標的型サイバー攻撃対策の次の一手、EDRとは

脅威の検知と隔離でインシデント対応は終わらない──
エンドポイント解析で有事の“元凶”の早期排除を

標的型サイバー攻撃によるセキュリティ侵害を検知した際、セキュリティ担当者に求められる対応は不正プログラムに感染した端末をネットワークから隔離するだけではありません。脅威侵入の経路や原因、影響範囲を即座に突き止め、インシデントの“元凶”を排除することが必要とされます。そうした対処をスピードアップする仕組みとして今、「EDR(Endpoint Detection & Response)」製品に注目が集まっています。

セキュリティインシデント発生、終息宣言までのプロセスは?

何者かにオフィスに侵入され、会社の情報資産が盗まれていた──。このようなインシデントに気づいたとき、会社はまず何を知ろうとするでしょうか。

それは間違いなく、「誰が、どういった経路でオフィスに侵入し、いかにして情報資産を盗んでいったか、ほかに被害はないか」であるはずです。実際、犯人やその手口・侵入経路や影響範囲、そして侵入を許した原因が特定できなければ、次の犯行を阻止する有効な手だては講じられません。結果として、同一の攻撃者による被害に再度見舞われたり、同様の攻撃によってさらなるダメージを受けたりする可能性が高くなります。

さらに、盗まれた会社の情報資産が、顧客情報や機密情報など、ビジネスに大きなインパクトを与えるものであった場合、顧客や株主などのステークホルダーに対し、盗難の原因と再発防止の施策を明確に示す必要に迫られるはずです。そうした説明責任をしっかりと果たす上でも、セキュリティ侵害の原因調査・原因究明を急がなければならないのです。

こうした調査は、標的型攻撃などのサイバー攻撃によるセキュリティインシデントを引き起こした際にも同様に求められるものです。

例えば、標的型サイバー攻撃による不正プログラムの侵入を検知し、それに感染した端末が特定できたとしましょう。その際、感染端末をネットワークから隔離するといった初動をすばやく取ることが大切ですが、それだけでは事態の終息には至りません。事態を収拾させるには、セキュリティ侵害の原因を特定し、2次的な被害の発生、あるいは被害の拡大をすみやかに防ぐことが不可欠で、そのためにも、どのような経路をたどって脅威が侵入したのか、他の端末に不正プログラムが潜んでいないかをスピーディに調べ上げ、被害拡大/2次被害の回避、再犯防止の施策をしっかりと講じていくことが必要とされるのです。

EDR製品が必要とされる理由 
―求められる侵入の経路・原因調査のスピードアップ

このような対処のスピードアップに向けて、必要性・重要性が唱えられ、かつ、注目を集めているのが「エンドポイント(端末)の解析」であり、それを実現する「EDR(Endpoint Detection & Response)」製品※1の活用です。

EDR製品は、監視カメラが人の動きを記録するのと同じように、端末の挙動(システムアクティビティ)を記録し、その調査・解析によって脅威侵入の原因や経路、影響範囲を迅速に割り出す仕組みです。システムの動作記録や状態から、過去に起きたことを可視化・立証することをフォレンジックと呼びますが、EDR製品はまさにそれを効率化するシステムと言えるのです。

ではなぜ、これまでの対策にプラスして、EDR製品の活用が必要とされ、また、注目を集めているのでしょうか。

理由の一つは、標的型サイバー攻撃の高度化によって、「脅威の侵入を前提にした対策」の強化が求められているからです。

今日の標的型サイバー攻撃は、標的組織用に個別化された攻撃を仕掛けてくることが少なくなく、その攻撃によって端末に「未知の脅威」が侵入するリスクが常にあります。仮に、そうした脅威によって何らかのインシデントが引き起こされたとき、他の潜在脅威や侵入原因などを調べ上げる能力が弱ければ、被害拡大のおそれが強まります。それを危惧するユーザーが増えてきたことが、EDR製品に対する注目度の高まりにつながっていると言えるわけです。

例えば、一般的なアンチウイルスソフトは、脅威情報(パターンファイル)とのマッチングによって端末に潜入した不正プログラムを検出・駆除します。これは「既知の脅威」を端末から排除するうえで有効なソリューションと言え、その導入によって端末の感染リスクを引き下げることができます。また、サンドボックスやネットワークセンサー(ネットワークを監視し、脅威をセンシングするツール)によって通信・ファイルの解析を行えば、「未知の脅威」の検知力を高め、「怪しげな動きを示す端末」を特定することが可能になります。さらに、ネットワークセンサーやサンドボックスで解析した脅威情報をIDS/IPS(不正侵入検知・侵入防御システム)/ゲートウェイ、あるいはアンチウイルソフトと連携させれば、検知した新たな脅威の侵入や外部との不正通信を即座にブロックしたり、端末上での脅威の動きにすばやくストップをかけたりすることが可能になります。

とはいえ、これらの対処は、あくまでも「解析によって顕在化した脅威」に対するもので、「端末に潜在する脅威」に対するものではありません。また、IDS/IPS/ゲートウェイ、あるいはネットワークセンサー、サンドボックスなどで防御を固めても、あらゆる標的型サイバー攻撃が完璧に検知・ブロックできる保証はなく、さらに、解析によって不審な端末が特定できたとしても、どのような経路をたどってその端末に脅威が侵入したのか、あるいは、攻撃の手がどの範囲に及んでいるかを迅速に把握することも難しいのです。

EDR製品による端末の(システムアクティビティの)調査・解析は、そうした対策上の隙間を埋め、インシデント対応の遅れによって被害が拡大するリスクを抑える有効なソリューションと言えるのです(図)。

ネットワークペイロード解析: 通信パケットのデータ本体の解析

万が一に備える

トレンドマイクロはこうしたEDR機能を備えた「Trend Micro Endpoint SensorTM」を提供しています。このEDR製品では、記録したシステムアクティビティに対する調査──具体的には、キーワード、Open IOC※2、YARAルール※3による調査を行い、侵入原因・経路・影響範囲のすみやかな可視化を実現します。また、トレンドマイクロから配信される「Trend Micro IOC」による脅威探索や「Deep Discovery™ Analyzer」(サンドボックス製品)と連携したファイルの詳細解析も可能であり、顕在化した脅威のみならず、潜在的な脅威の特定や攻撃の発見もスピードアップするのです。「ウイルスバスター™ コーポレートエディション」のプラグイン経由で、各端末に配信できるため、導入も容易です。

今日、あらゆる企業が不審者の侵入や資産の盗難を防ぐためにオフィス・店舗・倉庫の出入口のセキュリティに万全を期しているはずです。それでも、犯罪者の侵入を100%阻止できる保証はなく、内部犯行のリスクもゼロとは言えません。そうした万が一の事態に備え、出入口や重要資産の在り処に監視カメラを設置し、その撮像記録をのちの調査・捜査に生かせるようにしておくことが当たり前のように行われています。

そして今、標的型サイバー攻撃の高度化により、組織の中にいつ脅威が侵入しても不思議ではない状況が続いています。そう考えれば、実世界と同様の「万が一の備え」をサイバーの世界でも固めるべき時がきているといえます。

これまでトレンドマイクロは、標的型サイバー攻撃には、侵入前提の対策が必要であると注意喚起をしてきました。標的型サイバー攻撃による被害が経営を揺るがす問題となり、多くの被害が顕在化してきている今、「うちは大丈夫だろうか?」といった懸念、またインシデントが発生した場合の「原因は?被害の範囲は?」といった根本的な問題を解決するまで、事態が収束できたとは言えません。こうした課題に対し、その鍵を握るソリューションがエンドポイント解析なのです。

※1 EDR(Endpoint Detection & Response):エンドポイントを監視し、インシデントの検知・封じ込め・調査・エンドポイント復旧などを実現する技術。今日のEDR製品には、このうちインシデント調査の機能が多く実装されている
※2 Open IOC:脅威侵入の痕跡(IOC:Indicators of Compromise)を調査するためのオープンなデータ規格
※3 YARAルール:不正プログラムの特定・分類に用いられる標準的なルール

記事公開日 : 2016.08.24
 この記事は、公開日時点での情報です