もはや企業のセキュリティ対策はアンチウイルスだけで十分とはいえない。次世代ファイアウォールやUTMの他、エンドポイントを統合的に守るEDRといったソリューションの合わせ技が重要とされる。企業は守りの形をどう考えていけばいいのか。
植松 智和 氏は1月末から2月にかけて大阪と東京で開催されるSecurity Days 2020で「実は被害は増加している?エンドポイントにおける『本当に有益な』セキュリティ対策とは」と題した講演を行う。講演の見どころと、キヤノンマーケティングジャパンが考えるエンドポイントセキュリティについて話を聞いた。
大阪会場:1月31日(金) 11:35-12:15
東京会場:2月5日(水) 10:30-11:10
――講演では、企業におけるサイバー攻撃の実態についてお話するそうですが、被害件数が増えているというのは本当でしょうか。
植松氏:はい。数字については、自社が保有するデータや、公開されている統計数値など、複数のエビデンスをもとにわかりやすくお話しするつもりです。件数増加は必ずしも目新しい事実ではないかもしれませんが、事例を分析していくことで、攻撃の質や内容の変化が見えてきます。
――質や内容がどのように変化しているのですか?
以前は、PCなど端末をウイルスに感染させるという、いわば「点」への攻撃が主流でした。この場合、対策も特定の点、つまりPCやサーバーを保護するアンチウイルスで対応できることを意味します。
それが、しだいに「線」に広がります。ここでいう線とは、ネットワークを通じて攻撃を広げていくことです。対策方法は、ファイアウォールやIPS/IDSへと進化しました。
現在は、クラウドサービスやメールを媒介として、取引先やグループ企業などサプライチェーンへの攻撃が広がっています。つまり攻撃が、業界やエコシステム全体という「面」で展開されている状態です。
――面への攻撃に対してはどんな対策が考えられますか。
攻撃者は、アカウントを乗っ取ったり、脆弱性を利用したりして、サプライチェーンの中に侵入してきます。見かけは正規ユーザーであり、最近ではファイルレスのマルウェアも増えているので、トラフィックログやファイルの静的なチェックでは不十分で、ふるまい検知やネットワーク監視といった手法が必要です。状況によっては、継続的な監視で特定のパターンや文脈を見るようなチェックも必要になるでしょう。
――いわゆるEDRソリューションですね。
はい。昔は、セキュリティ対策は生命保険みたいなもので、とりあえずやっておく、という感覚で済みましたが、現在はそう言っていられなくなりました。サプライチェーン攻撃の増加でEDRがあらためて注目されているのです。
――EDRは、専門の新興ベンダー製品が先行してきましたが、アンチウイルスに歴史を刻むESET製品を扱うキヤノンマーケティングジャパンのEDRの特長は何ですか。
弊社で扱う製品はESET Enterprise Inspectorです。
EDRは一般的にアンチウイルスで見つけられないマルウェアを検知してくれますが、半面、積極的に脅威や不審な挙動を検知するので、設定しだいでは、検知数やアラートが多くなる傾向があります。なかには誤検知も多く含まれ、対応しきれないという場合があります。誤検知がとても少ない点がESET Enterprise Inspectorの強味のひとつです。ESETは誤検知が少ないアンチウイルス製品として受賞したこともあります。
また、侵害がいざ発生した場合の調査実施時に、アラート単位、ファイル単位、コンピュータ単位など、多角的な軸をもとに深掘りをすることができるため、 侵害経路を把握し、終息宣言やステークホルダーへの報告に生かすことができます。
ESET Enterprise Inspectorは、既存のESETのアンチウイルスと組み合わせて、ひとつのダッシュボードで脅威の管理ができるというのも特長です。加えて競合製品に比べてかなり導入しやすい価格設定にしています。一般的なEDRの約半分程度、それ以下の価格とお考え下さい。
――体制を整えている大企業はともかく、侵入経路を深堀りして分析するようなところまでは、かなり荷が重い企業もありそうですね。
たしかにEDRは、ユーザー側に一定のスキルが必要です。そのためマネージドサービスも進んでおり、ESET Enterprise Inspectorに関しても海外ではリモートでオンプレミス環境を監視してくれるサービスが提供されています。現在、EDRのリモートでのマネージドサービスを日本でも準備中です。
また、ESET Dynamic Threat Defenseという、アンチウイルスとEDRの間を補完する製品も準備しました。一般論ですがEDRが侵入「後」の対応に比重を置くものだとすれば、この製品は、そもそもの侵入を防ぐことをあきらめない、ESETらしい製品です。
ESET Dynamic Threat Defenseの解析はクラウドで行われます。そのため、ローカルのリソースに依存せず、高度な分析、高速処理が可能です。アンチウイルスは導入しているが、IPS / IDSやUTMはまだ、という企業は、アンチウイルスにESET Dynamic Threat Defenseを組み合わせて運用するという使い方ができます。サプライチェーンのセキュリティ向上のために親会社や取引先からセキュリティ対策強化を指示されたら、ESET Dynamic Threat Defenseが選択肢になるでしょう。
――最後に当日の講演内容について教えてください。被害状況の分析以外にはどんな情報が提供されるのでしょうか。
現実の被害については、先ほど述べたように統計や資料ベースにまとめたいと思っています。被害件数や金額についてのデータを示しながら、犯罪や攻撃のハードルが下がっていること、どんな攻撃が増えているのかを検証します。
講演は、ではそのデータに基づいて、自分の会社ではいったいどこを強化すればいいのか、適切な投資ポイントを掴んでいただけるヒントとなるお話をします。是非会場でお会いできればと思います。
Security Days 2020
「実は被害は増加している?エンドポイントにおける『本当に有益な』セキュリティ対策とは」
大阪会場:1月31日(金) 11:35-12:15
東京会場:2月5日(水) 10:30-11:10
