大阪(1/31)・東京(2/5~7)・名古屋(2/20)の順に開催されるセキュリティカンファレンス「Security Days 2020」では、株式会社ソリトンシステムズのエバンジェリスト 荒木粧子氏が登壇する。荒木氏が考えるここ数年のエンドポイント対策製品と攻撃手法のトレンドを中心に、講演の見どころを聞いた。
──荒木さんのミッションとエバンジェリストとしての仕事についてお聞かせください。
肩書はエバンジェリストですが、実際には、自社開発製品のプロダクトマネジメント業務が主な仕事になっています。
サイバー攻撃の高度化・巧妙化だけでなく、IT環境もクラウドやIoTの本格活用により複雑になってきている現状もあり、セキュリティ課題の難易度が高くなっていると感じます。
サイバーセキュリティ観点での脅威状況やその対策の理解といった領域でお客様をご支援しつつ、逆にお客様の課題を教えていただいて開発にフィードバックしていくことがミッションです。製品開発ベンダーとしては、製品を通じてお客様の課題解決に取り組むにあたり、お客様との対話の中で課題を深く理解することも、エバンジェリストに求められています。
また、Soliton-CSIRTメンバーでもあり、CSIRT業務にも携わっています。
──ソリトンのEDRへの回答ともいえる「InfoTrace Mark II」について、概要や特長、差別化ポイントを教えてください。
「InfoTrace Mark II」は、エンドポイントにおける証跡を重視したEDRで、サイバー攻撃と内部不正の両方に対応できる点が差別化ポイントです。公共、重要インフラを中心としたお客様への導入実績があります。
一般的なEDR製品では、検知できなかったイベントや内部不正に関して長期間遡って調査することが困難なことが多く、また従来型のPC操作ログではサイバー攻撃の調査に必要な情報が記録されていないといった課題があります。「InfoTrace Mark II」は、こうした課題に応える製品です。
近年は、安全保障の観点から国産の弊社製品をご採用いただだくケースも増えてきましたが、日本のお客様ならではの課題に一緒に向き合っていける点も、開発ベンダーとしての弊社の強みと自負しています。
──ここ数年のEDRを中心としたエンドポイント対策市場の変遷についてどう見ていますか。
2013年、ガートナーが「ETDR」(Endpoint Threat Detection and Response:のちにEDRと短縮)カテゴリーを定義したことが、EDR市場の始まりと言えるでしょう。
その頃からランサムウェアが徐々に増え始めていました。ランサムウェアは、感染してすぐにファイル暗号化という被害が出るため、スピード勝負で検知・対応が求められます。ところがEDRは当時、従来対策で検知できなかった脅威を事後対策として「検知」することを重視している製品が多く、ランサムウェアには弱い側面がありました。ランサムウェアの広がりを受け、EDR製品も、事後検知と対応だけでなく、「防御」が求められるようになり、多くのEDRベンダーがEPP機能の強化に舵を切っていきました。
──EPPとEDRが再定義されることになったのですね。
ガートナーがEPPを再定義し、EDR機能も広義のEPPに含まれるとして両者を統合したのが2017年でした。
また、こうした対策製品の進化に伴い、攻撃手法が変化してきたことも見落としてはいけないと思います。
大量の使い捨てマルウェアに対抗する手段として、2015年ごろから検知エンジンへのAIの活用が進んできましたが、その頃を境に、AIが検知しやすいPE形式(EXEやDLLなどの実行ファイル)のマルウェアではなく、Office文書ファイルのマクロや、スクリプトを用いた攻撃が増えたのです。最近では、OS標準搭載のコマンドを活用した攻撃は「LOLBAS(Living Off The Land Binaries and Scripts)」とも呼ばれ、珍しくなくなってきましたが、良性・悪性の判断が難しいこうした攻撃手法が増えた背景には、AIによる検知をかいくぐる攻撃側の工夫があったと考えてよいと思います。もちろんその後AIの活用も進化を続けているので、PE形式のマルウェア以外の分析にも利用されるなど、状況は今後も変わっていくと思います。
──まさに攻防の歴史ですね。
攻撃側と防御側のせめぎあいはサイバーセキュリティ業界では常に行われているものですが、ここ数年のEPP/EDR市場はまさに激動だったのではないかと思います。
ちなみに、良性・悪性の判断が難しい攻撃の調査には、ユーザー操作を含めたエンドポイントにおける証跡ログが有益な情報となるのですが、サプライチェーンリスクへの対応としても、証跡ログが必要となるシーンが増えています。つまり、サプライチェーンの一つでインシデントの兆候があったときに、自組織で類似の攻撃を受けていないかをその当時まで遡って調べることを求められるようになってきました。これはサイバー攻撃・内部不正とも同じ傾向にあります。
──インシデント発生当時まで遡っての調査とは大変そうですね。
冒頭にお話した通り、一般的なEDRでは、検知したイベントに関する情報や直近の情報は豊富に保持しているのですが、異常と判断しなかった事象について、長期間遡って調査することは不向きだったりします。一方、一般的なPC操作ログでは、内部不正に関する情報は十分にあるのですが、サイバー攻撃の調査に必要な情報が不足していることが多いため、過去発生したかもしれない侵害を調査することは、あらかじめ調査可能な環境を整備していないと難しいかもしれません。
弊社の「InfoTrace Mark II」は、サイバー攻撃・内部不正の両方を調査できる証跡ログが特長なので、こうした想定外のインシデントの調査には特にお役に立てるのではないかと思っています。
──今回のご講演内容の見どころについて聞かせてください。
2月5日(水)15:10から東京会場で、「EPP/EDR群雄割拠の時代における、エンドポイント対策の選び方」という講演を行います。
サイバーセキュリティは攻撃側も対策側も変遷も早く、キャッチアップが必要な情報量・範囲ともますます増えています。
エバンジェリストとして、普段、お客様の課題をお伺いする機会がありますが、こうした状況に混乱されているお客様も少なからずいらっしゃいます。エンドポイント対策に絞ったとしても、様々なソリューションが群雄割拠する時代ですし、脅威状況の変化により何をしなければならないかも見えにくくなっていると思います。
そうした課題をお持ちの方が、エンドポイントにおけるセキュリティ対策強化を検討なさる際の参考になるような講演にできればと考えています。これまでのEPP/EDR市場の変遷を振り返りつつ、2020年初頭の現時点におけるEPP/EDRの選定ポイントを整理してご説明する予定です。
──ここ数年のエンドポイント対策製品と攻撃手法のトレンド、荒木さんが考えるEPP/EDR選定のポイントが聞けるということで、楽しみな内容ですね。本日はありがとうございました。
エバンジェリスト 荒木 粧子 氏
ソリトンシステムズセッション一覧
東京 2月5日(水) 14:15-14:55
「次世代ワイヤレス規格「Wi-Fi 6」普及元年! そのポイントと、今後も変わらない企業無線LANの“あるべき姿”」株式会社ソリトンシステムズ ITセキュリティ事業部 プロダクト部 マネージャー 宮崎 洋二 氏
東京 2月5日(水) 15:10-15:50
「EPP/EDR群雄割拠の時代における、エンドポイント対策の選び方」株式会社ソリトンシステムズ ITセキュリティ事業部 エバンジェリスト 荒木 粧子 氏
東京 2月6日(木) 14:15-14:55
「ゼロトラストを実現する「次世代認証」の潮流とは」株式会社ソリトンシステムズ ITセキュリティ事業部 プロダクト部 部長 柴山 晋 氏
東京 2月7日(金) 14:15-14:55
「400社の調査結果から読み解く、テレワークシステム導入のツボ」株式会社ソリトンシステムズ ITセキュリティ事業部 プロダクト部 新井 ひとみ 氏
名古屋 2月20日(木) 13:00-13:40
「次世代ワイヤレス規格「Wi-Fi 6」普及元年! そのポイントと、今後も変わらない企業無線LANの“あるべき姿”」株式会社ソリトンシステムズ ITセキュリティ事業部 プロダクト部 マネージャー 宮崎 洋二 氏
