリティ人員と体制を持たない中小規模の企業では、24時間365日の厳密な監視をあきらめて運用するか、セキュリティ専門家が運用を代行するSOCサービス、MDR(マネージドEDR)サービスを利用することになる。もっとも、そのためのコストもまた、中小企業にとってはEDRの導入ハードルになってしまう。

 加えて、どのような運用形態をとるにせよ、EDRがアラートを上げたら迅速に対処の要否を判断し、対処を進めなければならない。EDRは「すでに不審なイベントが発生している」ことを知らせるものなので、そこから対処に時間がかかるほど脅威は進行し、被害が拡大してしまう。今回取り上げた事故事例のように、検知から「わずか数時間」のうちに大きな被害が発生してしまうこともある。

「検知から対処までの自動化」で導入ハードルを引き下げたFortiEDR

 こうした運用の難しさというEDRの課題を「検知だけでなく対処までの自動化」によって解消するのが、フォーティネットの「FortiEDR」である。フォーティネットではFortiEDRを、旧世代のEDRとは一線を画した“次世代のEDR”と位置付けている。

 FortiEDRの最大の特徴は、上述した「自動化」だ。人間による調査と判断、対処が必要な旧世代のEDRでは、どうしても対処までに時間がかかってしまい、攻撃者に時間的な猶予を与えてしまうことになる。

 一方で、FortiEDRでは、エンドポイントで発生したイベントをリアルタイムに分析/分類し、リスクがあるもの(「確実に安全」なもの以外)はいったん活動をブロックする仕組みだ。そのうえで「FortiEDRクラウドサービス(FCS)」による詳細な検証を行い、「確実に安全」であると確認したうえで、ブロック対象から除外する。

 リスクがあると判定されたイベントについては、あらかじめ定義したプレイブックに基づく自動対処が行える。「メールの送信」や「チケットのオープン」といった担当者への通知だけでなく、高リスクなイベントの場合は「デバイスの隔離(通信の遮断)」「プロセスの停止」「ファイルの削除」といった初動対処も自動化できる。

 なお、こうした一連の自動化機能には、高度なAI技術も組み込まれている。膨大な脅威のパターンを学習したAIが、イベントログから脅威を検出したり、アラートの優先順位付けをしたりする際に活用されている。

FortiEDRは、自動化によって対処までにかかる時間を大幅短縮する

エンドポイントのイベントは6段階でリスク分類される。確実に「安全」と判断できるイベント以外はブロックする

 次世代ファイアウォールの「FortiGate」も導入している場合は、さらに高度な対処が行える。攻撃者のC2サーバーなど、FortiEDRで検知したリスクのある接続先の情報(IPアドレス)をFortiGateに共有し、ネットワークレベルでも通信をブロックできる自動連携機能を備えている。これにより、EDRのエージェントがインストールされていないIoT機器も含めて保護できる。

「ランサムウェア被害の復元」など、侵入前/後の幅広い対策機能も

 さらに、FortiEDRは“EDR以外の機能”、具体的には攻撃侵入前の「発見/予測」や「保護」、また侵入後の「修復」といった機能も備えている。

FortiEDRが提供する機能の全体像。EDR以外のエンドポイントセキュリティ機能も内包している

 たとえば、脆弱性がCVEに報告されているバージョンのアプリケーションが実行されている場合は、そのリスクとポリシーに応じて、起動や外部への通信をブロックすることができる。業務への影響を軽減するために、通信はブロックしつつ実行を許可することも可能だ。

 また、NGAV(次世代アンチウイルス)機能も内蔵しており、カーネルベースエンジンとAI/機械学習ベースのエンジン、サンドボックス、脅威インテリジェンスなどを活用して、未知のマルウェア、ファイルレス攻撃、マクロ攻撃を含めた検知/防御を行う。

 侵入後(感染後)向けの機能としては、ランサムウェアによるデータの暗号化/変更のブロック、さらには特許技術を用いたロールバック(データの復元)機能も備えている。

* * *

 FortiEDRが備える自動化機能と広範囲のセキュリティ技術によって、IT/セキュリティ担当者の運用負担は大幅に軽減される。そのため、EDRの自社運用も容易になり、社外SOCサービスの利用も必須ではなくなる。フォーティネットでは現在、生成AIアシスタント「FortiAI」をさまざまな製品に組み込んでいるが、これがFortiEDRにも対応すれば、自社運用はさらに現実的な選択肢になるはずだ。


■セキュリティ事故、その後日談:

 G社のランサムウェア被害は、業務遂行に大きな影響を及ぼした。感染したエンドポイントの特定とクリーンアップを行うとともに、攻撃を免れたバックアップからファイルサーバーの復旧を実施したが、業務体制が元どおりに復旧できたのは、およそ3週間後のことだった。

 もっとも、EDRのログ記録から、事故発生の根本原因や盗み出された業務データを特定できたのは不幸中の幸いだった。取引先への事故報告の際に、事故原因をふまえた今後の対応策や、情報漏洩の影響などを詳しく説明することができたため、取引先の中には「大変でしたね」と同情してくれる会社すらあった。

 EDRについては、自動化機能が充実していない現在の製品の利用をやめて、FortiEDRに乗り換える方向で検討を進めている。G社ではFortiGateを導入しているため、管理の統合や連携機能によるセキュリティ強化も期待できる。EDRの自社運用を続けるかどうかは未定だが、IT担当者は「最初からFortiEDRにしておけば……」と後悔しているという。


※この記事で紹介したストーリーはフィクションです。実在する組織や人物とは関係ありません。