準備開始は 2016 年にさかのぼる。同社はサービスの企画・設計を進めるなかで、世界中ありとあらゆる EDR 製品を徹底的に比較・検討し、最終的に CrowdStrike Falcon を選定。同社 MDRサービス推進部長 木内雄章氏は、その過程をリードし、深く関わった。
「お客様が、どの EDR がいいかを選ぶ必要などないように、第三者である我々が製品選定に徹底的に時間を費やしました」と語る木内氏に、製品選定プロセスとサービスにかける思いを聞いた。
●NRIセキュアの EDR 製品評価、4 つのポイント
2016年頃、日本にも複数の EDR ベンダーが進出したことで、NRIセキュアは 本当に使えるEDR 製品を選定するタイミングであると判断した。まず、EDR 製品を使ってサービスを提供するうえで「外せない点」を社内で固めたという。
選定で最も重視されたのは「(1)基本的防御性能」「(2)トレーサビリティー」「(3)使いやすさ」、最後に「(4)専門家から見て必要な情報が整って見える」という 4 点だった。
そして、いわゆる「 EDR カテゴリ」に含まれるほとんど全部の製品をはじめとして、国内企業に導入事例がある製品等は残さず評価・検証された。この、いわば「一次選考」を経て、最終選考に 4 つの EDR 製品が残った。
●「 8 割」では許容できない
「(4)専門家から見て必要な情報が整って見える」ことの精度はとりわけ重視された。欧米ではざっくり 80 % をカバーした説明ができればいいという傾向があるが、日本はそうではないという。日本は、インシデントレスポンス、その後の報告書作成、ステークホルダーへの説明会等で、細かいところまでしっかりした説明が求められ、その信頼性や論拠は何か、その先どうするかなど、詳細な説明を求められることが少なくない。
内容はもちろんのこと、体裁まで気を配った報告をしなければならず、そのためには起こった事象が可能な限り明確にとらえられていることが重要となる。もし2割の情報が欠落している製品を使用すれば、その 2 割をなかったことにして不明瞭で未確認な情報を元に、グレーな報告をしなければならなくなる。インシデントレスポンスに長く携わり、当事者と共に事故対応の苦しみを味わってきた木内氏は、必要な情報が欠落しないことが大前提と考えた。
● NRIセキュアの「サイバー攻撃知見」を用いて製品選定
最終選考に残った 4 つの EDR 製品に最後に課されたのは、業界屈指のセキュリティ診断技術を持つ NRIセキュアの「サイバー攻撃テスト」だった。
NRIセキュアは、ペネトレーションテストや脆弱性診断など、攻撃手法を応用したセキュリティ診断サービスを提供している。その NRIセキュアのプロフェッショナルが持つ疑似攻撃技術と知見を用いて、4 つの EDR 製品の評価を行った。
●総数 120 箇所の検証ポイント
均等な比較の材料として、120 箇所にわたる「外せない」と NRIセキュアが考える評価検証ポイントが設定された。
なお、評価実施時、EDR 製品の防御機能はオフにされた。防御機能をオンにしてしまうと、自動検知された後の攻撃に対するトレーサビリティーを確かめられなくなるからだ。防御機能オフの状態で攻撃を進行させ、その動きをしっかりトレースできるのかを確認した。
120 箇所の検証ポイントのなかには、ただ Windows 標準のコマンドを打つだけのような、正常とみなされる様なものも含んでいた。たとえ正規動作でも、アナリストが見たときにしっかりとアノマリーとして見出すきっかけになるかどうかが評価された。
製品評価に先立ち、 EDR 製品各社と機密保持契約が締結されたため、評価結果の詳細をここに公開するようなことはできない。
ただひとつ、NRIセキュアが行った評価シナリオすべてをクリアした製品はひとつも存在しなかったという。逆に言えば 4 製品すべての限界を超えるテストが行われたということになる。評価とは対象の能力を上回る者でなければ行うことができない。
120 箇所の検証すべてをクリアした満点の製品はひとつもなかったものの、メインで押さえたいポイントをほとんどすべて押さえていたのが CrowdStrike Falcon だった。このレベルなら従来の手動で行うフォレンジックアプローチと遜色なく、もしくはそれ以上の可視性・解像度を技術者が得られることを社内で確信できたという。
●技術的知見から正しいのはカーネルモード
基本的防御機能のパフォーマンスと同様に NRIセキュアがこだわったのは、製品のカーネルモード動作だ。
「軽量動作のためにも、カーネルモードに軸足を置くことが正しいことだと、技術知見から考えていました(木内氏)」
リソースを消費しないようにするには、カーネルモード動作をベースにしたほうが間違いなく、また近年、カーネルモードに入り込むウイルスもあり、ユーザーモードでは製品のプロセス自身をカーネルから停止させられてしまう懸念もある。そこにも対処するためにはカーネル動作している必要があるという。
「これは私どもが思っていることというよりは、アンチウイルス業界を例に取れば理解しやすいことではないでしょうか。アンチウイルス製品はカーネルモード動作を昔からベースにしています(木内氏)」
CrowdStrike Falcon はエージェントのインストールを必要とする。一般的にエージェントをエンドポイントに導入するのはハードルが高いと捉えられることが多い。しかし、CrowdStrike Falcon について「評価の際も、お客様に展開する際も、導入トラブルはほとんど起こりませんでした。」と木内氏は語る。
●お客様のためにNRIセキュアが選択
NRIセキュアは、EDR 製品評価過程において、同社が目指すサービスのために必要な機能が不足していた際、改修・改善要望をベンダー各社に打診していた。その際に、もともと性能も良く、機能改善要望も柔軟に聞いてくれたのが CrowdStrike だったという。
「機能追加予定のあるなしはすぐに返事をいただきました。ロードマップのどこに載っているか、優先順位はどうかなど、周辺情報も含め真摯に共有していただいたため事業計画を起こしやすかった(木内氏)」
NRIセキュアの「マネージドEDRサービス」が目指すのは、運用も含めすべて同社にフルアウトソースし、お客様に楽になってもらうことだという。誤検知も含めたアラートの発報や実際の着弾で、多くの企業が対応に苦しむ姿を目の当たりにしてきた木内氏の思いでもあった。
●スレット・ハンティングでリスク発現を抑える
一般的なマネージドセキュリティサービスは、検知のアラートを送り、端末での処置の判断を顧客に委ね、ファイアウォールで通信を閉じる等の具体的指示を待つパターンが多い。
NRIセキュアの「マネージドEDRサービス」は、発報したアラートに NRIセキュア側で 1 時間以内に白黒をつける。つまり「誤検知ではなく本当に危険なのかどうか」「危険だった場合どういうリスクがあるのか」「推奨アクションは何か」などを具体的に示すことまで行う。
いまやウイルス感染やインシデントは、どの企業にも起こりうる。「万が一何らかの脅威に遭遇した際には、「マネージドEDRサービス」が、これまで情報不足や技術不足で説明できなかったことに関しても説明責任を果たし、企業のレジリエンスを高めるための一助でありたい」と木内氏は語った。
NRIセキュアの「マネージドEDRサービス」では、CrowdStrike Falcon の機能を活かし、スレット・ハンティングも実施している。フォレンジックとスレット・ハンティングの違いは、インシデント発生前か後の違いのみで、基本的な流れは同じである。定常的に能動的なハンティングを行い、キルチェーンの途中で攻撃プロセスを阻止するため、インシデント発生にまで至らないケースが増えていると木内氏は実感している。
●ずっと探していた「道具」
EDR市場の需要が高まりをうけて、単純にマネージドサービスのメニューに追加するというパターンもあるかもしれないが、木内氏には一人の技術者としての思いと動機があった。
「事故対応支援をやっているなかで、いい『道具』がないかなとずっと思ってきました。フォレンジック調査の苦しみを知る人間はみな同じ思いだと思います。(木内氏)」
インタビューの冒頭でまっさきに語られた言葉だ。
いざ事故が起こると経営層は、何が起こったかの説明を性急に求める。取引先や監督官庁からのプレッシャーもかかる。ビジネスを早く再開しないと損害が発生すると突き上げられる。どんなときも木内氏は顧客の事故対応支援に最善を尽くしてきた。
●フォレンジックの難しさ
現場でインシデントが認識された瞬間から、実際に調査に入るまでに時間を経ることもあり、抜線後、端末のクリーンインストールが行われていたりして、当の端末から証拠が消えてなくなっている場合もある。また、HDD を解析のために運搬する事自体もリスクだ。運搬後も、分析を進める作法や手順は労力のいる作業である。
また、そもそも難しいのはログの収集保持である。積極的に実行する理由が存在しない、利益につながる作業ではないためリソースをかけるのが難しい、とりあえず監査目的でログを保持する、というのが現状である。たとえば金融庁が監督する業界であれば、ガイドラインに準拠するために保管はされている。しかし、多くは情報として不十分なことが多い。
たとえログが充分あり、無事運搬してデータを確保しても、その先に待つのはデータ可読化の関門だ。読めるようにする前処理だけでも、気が重くなるような時間と手間。そしてようやく可読化した大量のデータからアノマリーを見つけるのは、針の山から1本を探す様な、神経をすり減らす作業の繰り返しだ。
常時、エンドポイントから情報を収集保存する CrowdStrike Falcon は、これまでフォレンジック技術者が複数名で 1 ヶ月かけて到達したインシデントへの可視性と解像度を、すぐに技術者に提供する。それが、さきに挙げた顧客のメリットに繋がる。
●ついに探しあてた「道具」
120 箇所の検証ポイントを設けて徹底した攻撃負荷テストを行うというアプローチで、NRIセキュアはCrowdStrike Falconを高付加価値サービスの形成に採用した。
「我々は技術者。技術的アプローチにおいて、その知見を活用することをコアにしています。Falconによって調整事項や、データの確保も必要なくなり、分析に必要な情報が自動的に獲得・整理されている状態から対応を開始できる事で、技術者は知見を存分に活用していく事ができます」
そう語る木内氏にとって、NRIセキュアが選んだ EDR 製品は、手に馴染ませることに技術者としての喜びすら感じる「道具」でもあるように聞こえた。
![[インタビュー] 転換期にあるエンドポイントセキュリティに 4 つのテクノロジーで価値を提供(CrowdStrike Japan) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/26430.jpg)
