NGAVとEDRを組み合わせたエンドポイントセキュリティ対策の有用性

今日、企業における情報セキュリティ対策の在り方が大きく変わろうとしています。これまでのセキュリティ対策は、社内ネットワークとインターネットとの間にファイアウォールをはじめとするネットワークセキュリティ機器の防御壁を張り巡らせる「境界線型」のセキュリティモデルが主流でした。

これは、クライアント端末を含む業務システムがすべて社内ネットワーク内で完結していた時代には有効なモデルでしたが、コロナ禍や働き方改革によってテレワークが普及した今、クライアント端末を社外に持ち出して利用するのはすっかり当たり前になりました。またユーザーが利用する業務システムも、社内ネットワークの外にあるクラウドサービスを利用するケースが増えてきました。

こうした環境下では、社内ネットワークを一生懸命守るだけでは安全性を十分に担保することはできません。クライアント端末は社外のネットワークに直接つながるようになるため、端末自体に強固なセキュリティ対策を施す「ゼロトラスト」のセキュリティモデルがどうしても必要になってきます。

弊社ではこうしたセキュリティニーズに応えるために、エンドポイント端末の感染を未然に防ぐNGAV(次世代アンチウイルス)および侵入後の対策を可能にするEDR(Endpoint Detection and Response)の製品を提供しています。NGAVは旧来のアンチウイルス製品と同じく、既知の脅威をシグネチャベースの検知技術で排除できるとともに、機械学習を用いた静的バイナリ解析や振る舞い解析などの新技術によって、これまでのアンチウイルス製品では検知できなかった未知の脅威も自動的に排除できるようになっています。

しかし、中にはこれらの対策だけでは検知できない未知の脅威や高度な攻撃もわずかながら存在します。そこで、NGAVの後に控えるEDRがこれらの脅威を監視・排除することで、全体として漏れのないエンドポイントセキュリティ対策が実現できます。こうしてEDRの手前にNGAVを配置して、事前になるべく多くの脅威を排除しておくことで、EDRを使った調査・対応の手間を最小限に抑えるとともに、その導入効果を最大限に引き出せるようになります。

エクスプロイト攻撃」が企業にもたらす脅威と被害

近日中に、弊社が提供するNGAVおよびEDR製品の最新バージョン「バージョン20.1」がリリースされます。NGAV、EDRともに大幅な機能強化が図られていますが、特にNGAVはこれまで単独では検知できなかった幾つかの脅威を、新たに検知・除去できるようになりました。その1つが「エクスプロイト攻撃」です。

エクスプロイトとはマルウェアの一種で、OSやミドルウェア、アプリケーションの脆弱性を悪用して攻撃を仕掛けるものです。最近では特定の脆弱性を狙うエクスプロイトが単独で用いられることは少なく、複数のエクスプロイトを1つにまとめた「エクスプロイトキット」が使われるケースが増えています。エクスプロイトキットを用いた攻撃手法では、いったん標的に感染するとその端末上に存在する脆弱性を調査し、もし脆弱性が発見できた場合はそれに対応するエクスプロイトをキットの中から選び、即座に攻撃を開始します。

近年被害が絶えないランサムウェア攻撃も、このエクスプロイトを応用したものの1つです。ランサムウェアが端末のデータを暗号化したり、他の端末に感染を拡大させる際には、アカウント権限を昇格させたり他の端末へ感染を拡大させるために脆弱性を突くエクスプロイト攻撃を用います。

2020年6月に大手自動車メーカーで発生したランサムウェア攻撃による大規模システム障害も、このエクスプロイトを用いた可能性があります。この攻撃では国内外の工場の稼働が一時ストップしたほか、社内のPC端末も利用できなくなったといわれています。

NGAVで未知のエクスプロイト攻撃も検知・除去

このように、エクスプロイトを用いた攻撃は企業活動に極めて深刻なダメージを与える恐れがあるため、ぜひ備えを万全にしておきたいところです。そこで弊社はこのたびリリースするNGAVのバージョン20.1に、エクスプロイト攻撃を検知・防御できる専用の防御機能「エクスプロイト保護」を新たに加えます。

エクスプロイト攻撃自体はもともと旧バージョンから、Cybereason EDRによって検知することができました。しかしこの場合、EDRから上がってきたアラートを管理者が一つひとつ確認し、状況を調査した上で適切な対処を取る必要があり、対応に手間と時間を要していました。その点、NGAVにこのたび加わった新機能は、エクスプロイトの脅威を自動的に検知・排除してくれるため、EDRまで到達するエクスプロイト攻撃の数が減り、その分アラート対応の手間と時間も減らすことができます。これによって、EDRを導入した現場でよく見られる「アラート疲れ」も大幅に軽減できることでしょう。

EDRは未知の脅威や高度な攻撃を検知する上で極めて優れた仕組みですが、そのメリットを最大限に引き出すためには、なるべく監視対象を絞り込んで「真の脅威」を確実に見逃さないようにする必要があります。そのためには、今回紹介したNGAVの機能などと組み合わせることで、あらかじめノイズを除去した上で利用する方法をお勧めしたいと思います。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1826

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」