中小規模の企業向けのセキュリティソリューションは、ワークステーションやサーバー上でのマルウェアの実行を防ぐだけのものが大半です。これまでは、それで十分でした。エンドポイントでサイバー脅威を検知することができている限りは、ネットワークへの感染拡大を抑え込み、企業のインフラを守ることができました。
しかし、時代は変わります。近年のサイバー攻撃は、一人の社員のコンピューター上で発生する単独のインシデントではなく、インフラのかなりの部分に影響を及ぼす複雑な作戦活動となっています。そのため、現代のサイバー攻撃による被害を最小限に抑えるには、マルウェアを阻止するだけでは十分ではなく、インシデントの内容、侵入経路や発生した原因、同じことが再び起きる可能性がある場所をすぐに把握し、対処する必要があります。
サイバー攻撃は近年、何が変わったか
現代のサイバー犯罪は、小規模な企業に対しても本格的な標的型攻撃を合理的に仕掛けられるほどに進化しています。その要因の一つは、複雑なマルチステージ攻撃の遂行に必要なツールが手に入りやすくなっていることです。また、犯罪者は常に労力に対する利益を最大化しようとするものですが、その点でランサムウェア攻撃者は際だっています。最近のランサムウェア攻撃では、綿密な調査を行い、時間をかけて準備してから攻撃を仕掛ける動きが見られます。また、標的のネットワークに何週間も潜んでおいて、インフラ内を探索し、重要なデータを盗んでからデータの暗号化や身代金の要求を行う場合もあります。
規模の小さい企業は、サプライチェーン攻撃の中間の標的として狙われる場合があります。より大きな組織に対する攻撃において、請負業者やオンラインサービスプロバイダー、小規模なパートナー企業のインフラがたびたび利用されます。そのようなケースでは、ゼロデイ脆弱性が悪用されることまであります。
事態と原因を把握することの重要性
複雑なマルチレベルの攻撃を終息させるには、攻撃がどのようにインフラへ侵入したか、内部に潜んでいた時間はどれほどか、どのデータにアクセスされた可能性があるかなどをしっかりと把握する必要があります。マルウェアを削除するだけでは、病気の原因に対処せずに症状だけを治療するようなものです。
エンタープライズレベルの企業の場合、そのような調査はセキュリティオペレーションセンター(SOC)や情報システム部門、または外部の機関が行います。大規模企業の場合は、EDRクラスのソリューションを使用して調査を行います。中小規模企業の場合、予算や人員が限られているため、規模の大きい企業のような選択肢にはなかなか手が届きません。それでも、複雑な脅威に迅速に対応するためには、中小規模の企業にも専用のツールが必要です。
EDR機能を備えたKaspersky Endpoint Security Cloud
EDR機能が搭載された当社の中小規模企業向けソリューションは、セキュリティのエキスパートがいなくてもセットアップが可能です。アップデートされたKaspersky Endpoint Security Cloud Plusでは、攻撃活動の連鎖を可視化し、管理者に提供します。管理者は、脅威の広がる経路を直ちに特定し、影響を受けたコンピューターの詳細情報を確認することができます。また、悪意あるファイルの詳細をすぐに確認し、そのファイルが現在ほかのどの場所で使用されているのかを確認することも可能です。このように、脅威の発生箇所をすべて迅速に検知し、危険なファイルの実行を阻止し、影響を受けたコンピューターを隔離することにより、潜在的被害を最小限に抑えることができます。
Kaspersky Endpoint Security Cloud Plusをご利用の場合は、2021年末までの間、EDR機能をテストモードにてご利用いただけます(機能名:Endpoint Detection and Response Preview)。詳細について、また評価版のお申し込みについては、こちらのページをご覧ください。