万が一に備える:Threat Management and Defense

2018年5月31日

サイバー脅威の狙いが企業の特定部門であった頃は、防御手段や常識に頼って防ぐことが可能でした。しかし今や、悪名高きデジタル変革によってビジネスプロセスが急変し、ほぼあらゆる場所に情報技術が導入されています。その結果、各種システムが次々と情報ネットワークに接続され、これを利用する者が増加し、新たなサービス、テクノロジー、デジタルツールが実装されるようになりました。情報セキュリティを確保するには、このすべてに対する新たなアプローチが求められます。

純粋な保護ソリューションでは、もはや十分ではありません。とはいえ、それは保護メカニズムが無意味だという意味ではありません。これらは今でも、膨大な脅威の大半を完璧に防ぐことができます。しかし、ビジネス規模が大きいほど、複雑で高度な攻撃を展開できるだけのリソースを持つ者の興味を引きます。こうした攻撃の場合、標準的な手法がいつも通用するとは限りません。

標的型攻撃の複雑な部分とは

標的型攻撃と不特定多数に向けた攻撃の大きな違いは、アプローチの徹底具合にあります。標的型攻撃の場合、攻撃の実行前に、攻撃側は情報収集や標的インフラの分析に膨大な労力を費やします。標的のネットワークへ何かを埋め込むための準備には、何か月もかける場合があります。ネットワークに仕込まれるのはマルウェアであるとは限らず、脅威として特定されない場合もあります。たとえば一般的なプロトコルを使う何らかの通信モジュールであれば、監視システムは正規のユーザーアプリケーションとの区別を付けられないでしょう。

こうしたモジュールは、攻撃者がいよいよ標的のネットワークにアクセスして悪意あるトランザクションの実行またはプロセスの妨害を実行する、という段階になってから活動を始めます。頼りになる保護ソリューションが導入してあれば、異常を検知してインシデントを防ぐことができるでしょう。しかし、それでもなお、見えるのは氷山の一角だけであって、侵入者の主な活動は(特に、痕跡を消す方法が講じられている場合は)見えないままです。これでは対策として根本的に不適切です。

攻撃者の活動を知らなければならない理由

そもそも、攻撃者がどうやってインフラへ侵入したのかを知ることに、何か具体的なメリットはあるのでしょうか?防御に成功した場合は特に、疑問を覚えるかもしれません。しかし、メリットはありますし、どのインシデントに対しても徹底的な調査が不可欠です。

まず、問題の根本を知ることで、同じ罠にかかることを回避できます。保護対策のみに頼って何もせずにいると、ハッカーは必ず同じパターンの攻撃を、攻撃手法を大幅に改善した上で仕掛けてきます。

もう1つ、侵入方法を知っていれば十分検討した上での対応ができますし、何よりも、迅速に対処できます。セキュリティの侵害が起きるのは、ソフトウェアやハードウェアの脆弱性が原因ではないかもしれません。攻撃者は、社員を通じて(故意に関わったか知らずに関わったかを問わず)インフラに侵入することがあります。または、業務上社内システムにアクセスできる委託業者やサービス事業者のネットワーク経由で入ってくる可能性もあります。

言うまでもありませんが、攻撃者は他にも何かを標的のネットワークに埋め込んでいるかもしれませんし、そのインシデントが計画の一部にすぎない可能性や注意を逸らすための陽動である可能性も考えられます。

対策は?

高度な標的型攻撃からインフラを守るには、過去の履歴を追えるシステムを利用してセキュリティ対策を強化する必要があります。攻撃者は侵入の痕跡を消去することも隠蔽することもできますが、エンドポイントでの検知および対応を行う(Endpoint Detection and Response:EDR)システムがあれば、インシデントの根本的な部分を容易に突き止めることができます。しかも、そのために業務プロセスが中断されることもありません。

Kaspersky Labが提案するThreat Management and Defenseプラットフォームは、標的型攻撃対策ソリューションのKaspersky Anti Targeted Attack Platform、新たにリリースされるKaspersky Endpoint Detection and Response、そしてエキスパートサービスを組み合わせたソリューションです。サイバー脅威に対応するための戦略的アプローチを実現します。

Kaspersky Anti Targeted Attackは機械学習ベースの実績ある効果的なテクノロジーを採用しており、ネットワークトラフィック内での異常の検知、不審なプロセスの隔離、イベント間の相関性の検出を行います。Kaspersky Endpoint Detection and Responseは、インシデント調査において重要な作業である、収集データの集約と可視化を担います。さらに各種サービスでは、特に解決困難なインシデントが発生した場合の支援、お客様の監視センターのスタッフトレーニング、組織の従業員全体に対するセキュリティ意識の向上といった対応も行います。

Threat Management and Defenseプラットフォームについては、こちらのページをご覧ください(英語記事)。