EPP+EDR:エンドポイントサイバーセキュリティの未来

2018年11月9日

複合型攻撃。マルウェアが関与しない攻撃。ファイルレス攻撃。物理的なアクセスを介したマルウェアの埋め込み。新しいツールや短期間で開発されるサイバー犯罪テクニックを駆使したゼロデイエクスプロイト。脅威の状況は先を見通すのが難しく、予防的テクノロジーだけをもって高度な脅威から企業を守ることはできません。加えて、最小限のコストで効果的な標的型攻撃を仕掛けることが可能である現実を考えると、攻撃の成功回数が世界的に増加し続けるのも不思議ではありません。

Kaspersky Labが調査会社B2B Internationalに委託したレポート『New Threats, New Mindset: Being Risk Ready in a World of Complex Attacks』(新たな脅威、新たな考え方:複合型攻撃の世界でリスクに備える)で発表された調査によると(英語レポート)、標的型攻撃は2017年に急激に勢力を伸ばした脅威の1つであり、攻撃を受けた中小規模企業(SMB)は2016年と比べて6%、大規模企業の場合は11%増加しています。

自社のインフラが標的型攻撃を受けたことがあると認めた企業は調査対象の4分の1を超え、27%に上りました。これは前年同期比21%増です。また、33%の企業が、サイバー犯罪者の明確な標的となっていたと感じています。いつかセキュリティ侵害が発生するだろうと予想している企業は調査対象の57%、このような脅威に対する効果的な戦略がまだ分からないと回答した企業は42%に上りました。

従来のアプローチではもはや十分でない

組織のインフラ内に位置することの多いエンドポイント保護プラットフォーム(Endpoint Protection Platforms:EPP)は、従来型マルウェアのような既知の脅威に対処します。このほか、未知のウイルスにも対応できます。たとえば、エンドポイントを狙う既知のマルウェアが新形態をとったような場合です。EPPは既知の脅威や一部の未知の脅威に対する防御に優れていますが、サイバー犯罪のテクニックは近年著しく進化し、サイバー犯罪者は攻撃の過程でいっそうのアグレッシブさを見せています。よく見られる脅威、独自の悪意あるパターン、そして複雑な侵入テクニックに基づくサイバー犯罪者の活動を組み合わせた高度な脅威や標的型攻撃は、従来のサイバーセキュリティ対策だけに頼る組織にとって、極めて危険な存在です。

企業はあらゆる側面で盗難や攻撃のリスクに晒されています。データ、財源、知的財産、機密性の高い商用データ、特定の個人情報その他の機密情報、ビジネスプロセスや競合の優位性など、標的となり得るものは枚挙にいとまがありません。

高度な脅威が関わるインシデントは、ビジネスに大きな影響を与えます。インシデント対応やプロセス回復にかかるコスト、また新規のシステムまたはプロセスへの投資が発生するほか、可用性への影響、企業の評判やブランドに対する損害、経済的損失など、想定しうる影響は多岐にわたります。組織としては、拡散し続けるマルウェアを考慮に入れるだけでなく、高度で複雑な脅威や標的型攻撃にも注意を払わなければなりません。

言い換えれば、ネットワーク、メール、Webトラフィックだけでなく、ワークステーションやラップトップ、サーバー、スマートフォンなどのエンドポイントにまで、保護の範囲を拡張する必要があるのです。標的型攻撃では、こういったエンドポイントが組織のインフラへの侵入口として利用されることが多く、エンドポイントの可視性が非常に重要です。

SANS 2017 Threat Landscape Survey(英語)によると、脅威が組織内へ侵入する経路として最も多いのは、リンクをクリックすることと電子メールの添付ファイルを開くことです(74%)。ダウンロードまたはドライブバイダウンロードが、これに続く48%。また、調査対象となった企業の81%が、脅威の検知にはエンドポイントセキュリティツールが最も効果的であるとしています。

エンドポイントでの検知と対応には特別なツールが必要である

単純な脅威をエンドポイントでブロックするだけでは、明らかに足りません。現代の企業には、最新の複合的な脅威の検知と対応を支援するツールが必要です。

それはなぜか。

まず、標的型攻撃に使われる特有の要素が挙げられます。

  • セキュリティシステムの迂回(攻撃者は既存のインフラを徹底的に調査し、使用されているエンドポイントセキュリティシステムも調べ上げている)
  • ゼロデイ脆弱性、ハッキングされたアカウント
  • 悪意あるソフトウェア、または特別に作成したソフトウェア
  • 一見して問題なさそうなため信頼されたままでありながら、実はセキュリティを侵害されているオブジェクト
  • デスクトップコンピューター、ラップトップ、サーバーなどできるだけ多くのエンドポイントに侵入することを目的とした、複数経路からのアプローチ
  • ソーシャルエンジニアリング、内部関係者から手に入れたデータ

また、従来のエンドポイント保護製品が持つ技術的制約も理由の1つです。

  • 一般的な(複合的ではない)脅威、既知の脆弱性、または既知の手法で構築された未知の脅威を検知しブロックすることを目的とする
  • 個々のエンドポイントの可視性に重点が置かれており、一元管理型のインターフェイスからすべてのエンドポイントを同時にリアルタイムで可視化し、監視するようには設計されていない
  • 脅威のコンテクストを理解する上で必要な脅威情報を提供しない。個々のエンドポイントのアクティビティ、プロセス、タイムラインを十分に可視化できず、企業内の各エンドポイントとどう関連する可能性があるのか明確にできない
  • 複数の異なる検知メカニズムが下した判断を単一のインシデントにマッピングする機能、または相関付けする機能が組み込まれていない
  • 異常な動作や通常動作からの逸脱などを検知する機能、または正規プログラムの動作を分析する機能をサポートしていない
  • マルウェアの横展開の動きを、過去にさかのぼって分析することができない
  • ファイルレス攻撃やメモリインジェクション、マルウェアレス型の脅威を検知する能力に限界がある

前述のとおり、エンドポイント保護テクノロジーは単純な脅威に対して効果を発揮します。脅威全体の90%超を占めるのがこのタイプですが、単純な脅威に関連するインシデントで生じるコストは約1万ドルであり、APT(Advanced Persistent Threat)や複合型攻撃に関連するインシデントのコスト(92.6万ドル)とは比較になりません。狙いのはっきりした複合型攻撃の検知が早ければ早いほど、経済的損失は小さくなります。複合型の脅威に対しては、検知と対応の品質と効果が何よりも重要です。標的型攻撃とAPTから組織を守るには、標的型攻撃やAPTレベルの脅威をエンドポイントで阻止することに特化したソリューションの活用を検討する必要があります。

インシデントの平均コストの違い、そして、複合型の脅威に対抗できるよう設計されていない従来型EPPソリューションの機能ギャップ。高度な脅威の検知や対応に特化した製品への追加投資が必要であることは明白です。EPP製品には、より高い柔軟性が必要です。EPP製品はまた、エンドポイントにおける検知および対応(EDR:Endpoint Detection and Response)機能を備えるか、もしくは、スタンドアロンのフル機能版EDRソリューションを統合可能である必要があります。どちらが適切かは、企業の規模や要件に応じて異なります。

真の可視性とプロアクティブな検知

EDRはリアルタイム監視のニーズに応えるサイバーセキュリティテクノロジーであり、企業のエンドポイントに関するセキュリティ分析およびインシデント対応に重点を置いています。企業インフラ内にあるエンドポイント1つ1つのアクティビティを真に可視化し、1つのコンソールから管理できるようにすると共に、ITセキュリティのエキスパートが詳細な調査や対応を行う際に役立つ情報を提供するのがEDRです。

EPPの多くは、蓄積されたパターンやシグネチャのファイルをベースに既知の脅威を阻止します。一方、次世代のEPPは、深いレベルで機能する検知メカニズムと機械学習を併用して脅威の探索と発見を行い、同時にマルウェア対策にも注力します。

EDRの主目的は、新しい脅威や未知の脅威、そしてエンドポイントやサーバーから直接組織内に侵入してくるこれまで確認されたことのない感染を、プロアクティブに検知することです。これを実現するのが、グレイゾーンでのイベント分析です。「信頼された」ゾーンにも「確実に悪意ある」ゾーンにも含まれないオブジェクトやプロセスは、このグレイゾーンに属しています。

EDR機能を持たない従来型のEPPは、エンドポイントの深い可視性や、複数のエンドポイントでの遡及的な攻撃分析、イベントの相関関係をサポートしていません。また、検知された複数のイベントから複合型攻撃に関連するものを抽出し、適切な対応を決定することも不可能です。市場に出ているEPPソリューションは、脅威の主な戦術、手順、技術を理解する上で必要な脅威情報を提供するソリューションばかりではありません。

これらの要素はすべて、最新の脅威や標的型攻撃からの防御に欠かせない機能です。EPPソリューション1つでエンドポイントのセキュリティを確保できた時代は終わりました。高度な検知テクノロジーを活用するEDRの方が、ゼロデイ攻撃やAPTレベルの攻撃で使われる新種マルウェアを検知する可能性を大いに持っています。YARAルールやサンドボックス技術、IoC(Indicators of Compromise:脅威存在痕跡)を利用したスキャン、不審な動作の発見と検証、動的な機械学習に基づくイベント相関の遡及的分析、インシデントの調査および封じ込め、インシデント対応の自動化、修復機能など、EDRが使用するテクノロジーは多岐にわたります。

高度な脅威に対して効果的な防御を講じる鍵は、EPPとEDRの連携です。EPPが既知の脅威に対処し、より複雑な未知の脅威はEDRが対処します。EPPとEDRが構成する強力なプラットフォームは、従来型エンドポイント保護ソリューションで捉えきれなかった高度な脅威が引き起こす損害にただ反応するというよりは、アナリストによる調査や防御力の向上を支援します。

EPPが備えるのは保護機能だけではありません。アプリケーションコントロール、デバイスコントロール、Webコントロールの機能のほか、脆弱性評価、パッチ管理、URLフィルタリング、データの暗号化、ファイアウォールなどの機能も備えています。

高度な脅威に対抗するための統合的アプローチ

EPPとEDRは「脅威に対抗する」という共通の目的を持ちつつも、もう一方のソリューションに足りない機能(または一部しか存在しないもの)を補う関係にあります。EPPとEDRは、対象とする脅威の種類も違えば、脅威に対するアプローチも、使用するツールも異なります。したがって、これらを統合し、連携させねばなりません。

広く蔓延している脅威や明らかに悪意のあるオブジェクトを検知し、自動的にブロックするEPPのような予防テクノロジーがあると、複合型攻撃とは関係のない、さほど深刻でないインシデントを大量に分析する必要がなくなり、APTレベルの脅威の検知に特化したEDRプラットフォームの効率が向上します。一方のEDRは、複合型脅威を検知したのち、下した判断をEPPに共有可能です。EDRとEPPはこのように連携し、高度な脅威に対抗する統合的アプローチを提供するプラットフォームとして機能します。

Gartnerのレポート『Strategic Planning Assumption 2017 for Endpoint Detection and Response Solutions』では、2021年までに大企業の80%、中規模企業の25%、小規模企業の10%がEDRに投資するだろうとしています。

EDRの価値を最大限引き出すには

考慮すべきことは他にもあります。すでに企業のほとんどがEDR機能を必要とする状態でありながら、EDRの本格導入や適切な使用に求められるスキルやリソースを持ち合わせていない企業が多いという事実にも、正面から向き合わなければなりません。

EDRを使用するにあたっては、IT部門でEPPを単にトラッキングする体制から、ITセキュリティチームの適切なリソースを充てる体制へシフトする必要があります。前述のとおり、EDRテクノロジーが提供するのは標準的な保護機能だけではありません。EDRの恩恵を受けるには、十分な知識と経験を持ったセキュリティエンジニアと脅威アナリストが必要です。このような人々は、EDRプラットフォームから価値を引き出し、効率的なインシデント対応プロセスを体系立てる方法を理解していなければなりません。

セキュリティ分野での組織の熟練度と経験値、必要なリソースの可用性によっては、エンドポイントセキュリティに社内の専門家を充て、より複雑な局面には外部のリソースを取り入れるのが最も効果的だと考える企業もあるでしょう。一方、スキルトレーニングの実施、脅威インテリジェンスポータルやAPTインテリジェンスレポートの活用、脅威データフィードの利用を通じ、社内に専門知識を蓄積することも可能です。また、セキュリティ部門が重い業務負担を抱える場合や人員不足の場合には、最初から以下のような外部のプロフェッショナルサービスを採用するという考え方もあります。

  • セキュリティ評価サービス
  • 脅威の探索
  • インシデント対応
  • デジタルフォレンジック
  • マルウェア分析とリバースエンジニアリング
  • 年中無休のプレミアムサポート

Kaspersky Labが提案するソリューション

当社では、Kaspersky Endpoint Security、Kaspersky Endpoint Detection and Response、Kaspersky Cybersecurity Servicesという3つの要素でエンドポイントを保護するアプローチを取っています。法規制順守の理由から企業データを社外に開示または移動できない組織や、インフラを完全に分離する必要のある組織向けには、管理された境界線の外側にデータを出すことなくグローバルなクラウドベース「Kaspersky Security Network(KSN)」の脅威インテリジェンスを最大限活用する、Kaspersky Private Security Networkが適しています。

これらは組織の特性や組織で進行中のプロセスに適応し、以下を実現します。

  • 一流の予防テクノロジーを独自に組み合わせ、よく見られるタイプの攻撃をブロック
  • 幅広い高度なメカニズムとテクニックによって、新たな脅威や高度な脅威を検知し、迅速に対応
  • プロフェッショナルサービスの活用によって、将来の脅威を予測し、プロアクティブな保護機構を構築
  • 管理された境界線の外部にデータを出すことなく、グローバルなクラウドベースの脅威インテリジェンスを利用可能

Kaspersky Endpoint Securityは、HuMachine インテリジェンスを搭載した次世代サイバーセキュリティテクノロジーをベースとする、多層型のエンドポイント保護プラットフォームです。ランサムウェア、マルウェア、ボットネット、そして高度な既知の脅威および部分的に未知の脅威に対し、柔軟かつ自動的に防御を講じます。

Kaspersky Endpoint Detection and Responseは、Kaspersky Endpoint Securityと同じエージェントを使用しています。高度なテクノロジー(機械学習、サンドボックス、IoCスキャン、脅威インテリジェンスなど)を駆使した多面的なアプローチにより、複合型の脅威を検知・識別します。高度な脅威をタイムリーに発見し、判断をKaspersky Endpoint Securityに送信してブロックしてもらうことにより、悪意ある行為を食い止めます。

Kaspersky Cybersecurity Servicesは、インシデントの進行中(およびインシデント後)に、プロフェッショナルサービスを速やかに提供することにより、データ侵害のリスクを軽減し、経済的な損害や組織の評判に対するダメージを最小限に抑えます。Kaspersky Cybersecurity Servicesのポートフォリオは、広範囲にわたるセキュリティトレーニングのカリキュラムや最新の脅威インテリジェンス、迅速なインシデント対応、プロアクティブなセキュリティ評価、完全外注による脅威探索サービス、年中無休のプレミアムサポートを網羅しています。

高度な脅威に対応するには高度なツールが必要である

高度な脅威や標的型攻撃に対抗するために必要なのは、自動化されたツールおよびサービスが必要です。ただ自動化されているのではなく、相互に補完し合い、セキュリティ部門と既存の企業内セキュリティ運用センター(SOC)が大半の攻撃を阻止するのを支援し、新たな脅威を速やかに検知し、現在進行中の攻撃に対処し、攻撃にタイムリーに対応し、将来の脅威を予測するように設計されているものが求められています。

適切なテクノロジーとサービスを組み合わせて配備することで、包括的な適応能力のあるセキュリティ戦略を確立し、これに従った運用が可能となります。また、変化し続けるサイバー脅威に対抗する準備が整い、防御を強化し、将来の攻撃リスクを緩和することが可能となります。