サイバー攻撃の「見えない化」に対抗する

事前予防と事後対処を統合し、簡単で迅速なインシデント対応を実現

「正規」を隠れみのにサイバー攻撃を隠ぺい

標的型サイバー攻撃をはじめ、企業経営を脅かす情報セキュリティリスクが増大している。新製品などに関する未公開情報から、顧客、取引先、社員やその家族の個人情報まで、企業内のあらゆる情報が、悪意を持つ第三者に狙われている。

ひとたび情報漏えいを起こしてしまえば、企業の評判や株価は大きなダメージを受ける。SNSが一般化した現在、情報はすぐに拡散される。一度の事故が、企業の未来に取り返しのつかない影を落とす可能性も十分にあるだろう。

最近の攻撃の特徴は、端的にいえば「見えない」ことだ。不正な活動を隠ぺいするため、Windows OSの正規プログラムの動作を装い、重要情報を盗み出す。こうした攻撃は、「.exe」などの判別しやすい実行ファイルを伴わない「ファイルレス攻撃」と呼ばれており、2018年末ごろから急増しているという(図1)。

図1●急増するファイルレス攻撃

2018年後半からファイルレス攻撃が急増している。既存のパターンマッチング方式の対策では検知が困難なため、企業・組織は容易に侵入を許してしまう恐れがある

ファイルレス攻撃は、その特性上、従来型のウイルス対策製品では対策を施すことが困難だ。つまり、不正な実行ファイルに対する技術として、シグネチャベースの対策や実行ファイルに対する機械型学習検索など様々な技術があるが、それら技術には見えない形で攻撃を進行し、防ぐことが難しいため、企業は対策手法を見直す必要がある。

また最近は、国内外の法律も、情報セキュリティの動向を踏まえて変化している。代表例が2018年5月に施行されたEU一般データ保護規則(GDPR)だ。ここでは、データへの侵害が認められた企業は、内容把握やインシデント対応の状況などを72時間以内に監督機関へ報告することが義務付けられた。これに反した場合、莫大な制裁金が科せられる可能性がある。国内でも、経済産業省の「サイバーセキュリティ経営ガイドライン」が、企業・組織がセキュリティ上の被害にあった場合、速やかな原因の特定と解析を求めている。企業経営者は、これらを満たす対策の仕組みを早急に考えなければいけない状況になっている。

そうした中、課題を解決するものとして新たに登場したのが「Trend Micro Apex One」(以下、Apex One)だ。多くの企業が採用している「ウイルスバスターコーポレートエディション」(以下、ウイルスバスター Corp.)の後継という位置付けでリリースされる新製品は、企業ビジネスをどう守るのか。次ページ以降で詳しく紹介する。

「事前予防(EPP※1)」と「事後対処(EDR※2)」のサイクルを統合

「もちろん、これまで利用してきたようなウイルス対策は引き続き必要です。しかし、脅威の『見えない化』が加速する現在、それだけでは完全な防御は難しくなっています。大事なのは、侵入されることを前提として、その後の対処を速やかに行える仕組みを確立することです」とトレンドマイクロの釜池 聡太氏は指摘する。

同社は、従来型の対策を「事前予防」、新たに求められている対策を「事後対処」と位置付けている。事後対処には、不審なプログラムや通信が発見された場合、原因や侵入経路を速やかに突き止め対処するといったインシデント対応があるほか、より潜在的なリスクの可視化や、リモート端末の調査なども含まれる。Apex Oneは、この事前予防と事後対処、両方をカバーするソリューションであることが大きな特長だという(図2)。

トレンドマイクロ株式会社
ビジネスマーケティング本部
エンタープライズソリューション部
コンテンツセキュリティグループ
シニアプロダクトマーケティングマネージャー
釜池 聡太氏

図2●「Trend Micro Apex One」

サイバー攻撃の事前予防と事後対処を統合し、脅威の検知、影響範囲や侵入プロセスの調査、インシデント対応を1つのエージェントで実現する

「事後対処の重要性はかねて叫ばれており、近年は、セキュリティを目的に常時監視してインシデントを発見するSOC(Security Operation Center)や、セキュリティインシデント対応の専門組織としてCSIRT(Computer Security Incident Response Team)を設置する企業も増えています。しかし、それらの組織のリソースには限りがあります。また、既存の対策製品が担う事前予防フェーズと、CSIRTなどが担う事後対処フェーズの間で、連動がとれにくいことが課題でした。そこでApex Oneは、このサイクルを単一の製品でカバーすることにより、企業におけるセキュリティ対策の一元運用を支援します」と釜池氏は説明する。

  1. Endpoint Protection Platform
  2. Endpoint Detection and Response

ファイルレス攻撃や機械学習型検索など事前予防機能を強化

それでは、Apex Oneの事前予防と事後対処、それぞれの機能を見ていこう。まず事前予防の機能は、基本的に、パターンマッチングやWebレピュテーションといったウイルスバスター Corp.で実績のある技術を強化したものとなっている。

「特にファイルレス攻撃への対策が強化されています。挙動監視機能と、メモリー検索技術を強化することで、不正プログラムが悪意のあるコードをPCのメモリー上に展開しようとする際の動きを捕捉します。これにより、実行ファイルを伴わない攻撃にも、先回りした対処ができるようにしているのです」(釜池氏)

また、日々新たに生まれる未知の脅威への対策として、進化したAI技術も実装。これも、ウイルスバスター Corp.で実装していた機械学習型検索をはじめとする「XGen」をベースとしたものだが、Apex Oneではその学習モデルをハイブリッド化した。具体的には、「ファイル」そのものの特徴と、実行時の「振る舞い」の特徴、両方を基に学習モデルを作ることで、より精度を高めているという。

「例えば、ファイルが実行される前に未知の脅威を検知するといったことが実現可能です。また、オフライン環境での利用もできるようにし、工場や病院、持ち歩き中のモバイルPCなどでも変わらず機械学習型検索による保護が実現できます」と釜池氏は述べる。

侵入プロセスを分かりやすく表示し迅速な対応を実現

一方の事後対処では、簡単・迅速なインシデント対応を実現するための様々な仕組みを新たに搭載した。

その1つが「インパクト分析(被害範囲の特定)」だ。脅威の侵入が発覚した際、被害の全容把握が遅れたことで、被害を拡大させてしまうことがままある。そこでApex Oneでは、影響範囲の特定などに欠かせないインシデントの調査、対処を簡単に行える仕組みを用意した。同社のクラウド型脅威データベース「Trend Micro Smart Protection Network」と連携し、多数のログの中から感染原因を特定。管理コンソールの画面上に、脅威の侵入プロセスをグラフィカルに表示できるという。

「危険度の高いオブジェクトは色付けして表示するため、CSIRTの担当者が分かりやすく、不審なイベントの検出から影響範囲の特定、スレットハンティング(根本原因)の把握、対処までを迅速かつ簡単に行えます」と釜池氏は話す。

もちろん、事後対処で検出した脅威の情報は、そのまま事前予防プロセスと連携することで自動的にブロックできる。このように「1つのエージェント、1つの管理コンソールで、必要なエンドポイント対策がシームレスに行える」Apex Oneは、企業のセキュリティ対策に新しい価値を提供するソリューションといえるだろう。

導入に際しても、既存のウイルスバスター Corp.をバージョンアップするだけでよい。完全な新規製品に比べ、作業の工数や検証の手間が大きく省けることもメリットだ。既存ユーザーにとっては、自社のセキュリティ対策を最新の環境に即したものにする際、最も手軽な方法の1つということができるだろう。

「最新技術と、トレンドマイクロの最新技術と、脅威に関する知見を注ぎこんだ最新ソリューションによって、お客さまの安全・安心な企業経営に貢献できればと思います」と釜池氏は最後に語った。

  • 本コンテンツは、日経 xTECH ACTIVE に掲載された記事広告を再構成したものです

記事公開日 : 2019.7.29
 この記事は、公開日時点での情報です