「事前予防」と「事後対処」を1製品に統合

法人向けウイルスバスターの後継新製品「Apex One」、その真価

重要なのは「侵入を100%防ぐことは不可能」という視点

セキュリティベンダーのトレンドマイクロは、従来とは異なる対策アプローチを可能にする総合エンドポイントセキュリティ製品「Trend Micro Apex One」(以下、Apex One)を2019年7月にリリースする。

Apexとは頂点を意味する。Apex Oneは環境の頂点に立ち、すみずみまで見渡すことのできるエンドポイントセキュリティを実現し、また、同社の「ウイルスバスター コーポレートエディション」(以下、ウイルスバスター Corp.)の後継となる新製品として位置付けられたもの。そのため、ウイルスバスター Corp.のユーザー企業は、これをバージョンアップするだけで新しい機能を利用でき、最新のリスクに備えることが可能だ。

トレンドマイクロ株式会社
ビジネスマーケティング本部
エンタープライズソリューション部
コンテンツセキュリティグループ
シニアプロダクトマーケティングマネージャー
釜池 聡太氏

これについて、同社の釜池 聡太氏は次のように説明する。「昨年末ごろから、.exeなどの実行ファイルを伴わない『ファイルレス攻撃』が急増。不正な実行ファイルに対する技術としてシグネチャベースの対策や、実行ファイルに対する機械型学習検索など様々な技術がありますが、それら技術には見えない形で攻撃を進行し、防ぐことが難しいため、どう対応するかが企業の重要課題になっています。また、新しい脅威が次々生まれている中では、『未知の脅威』への備えも一層強化する必要があります。そこで当社は、侵入を100%防ぐことは不可能という視点に立ち、たとえ脅威の侵入を許しても、システムやビジネスを適切に守ることができる方法を提唱しています。Apex Oneは、これを単一のソリューションで統合的に実現するものです」。

具体的には、企業のセキュリティ対策を、脅威の侵入を防ぐ「事前予防(EPP※1)」と、侵入後の被害を極小化する「事後対処(EDR※2)」の2つのフェーズに分け、両方をシームレスに実行しながらサイクルを回していくことが可能になるという。

その実情はどれほどのものなのか。リリースに先立ち、いち早く詳細を紹介しよう。

  1. Endpoint Protection Platform
  2. Endpoint Detection and Response

「ファイルレス攻撃」や未知の脅威への対策を大幅強化

Apex Oneの特長を示したのが以下の図1だ。

図1●「Trend Micro Apex One」

サイバー攻撃の事前予防と事後対処をシームレスに統合し、脅威の検知、防御、侵入プロセスの調査などインシデント対応を1つのエージェントで実現する

まず事前予防は、かねてウイルスバスター Corp.が担ってきた領域である。「パターンマッチング型のウイルス検索・駆除」「Webレピュテーション」「脆弱性対策」といった既存の機能はすべてそろえ、かつ性能を強化した。

「中でも力を入れたのが、ファイルレス攻撃や未知の脅威といった、攻撃の“見えない化”への対応です。ファイルレス攻撃とは、攻撃者が狙った端末に何らかのソフトウエアをインストールすることなく、端末のメモリー上で動作したり、Windows OSの正規ツールの『ふり』をしたりして不正な動作をするもの。そのため、実行ファイルを検索するパターンマッチング型の対策だけでは検出が困難で、被害が拡大しやすい点が大きな課題でした」と釜池氏は言う。

そこでApex Oneは、ウイルスバスター Corp.も実装してきた「挙動監視」や「メモリー検索技術」を一層強化。不正なコードがメモリー上に展開される際の挙動をいち早く察知し、対応できるようにしている。

「また、未知の脅威への対策としては、機械学習型検索を強化しました。ファイル実行中の振る舞いの特徴に加え、ファイルそのものの特徴も組み合わせて学習・分析することで、ファイルが実行される前に振る舞いを予測できるハイブリッドモデルとしています」と釜池氏。さらに、新たに機械学習モデルをローカルの端末に配布する機能も実装。これにより、工場や医療現場などのオフライン環境でも機械学習型検索を利用できるようにした。より多様なユーザーに効果をもたらす製品になったといえるだろう。

インシデント発生時の事後対処もシームレスに実行可能

一方の事後対処は、ウイルスバスター Corp.になかった機能であり、Apex Oneの大きな特徴といえる。機能は大きく2つ。脅威の影響範囲を特定する「インパクト分析」と、侵入プロセスを可視化する「スレットハンティング」だ。いずれもApex Oneの管理サーバー上のコンソールから操作できる機能である。

インパクト分析は、Apex Oneが不審なイベントを検出した際、どの端末が被害を受けているのかを可視化し、社内における影響範囲を特定する機能。画面上のボタンをクリックすると、数秒~数十秒レベルのスピードで調査結果が表示される。セキュリティ対策担当者は、その内容を基に、適切な対応を速やかに進めることが可能になる。

「もう1つのスレットハンティングは、文字通り、脅威を“狩る”技術です。世界中から収集した脅威情報のデータベース『Trend Micro Smart Protection Network』との連携によって、多数のログの中から感染原因を特定します。その上で、画面上に脅威の侵入プロセスを視覚的に表示します」と釜池氏は説明する(図2)。

図2●スレットハンティング(侵入プロセスの可視化)

トレンドマイクロの脅威データベースを活用し、侵入経路や危険度を可視化する。情報を絞り込んで表示するほか、色分けもされるためIT担当者にも分かりやすい(※2019年7月の提供開始時には日本語対応予定)

事後対処のプロセスでは、セキュリティ対策製品が収集するログ情報を確認することが欠かせない。ただ、生のログは大量、かつ無関係な情報も含むため、すべてを確認する作業には多くの手間がかかる。スレットハンティングでは、トレンドマイクロの知見に基づき必要な情報だけを抽出し、危険度ごとに色分けした上で分かりやすく表示する。これにより、原因究明の早期化と、担当者の工数削減を図ることが可能になるだろう。

その後は検出した脅威のブラックリストへの登録、端末内の対象プロセスの停止や、端末自体の隔離といった対策も、数クリックで実行することができる。

「事前予防と事後対処の機能が1つのソリューション内でシームレスに連携しているApex Oneでは、得た脅威の情報を次回の予防に生かすといった、対策のスパイラルアップを容易に図ることが可能です」と釜池氏は強調する。

1つの管理画面で必要なセキュリティ対策を統合管理

またトレンドマイクロは、エンドポイント対策製品以外にも多彩なセキュリティソリューションを擁している。例えば、ネットワーク可視化ソリューション「Deep Discovery Inspector」(以下、DDI)、サーバー保護「Trend Micro Deep Security」といった製品を既に利用中の企業も多いだろう。

それらを含めた統合管理ツールとしては「Trend Micro Control Manager」を提供しているが、これも後継となる新製品「Apex Central」が同時にリリースされる。これを用いることで、事前予防と事後対処のサイクルに加え、複数のトレンドマイクロ製品群も一元的に管理することが可能になる。ネットワーク、サーバーそしてエンドポイントまで、統合的なセキュリティ管理体制の確立が容易になる。

「特に、Apex Oneでスレットハンティングを開始するトリガーとして役立つのが、DDIのアラートです。C&Cサーバーへの通信など、ネットワーク内の不審な動きを検知・通知するこのソリューションとApex One、Apex Centralを組み合わせることで、より効果的な体制が確立できるでしょう」と釜池氏は言う。

ますます巧妙化するサイバー攻撃に対し、エンドポイント対策製品は、企業システム全体の安全を守る要になる。事前予防と事後対処を統合したApex Oneは、企業の新たなセキュリティ対策のスタンダードになるだろう。

  • 本コンテンツは、日経 xTECH ACTIVE に掲載された記事広告を再構成したものです

記事公開日 : 2019.7.29
 この記事は、公開日時点での情報です