エンドポイントセキュリティはEDRのその先へ
EPP／EDR／脅威ハンティングを全網羅した統合型エンドポイントセキュリティで高度化し続ける脅威に対応する！

エンドポイントを狙った脅威が高度化し続けている。サイバー攻撃はメール添付のEXEファイルを実行させてマルウェアに感染させる従来型の形態から、OSに常駐して端末に攻撃を仕掛けるファイルレス型へと進化しており、現在のサイバー攻撃の実に83％がファイルレス型だという報告もある。脅威の進化に合わせて、エンドポイントの保護機能も進化させていくことが必要だ。その際に非常に有用となるソリューションがある。シマンテックの提供する統合エンドポイントセキュリティプラットフォーム「Symantec Endpoint Security」だ。

高度化する脅威への対応に必要となるのは
統合型のエンドポイントセキュリティ

現在のサイバー攻撃に対処するためには、もはやアンチウイルスソフト（AV）や次世代アンチウイルス（NGAV）を端末に実装するだけでは不十分だ。AVやNGAVはいわゆるEPP（Endpoint Protection Platform）と呼ばれる分野のソリューションで、エンドポイントの保護機能を提供するものだが、冒頭でも触れたようにエンドポイントを狙った脅威はファイルレス型へ進化するなど高度化し続けている。EPPをすり抜けられることを前提にセキュリティ対策を講じておく必要がある。

そこで次のステップとして求められるのが、EDR（Endpoint Detection and Response）だ。EDRは、エンドポイントにおける脅威の検出と対処を支援するもので、端的に言えば＂リスクをコントロール＂するためのソリューションだ。国内企業の約20％がすでにEDRを採用している。まずはEPPでエンドポイントを防御し、EPPをすり抜けた脅威はEDRでコントロール（＝検出／対処）するという流れだ。

ただしこの時、新たに考えるべきオペレーション上の課題が発生する。EDRの採用によって進化を続ける脅威の検出が可能になる一方、大量の＂グレー＂なアラートが発生し、その精査・対応のために多くの人的リソースが割かれるという点だ。結果、セキュリティは向上するものの、運用コストが増大するという事態を招くことにもなり兼ねない。その際には、社外のセキュリティベンダーが提供する脅威ハンティングサービスなどの活用を検討する必要も出てくるだろう。

高度化する現在の脅威に対応していくためには、EPPとEDR、そして脅威ハンティングというすべての機能を自社で統合する必要がある。

その際に非常に有用となるソリューションが、シマンテックの提供する統合エンドポイントセキュリティプラットフォーム「Symantec Endpoint Security」（以下、SES）だ。

EPPに加え、EDRと脅威ハンティングまでを実装した
Symantec Endpoint Security

シマンテックのSymantec Enterprise Security事業は2019年に大手半導体メーカーの米ブロードコムに買収され、その後2020年11月にはシマンテックの法人部門も買収された。現在ブロードコムは2800件以上のセキュリティ分野における特許を保有しており、近い将来、売上の50％をソフトウェアビジネスで成立させる戦略を掲げている。

そのブロードコム傘下となったシマンテックが提供するエンドポイントセキュリティソリューションがSESで、従来製品「Symantec Endpoint Protection」（以下、SEP）の進化版となる。

国内で多くのセキュリティ製品を技術的な観点から紹介、訴求しているSB C＆S株式会社 ICT事業本部 販売推進本部 技術統括部の矢部和馬氏は、SESの概要について次のように説明する。

「これまでシマンテックのエンドポイントセキュリティソリューションといえば、EPPに相当するSEPでした。今回ご紹介するSESは、SEPの保護機能をすべて踏襲、強化し、さらにEDRと脅威ハンティングという新たな機能を実装した統合型のエンドポイントセキュリティソリューションだと言えます」

シングルコンソールと多様な運用パターンの提供で、
効率的かつ柔軟な運用環境を実現

SESの大きな特徴としてまず挙げられるのが、すべての機能を単一のコンソールから利用、管理できるという点だ。

「SESでは、EPPとEDRの機能がすべてシングルコンソールに統合されています。つまりセキュリティ担当者の方は、EPPでの防御状況と、EDRでの検出／対応状況を確認するために、わざわざ2つのコンソールを見に行く必要がないということです」

さらにSESでは、同一のシマンテックエージェントをエンドポイントの端末にインストールしておくことで、オンプレミス環境下の端末管理だけでなく、クラウド経由で利用される端末の管理、さらにはハイブリッド環境での統合的な端末管理も可能としている。

「SESは、エンドユーザの働く場所や、PCやモバイル端末などデバイスの種類を問わないエンドポイントの統合セキュリティソリューションです。SESを利用することで、エンドポイントセキュリティの運用を効率的かつ非常に柔軟に実現することが可能となります。これによってセキュリティ担当者の方の運用負荷は低減され、運用コストの削減も期待することができます」

先進的なセキュリティ機能の搭載で
防御機能をさらに強化

EDRの機能も搭載したSESを利用することで、最新の脅威はすべてEDRで捕捉することが可能となる。しかしその際には発生する大量のアラートに人手で対処しなければならない。そこでまずは防御機能を強化し、アラート数を極力抑える工夫が必要だ。そこでSESでは、先進的なセキュリティ機能を搭載することで防御機能を強化している。

「まず挙げられるのが、適応型保護（Adaptive Protection）という機能です。例えばユーザー企業が利用する正規のアプリケーションを悪用するLiving Off The Land（LOTL）攻撃に対し、グローバルテレメトリーデータを使用することで、その振る舞いが正規アプリケーションのものかどうかを特定するというものです」

アプリケーションの振る舞いを照らし合わせるデータとしては、グローバルテレメトリーデータ、顧客企業内の90日間の挙動データ、サイバー攻撃の技術などに関するナレッジベース「MITRE ATT＆CK」で提供される攻撃情報や脅威インテリジェンスなどが挙げられる。

「現在では、お客様企業専用のブラックリストだけでなく、ホワイトリストまで提案する機能も実装されています。＂この行為は攻撃者ではなく社内ユーザーが行っているものだ＂ということを機械学習で分析し、ホワイトリストに追加することを提案してくれるのです。これによって脅威検出の精度をより向上させることが可能となります」

またSESでは、Active Directoryを脅威から保護するThreat Defense for Active Directory（TDAD）という機能も搭載している。

「現在の標的型攻撃の大半がActive Directoryを悪用するもので、攻撃者は端末に侵入したら即、クレデンシャル情報を確認して、Active Directoryの管理権限を盗みに行きます。時間にして大体7分以下で、ドメインコントローラを支配するのです。仮想デスクトップだからといって安全ではありません。その際にTDADは、Deception（＝疑似餌）を配置し、ADクエリの結果および偵察の試行を自動的に難読化することで時間をかせぎ、攻撃者によるドメイン管理の支配を阻止します」

この他にもSESは、社内で利用されているアプリケーションを把握し、脆弱性のある危険なアプリケーションは実行禁止にするApplication Control機能や、利用が広がるリモートワーク環境に即したブラウザやOfficeなどの隔離機能、VPNやWi-Fiセキュリティなどのネットワーク保護機能など、多様で先進的な防御機能を搭載している。

複数アラートを相関分析して1つに集約、
脅威ハンティングサービスも無償で提供

SESは、脅威を検出して対応するEDRの機能も、非常に画期的なものとなっている。

「先にも述べたようにEDRの導入によって、通常なら大量のアラートが発生しますが、SESでは複数のアラートを相関分析し、関連性のあるものは集約した上で、1つのインシデントとして提供します。セキュリティ担当者の方は、従来のように＂アラート疲れ＂することもほぼなくなります」

またSESはインシデント検出後の対応フェーズでも、端末の隔離やブラックリストの作成に加えて、（ファイル削除ではなく）ファイルを隔離する機能、攻撃手法を隔離する機能、攻撃自体をブロックする機能、タスクとプレイブックによってセキュリティ管理を自動化する機能などを提供している。

加えてSESは、SIEM（Security Information and Event Management）やSOAR（Security Orchestration，Automation and Response）といったセキュリティソリューションと連携、統合することも可能となっている。

そしてもう1点、特筆すべきポイントが、SESでは脅威ハンティングのサービスも盛り込まれていることだ。

「脅威ハンティングは、機械学習とエキスパート分析を組み合わせて潜在的な侵害を特定するものですが、通常は多くのセキュリティベンダーが有償で提供するものです。これに対してSESでは脅威ハンティングのサービスまでがセットになっています。SESでは、まず多様なテレメトリデータと機械学習ベースのクラウド分析を活用し、インシデントを検出してお客様に提供します。この段階で検知できなかったインシデントは、シマンテックの脅威エキスパートアナリストが脅威を分析して、詳細な調査結果をコンソールを通じてお客様にお知らせします」

SESの脅威ハンティングにおける検知機能は、MITRE ATT＆CKの最新2020年の評価で91％のスコアを獲得し、他のセキュリティベンダーを抑えて第一位となっている。シマンテックの高い技術力を客観的に証明するものだ。

「高度化し続ける脅威に対応するためには、エンドポイントセキュリティも進化させていく必要があります。そこで求められるのは、防御機能をより強化し、マンパワーと運用コストを最小限に抑えつつ、脅威の検出と対応の精度を上げていくという取り組みです。その際にはエンドポイントのセキュリティをオールインワンで提供できるSESの活用を是非ご検討いただきたいと思います」