サイバー攻撃は年々増加傾向にあり、2024年も例外ではない。とくにエンドポイントセキュリティが注目される昨今、EPPに加えて多くの企業が導入しているのがEDRであり、その一方で導入したEDRを活用しきれていないなどの課題も散見される。企業はEDRをどのように運用し、セキュリティ対策を行うべきなのか。

3月7日に開催された「TECH+フォーラム - セキュリティ2024 Mar.『推奨』と事例に学ぶ事前対策」にウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア 目黒 潮 氏が登壇。EDRの活用における考え方や具体的なプロセスについて語った。

意外にも新しい攻撃は少ない……!? サイバー攻撃の最新動向

ウィズセキュアは主にエンドポイント保護(EPP)やエンドポイント検知&対応(EDR)製品の開発・販売を手掛け、コンサルティングサービスなども展開。フィンランドに本社を置き、日本法人は1999年に設立されており、長い歴史と実績を誇っている。

同社のサイバーセキュリティ技術本部でシニアセールスエンジニアを務める目黒氏は、2024年のセキュリティ対策の前提として「サイバー攻撃の商業化」、「ネットワーク保護を迂回する攻撃」、「テレワークの普及」の3点を挙げる。

かつては“いたずら”の延長だったサイバー攻撃だが、近年ではビジネスとして行われるようになり、ファイアウォールを迂回する攻撃が目立ってきた。また、コロナ禍でテレワークが普及したことにより、従業員が外出先などでPCを使うことが増えており、リスクが高まっているという背景もある。

こうしたなか近年注目を集めているのが、PCやスマートフォン、サーバを保護するエンドポイントセキュリティである。

「IR(インシデントレスポンス)などの仕事に従事されていればご存知の通り、ネットワーク保護の情報を見てもわからないことが多く、エンドポイントを先に調べることが増えてきています」(目黒氏)

  • ウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア
    目黒 潮 氏

一方で、サイバー攻撃側の動向にも注目したい。目黒氏によると、2023年は新型ランサムウェアが多数登場し、月を追うごとに攻撃数は増加傾向にあるという。ただし「本質的に新しいものは限られている」とのことだ。

「2023年4月に活動を開始したAkiraというランサムウェアはコードこそ独自のものですが、その挙動は前身となるグループのContiと共通点が多いのです。つまり、AkiraはContiがうまくいったので、それをもとに作られたランサムウェアであり、犯罪技術自体の革新的な変化は乏しいといえます」(目黒氏)

こうした状況をふまえると、「当面のサイバーセキュリティにおいては新たな検知・保護の技術を導入するよりも、EPP/EDRの全面的な導入と運用の徹底が重要である」と目黒氏は指摘する。

ではEPP/EDRの導入と運用において、なにを重要視すべきなのだろうか。

EPP/EDRをうまく活用するために重要な「脅威モデリング」

ここで、EPPとEDRについてあらためて確認しておこう。目黒氏はEPPとEDRの違いについて、自宅のセキュリティを例に挙げ次のように説明する。

「アンチウイルスソフトなどのEPPは、一般家庭で言うオートロックのような防犯システムに近いものです。そのため一旦侵入されてしまうと対処できないこともあります。そこで出てきたのがEDRです。これはその行動を追跡、監視しつつ記録し、問題を見つけたらリアルタイムで警告する家の各所に設置した防犯カメラのようなものです」(目黒氏)

だからといってEPPが不要というわけではない。EPPは現在においてもセキュリティの基盤であり、脅威の自動的な予防や検出、修復を担うものだ。一方でEDRはEPPで対処できない異常を特定・警告するシステムであり、侵害の封じ込めや回復手段も提供する。EPPとEDRは役割が明確に異なるものであり、どちらか一方ではなく組み合わせて活用すべきといえる。

では、これらをうまく活用するにはどうすればいいのか。目黒氏が推奨するのが「脅威モデリングを意識した対応技術の洗練」である。

EDRは単にエージェントをインストールし、管理画面を見るだけではうまく活用はできない。攻撃を受けたときや、何かが起きた場合にどういった行動を取るのかを事前に考え、セキュリティグループ全体に周知しておく必要があるのだ。これが「脅威モデリング」を軸にした活動である。

そのためには攻撃経路を理解しておくことが求められる。会社の資産を分類し、攻撃者の視点に立ったうえで、「何を保護するべきか」を明確にし、脆弱性を管理するのだ。

脅威モデリングは机上の協議によって行う。脆弱そうな箇所への攻撃方法のリストを作成し、ExcelやWordなどでまとめておけばいい。ただし、ユースケースや機能などの導入・運用手順を参考にすれば良いというものではない。

「盗難などの一般犯罪では、犯罪者の観点が必要です。壁や天井、ドアが正しく作られているかは問題ではなく、侵入経路や防犯カメラの盲点などに着目することで犯罪を紐解く手がかりになります。脅威モデリングも同様に、設計を考慮して主要な攻撃手段を列挙することが必要です。たとえばソーシャルエンジニアリングにより認証を奪ったり、データを暗号化して身代金を要求したりといった手段として何が考えられるかを事前に検討しておくのです」(目黒氏)

こうした脅威モデリングはエンジニアに限らず誰もが参加可能だ。多くの関係者に参加してもらい、何度も実施して当事者意識を持ってもらうことが重要だという。

EPP/EDR運用のあるある課題、解決する方法とは?

続いて、EPP/EDRの運用における課題だ。「買ったけれど運用が難しい」というのはよくある課題だという。というのも、EPPとEDRは一般的に画面が異なるため、それぞれの結果の整合性を取りながら読み解くのに手間がかかるからだ。また整合性が取れても対応にもたつくことも多い。

こうした担当者の育成や採用が難しく、EPP/EDRを使いこなすコストが高くなりがちという点も課題だろう。では、どうすればいいのか。

ウィズセキュアの製品にはこうした課題を解消しうる特徴があると目黒氏は言う。

「EPPをすり抜けた脅威をEDRで監視して検出したり、単一エージェントと単一管理画面による一元的な管理を行えたりするものは、弊社製品に限らず各社も提供しています。弊社の製品はさらに、EPPでブロックした結果をEDRで可視化したり、さらにもう一歩進んでEDRの検出結果を活用し、厳格なEPPプロファイルを動的に割り当てたりすることが可能です」(目黒氏)

また、何か問題があり、その内容が読み解けない場合でも、ウィズセキュアの専門家に問い合わせることができる「チケット制インシデントレスポンス支援サービス」をオプションで用意している。管理ポータルのアラート画面からチャット形式で対応してくれるため、安心して運用できるというわけだ。

さらに、EDRの検知後に自動でラベル付けと設定の変更を行う機能も搭載している。これにより特定のアプリを使えないようにしたり、セキュリティパッチを適用したりできるという。これはウィズセキュア製品の独自機能である。

EDRを選ぶ際にはいくつかの観点があるだろう。社内リソースやメンバーのスキル、導入・運用コスト、あるいは製品の知名度を重視したくなるかもしれない。しかし、それらよりも重要なのは「実際に攻撃を受けたらどうするのか?」を考えることだろう。導入したけれど運用が難しかったり、EPPとEDRの連携がうまくいかなかったりするのでは元も子もない。

講演で目黒氏が語った「EPP/EDRにおける課題」を解消できる製品を選び、いち早く脅威に備えることが企業には求められているのだ。

ウィズセキュア株式会社
WithSecure™Elements Endpoint Protection
WithSecure™Elements EDR

[PR]提供:ウィズセキュア