エンドポイントセキュリティの強化が課題に
ISVそしてSierとして、クレジット決済オンラインシステムにおける不正カードの検知ソリューションをはじめ、各種セキュリティ関連商材を提供するインテリジェント ウェイブ。自らもセキュリティ製品を開発・販売するだけに、従来より同社では社内でのエンドポイントセキュリティに関しても対策に力を入れてきた。
すべての端末にアンチウイルスソフトをインストールするとともに、WebセキュリティについてはWeb閲覧の際のURLフィルタやウイルス対策を導入し、メールセキュリティに関しても迷惑メールフィルタやウイルス対策をといった対策をとっている。しかし、アンチウイルスをすり抜けるゼロデイ攻撃をはじめとした攻撃手法が増加傾向にあることから、一昨年頃より現状の対策に対する懸念が出てきたという。
また、アンチウイルスソフトから時々アラートが出るようになり、Webのウイルス対策については1日数件のアラートが出ることもあった。加えて、メールをきっかけとした標的型攻撃のように、対策を打つ上で社員のスキルに依存する部分が大きい脅威も増大。
こうした事情から、同社は2013年末頃より、こうした脅威をシステムで止めるため、ソリューションの検討が始まったのである。
情報セキュリティをはじめ社内の情報システム全般を管轄する経営管理本部事業企画部 事業企画課の松本隆幸氏によると、国内ベンダーのソリューションを中心に情報を入手するとともに、自社のセキュリティソリューション部門から助言を得たところ、これらの製品でも攻撃を止められなったケースがあったことが判明したという。一方で、パロアルトネットワークスが提供しているエンドポイントセキュリティ・ソリューション「Traps」であれば上記のような脅威にも有効だろうという結論に達したのである。
「当時、Trapsは国内ではあまり展開されていませんでしたが、Trapsと連携する脅威インテリジェンスクラウド『WildFire』は世界的に実績がありました。また、情報システム部門としては、新たなセキュリティソリューションの導入と運用に関わる負担をできる限り最小限にしたいという思惑もあり、そこにもTrapsは合致していました」と、松本氏は振り返る。
こうして2015年の4月よりTrapsの試験導入を開始。セキュリティソリューション本部と経営管理本部の一部で試験運用しながら、同年夏の全社導入を目指して検証が進められていった。特に注意したのがセキュリティ製品同士の競合だ。開発部門のようにPCのリソースにシビアな業務もあり、セキュリティソフトを入れたせいで端末が使いづらくなるようなことがあってはならなかったのである。
「結果的に、ほとんど問題はありませんでした。強いて言えば、試験導入の当初、安全なファイルの一部まで脅威として検知してしまったぐらいですが、これは除外設定することで検知しなくなりました。従来は新たにセキュリティ製品を入れると動作が重くなったりと、ユーザーから何らかのクレームが発生していたりしたのですが、今回はまったくと言っていいほどそうした報告はありませんでした」(松本氏)
ほぼ自動に近いセキュリティ運用を実現
こうして試験運用で問題のないことを確認すると、2015年8月に全社でTrapsの運用が始まった。従来ながらのアンチウイルスソフトとWebセキュリティ、メールセキュリティに、Trapsが加わったことで、エンドポイントでの脅威を未然に防ぐことが期待された。
「一度アンチウイルスソフトをすり抜けてマルウェアが起動してしまったのをTrapsが止めたケースがありました。定義ファイルの更新前だったのかもしれません。該当するユーザーの画面に警告が上がると、すぐさまこちらに連絡が入り問題なく対処できました。Trapsの効果と合わせて、社員への日頃のセキュリティ教育の大切さを実感しました」(松本氏)
Trapsは、従来のアンチウイルスのようにパターンマッチングによってマルウェアを検知するのではなく、マルウェアの「挙動」を監視する。攻撃の各段階における技術・手法を検知しそれをブロックすることで、悪質なコード配信を無効化するのである。これにより、エクスプロイトと呼ばれる高度な攻撃を含む、あらゆるマルウェアの侵入を防ぐことができる。
また、Trapsが防御を行うと、攻撃ファイルの情報、動作、感染した際の想定結果、検知時のメモリ状況などの分析レポートが、エンドポイント セキュリティ マネージャ(ESM)に記録される。さらに、未知のマルウェアはWildFireへと自動的に送られ、WildFireを利用する世界中の企業・組織に対し、未知の攻撃の詳しい分析とネットワーク、端末両方の防御を実施するのである。
松本氏はこう評価する、「Trapsを導入したことで、いまではほぼ自動に近いセキュリティ運用が可能となっています。リソースの面でもセキュリティ機器のログを人が解析するのは厳しいですから、マルウェア検知時にリアルタイムメール通知と週1回のESMでの確認で対応しています。ESMがグラフなどで視覚的に見られるのも助かっています。アンチウイルスソフトのように定義ファイルの更新もありませんから、人的な負荷だけでなくネットワーク的な負荷が生じないのも当社の事情に合っていると感じています」
攻撃手法がより複雑かつ巧妙になっているなか、今後インテリジェント ウェイブでは、エンドポイントのみならず、現状の多層防御のセキュリティ対策全般に新たな技術を導入していく構えだ。
「事後対策ももちろん大事ですが、やはりできる限り事前に、そして自動的に攻撃を食い止められる体制を構築したいと考えています。そのためには、次世代ファイアウォールをはじめ、Trapsと連携できる製品も今後検討していくつもりです」(松本氏)