ESET PROTECT MDR LiteとID Entranceの連携で実現する、盗まれたアカウント情報の悪用防止
EDR単体では防げない“セキュリティのすき間”を狙う新しい攻撃 IDaaSとの連携機能で守りを固める
提供: キヤノンマーケティングジャパン
2025年秋、日本の大手EC/物流事業者で発生したサイバー攻撃被害。数週間にわたってECサービスの商品出荷が止まったうえ、同社の物流代行サービス(3PLサービス)を利用していた他社のEC事業も停止するなど、ビジネスに大きな影響を与える事件となった。
この事件をめぐっては、あらためてランサムウェア攻撃がもたらす脅威に注目が集まったが、報告書によると、その裏では“第2のサイバー攻撃”が行われていた。データセンターへの侵入と情報窃取、ランサムウェア攻撃が行われた数日後に、クラウド上にある業務システムへの不正アクセスと情報窃取も実行されたのだ。第1段階で盗み出したIDやパスワード(アカウント情報)を用いて、第2段階の攻撃が実行されたものと推測される。
この企業では、第1段階の攻撃発生を検知した際、データセンターで感染エンドポイントの隔離やネットワーク遮断といった対策を実施していた。しかし、盗み出されたアカウント情報を悪用したクラウドへの攻撃までは想定していなかったと思われ、第2段階の攻撃が発覚してからクラウドのパスワードリセットを実行している。
近年では、こうした「エンドポイントからクラウドへ」攻撃を拡大させる手法が珍しいものではなくなっている。EDRを導入しており、攻撃の検知やネットワーク隔離が行えたとしても、クラウドでのアカウント情報の悪用までは防げない。EDR単体で防げる被害には限界があるのだ。
そこで、キヤノンマーケティングジャパン(キヤノンMJ)では、IDaaSの「ID Entrance」とマネージドXDR(MDR)の「ESET PROTECT MDR Lite」の連携ソリューションを提案している。MDRが攻撃を検知したら、その情報をIDaaSにも伝えることで、アカウント情報の不正利用も迅速にブロックする。
今回は、現在のサイバー脅威に対抗するためにこうした連携ソリューションが必要な理由、そしてその仕組みを詳しくご紹介する。
ESET PROTECT MDR Lite+ID Entranceの連携ソリューションの概要
導入が進むEDRとIDaaS、その“すき間”に生まれる問題
まずはEDRとIDaaSの提供するセキュリティ機能について、簡単におさらいしておきたい。
EDRは、PCやサーバーといったエンドポイントの挙動を細かく監視し、サイバー攻撃が疑われる不審な挙動を検知する。そのうえで、攻撃プログラム(ランサムウェアなどのマルウェア)のプロセス停止、感染したエンドポイントのネットワーク遮断といった初動対応の支援サービスも提供する。
ただし、この初動対応には専門的なセキュリティ知見を持つ人材が必要である。EDRがアラートを上げた“不審な挙動”が、攻撃につながる予兆なのか、単なる誤検知かを見分けるスキルが必要だからだ。しかも、サイバー攻撃はいつ発生するか分からないため、24時間×365日の監視体制を敷くのが望ましい。
しかし、多くの企業では、こうした体制を自社だけで実現するのが難しい。そこで、MDR(マネージドXDR)と呼ばれるサービスが登場した。セキュリティベンダーが、専門人材によるEDRの監視や運用、迅速な初動対応までを代行するサービスだ。
一方、IDaaSは、さまざまな業務アプリケーションSaaSのユーザー認証/認可を一元管理する、SaaS型のID管理サービスだ。IDaaSで一度だけログイン(認証)すれば個々のSaaSへのログイン操作が不要になる「シングルサインオン(SSO)」、多数のSaaSへのユーザー登録/削除がIDaaSで一括してできる「IDプロビジョニング」など、ユーザーやIT管理者に便利な機能を提供する。
それと同時に、接続元のIPアドレスでアクセス制限をしたり、IDaaSでのログイン時に多要素認証やクライアント証明書を必須としたりすることもできるため、利便性と同時にセキュリティも強化される。
EDR、IDaaSとも、高度化したサイバー攻撃に対抗するためのセキュリティ強化手段として注目されており、「すでに導入している」あるいは「導入を検討している」企業も少なくないだろう。
ただし、EDR、IDaaSはそれぞれ独立したカテゴリの製品であり、個別に導入、運用されるケースが多い。そのため、冒頭で触れたような「エンドポイントから盗み出されたアカウント情報が、クラウドへの攻撃に悪用される」ような被害は防げない。そして実際に、EDRとIDaaSの“セキュリティのすき間”を突いて、クラウド上の機密情報を盗みだそうとする攻撃は増えつつあるという。
こうした攻撃を防ぐには、EDRとIDaaSを連携させて、EDRがエンドポイントへの攻撃を検知した際に、IDaaSがクラウドのユーザーアカウントを自動でロックする仕組みが有効だろう。ただし、エンドポイントとユーザーアカウントをひも付けて一件ずつ登録する必要があれば、作業に手間がかかるだろう。
EDRとIDaaSの連携で実現される「セキュリティの強化」とは
こうした“セキュリティのすき間”を埋め、対策をさらに強固なものにするために、キヤノンMJではESET PROTECT MDR Lite(以下、MDR Lite)とID Entranceを連携させる機能をリリースした。
詳しくは後述するが、MDR Liteでエンドポイントの異常な挙動(攻撃の可能性)を検知し、初動対応としてネットワーク隔離を実行したタイミングで、その情報をID Entranceにも通知する。この通知を受けたID Entranceが、エンドポイントを利用するユーザーのアカウントに自動でロックをかける機能だ。これにより、エンドポイントからアカウント情報が盗み出されたとしても、クラウドでの悪用を防ぐことができるわけだ。
キヤノンMJが販売するMDR Liteは、コスト面でも運用面でも企業担当者の負担を軽く済ませられるMDRである。1ライセンスあたり月額換算で1000円程度 ※注 で導入できて、EDRのソフトウェアに加え、ESETとキヤノンMJの専門家による24時間×365日のEDR監視/サポートまで提供される。
さらに同製品は、導入時のチューニングやカスタマイズの作業をなくし、攻撃検知時の初動対応による脅威の封じ込め作業も自動化している。セキュリティ専門人材がいない企業でも手軽に運用できるので、特に中堅・中小企業で導入されるケースが多い。
※注:ESET PROTECT MDR Liteの希望小売価格は、ライセンス数により異なる。50~74ライセンスの場合は1ライセンスあたり年額1万2280円(税抜)で、ライセンス数が増えればボリュームディスカウントもある。
■詳しい特徴はこちらの記事で:
・ESET PROTECT MDR Lite:MDRの運用・コスト負荷をとことん“軽く”! 中小企業でも導入しやすい製品はこれ
ID Entranceも、中堅・中小企業が導入しやすいIDaaSである。月額換算150円(税抜)と低価格で提供され、業務SaaSのユーザー認証/認可とID管理を一元化することができる。
ID Entranceでは、SSOやIDプロビジョニングはもちろんのこと、ワンタイムパスワードを使った多要素認証、パスワードレス認証を実現するパスキー、会社指定端末だけに利用を制限できるクライアント証明書、不正利用を抑止するログ管理機能、ユーザーの追加/削除の手間を省くActive Directory連携など、豊富なIDaaS機能を備えている(一部機能はオプション提供)。サービスのアップデートが毎月繰り返されているので、機能強化が速い。
「サポートの手厚さ」もID Entranceの特徴である。IDaaSの導入時には、ユーザーの登録/削除や外部SaaSとの連携設定といった作業が発生するが、ID Entranceの場合はこれらをサポートセンターで代行するサービスもライセンスに含まれ、追加コストなしで利用できる。そのため、セキュリティ専門人材がいない中堅・中小企業でも安心して採用できる。
■詳しい特徴はこちらの記事で:
・ID Entrance:増え続けるクラウドアプリとユーザーアカウント管理の悩み、「ID Entrance」で解決!
「ID Entrance」の機能概要
今回のテーマである両製品の連携機能は、次のように動作する。
まず、MDR Liteがエンドポイント上で異常(インシデント発生)を検知すると、該当するエンドポイントのネットワーク隔離処理を行う。それと同時に、MDR LiteからID Entranceに該当エンドポイントの情報(MACアドレス)を通知する。通知を受けたID Entranceは、そのエンドポイントにひも付いたユーザーアカウントをロックするとともに、既存のSSOセッションもすべて切断する。
こうした仕組みにより、エンドポイントからアカウント情報が盗み出されたとしても、それを悪用した業務SaaSへの不正アクセスを防ぐことができる。一連の処理はすべて自動化されているため、IT管理者がすぐに対処できなくても問題ない。
なお、個々のエンドポイントとユーザーアカウントのひも付けは、MACアドレスに基づいて自動的に行われるので、管理者が一つずつ手作業で登録する必要はない。また、ID Entranceから管理者に届くアカウントロックの通知メールには、アカウント復旧のための手順も記載されているので、誤検知からの復旧も含めてスムーズな対応が可能だ。
ESET PROTECT MDR Lite+ID Entranceの連携ソリューションの詳細構成
* * *
たとえ防御側がセキュリティ対策を強化し、守りを固めても、攻撃者は常にその“すき間”を探して狙ってくる。今回取り上げた攻撃手法はそのひとつの例であり、すでにその被害も出ている。
そうした現在の脅威状況に対抗するために、MDR LiteとID Entranceの連携機能は「なくてはならない機能」だと言ってよい。中堅・中小企業でもサイバー攻撃の大きな脅威にさらされる現在、導入しやすい両製品の組み合わせによる連携ソリューションは、とても魅力的ではないだろうか。
本記事はアフィリエイトプログラムによる収益を得ている場合があります