【まとめ】シマンテックよくある疑問スッキリ解消セミナーVol.9～技術者から見て実際どう？IT環境の変化に適応してる？他～

本日は、技術担当の中村さんをお迎えして情報をお届けしてまいります。それでは、本日取り上げる疑問や質問は以下の3つです。

それでは中村さん、近年のIT環境や脅威動向についてお伺いできますか？

はい。よろしくお願いいたします。まず、IPA（情報処理推進機構）が毎年出している情報セキュリティ十大脅威2023年版から最近の脅威の動向を見てみましょう。

注目すべき点は、まず 5位の「テレワーク等のニューノーマルの働き方を狙った攻撃」です。新型コロナウイルスや働き方改革でテレワーク等が増え、働き方が大きく変わってきています。セキュリティ対策が不十分なまま利用すると攻撃対象になる場合がございます。

これが今回のテーマになっている「IT環境の変化」ですね。

はい。もう一点、1位から3位までの攻撃ですが、これらを一言でまとめると「攻撃の高度化」となりまして、つまり対策をしていても攻撃が実行されてしまうという特徴を持つ攻撃です。

「IT環境の変化」に「攻撃の高度化」。両方とも気になるテーマですね。

それでは、IT環境の変化からお話させていただきます。

従来は、社内と社外のネットワークの境界がはっきりしており、社内を守る対策が一般的でした。今はリモートワーク、モバイル端末、業務利用の個人端末、クラウドサービスの増加等、社内の情報が社外にもあるような、「ネットワーク境界の消失」とも言える状況になっています。

こういう状況で困っている、というお話はお客様からもよく聞きますね。

これにより、攻撃者がサーバーや各P C端末といったエンドポイントに簡単に到達できる状況、つまり「攻撃対象の対象領域の拡大」が起こっています。攻撃がエンドポイントに対して行われるため、従来の境界防御は十分ではなく、エンドポイントセキュリティの強化が非常に重要です。

なるほど。だからエンドポイントセキュリティ製品、EPPが大事なのですね。

続けて、攻撃の高度化についてです。こちらはインシデント事例を用意しました。

不正アクセスや情報漏洩の事件です。会社ではメールセキュリティやインターネットの入口でのセキュリティ対策等、階層防御を講じておりました。それでも攻撃に遭い、大きな事故につながっています。原因はファイルレスマルウェアで、今回は脆弱性のある中国のサーバーを踏み台として社内システムに侵入されてしまいました。その後にこのマルウェアファイルによる攻撃を受けたわけです。ファイルレスと言いましたが、攻撃ではWindowsのPowerShellが悪用されており、現在はこうした高度な攻撃が増加傾向にあります。

海外の拠点も関わってくることがあるのですね。

はい。従来のEPPはパターンマッチングや振る舞い検知でマルウェアを検出していました。攻撃者は、このような手法をかいくぐるために、新たな攻撃方法を行っています。

それが環境寄生型攻撃やファイルレス攻撃等です。環境寄生型攻撃というのは、正規のツールを悪用して攻撃します。EPPは正規ツールをブロックしないためすり抜けてしまいます。ファイルレス攻撃は、メモリ上で不正行動を実行するような攻撃で、ファイルがないためEPPは検知できません。このように、従来のEPPでは防御できない攻撃が増えている状況です。

こうした攻撃に対し、シマンテックではどのように防御しているのでしょうか？

では、こちらの図をご覧ください。

図で、従来のアンチウイルスがオレンジ色の部分、NGAVが黄緑色の部分をカバーしておりました。こちらで守り切れない高度な脅威が赤枠です。ここで守りきれなかったものをEDRがインシデントとして検知するのですが、これによってEDRのアラートが膨大になってしまいます。そもそも侵入前の防御が不十分だとEDRの運用負担が大きくなってしまうのです。

なるほど。

従来のアンチウイルスは、シグネチャを使って既知のマルウェアをブロックします。NGAVではビッグデータや機械学習を用いることで、未知のマルウェアや亜種等もブロック可能です。ただし、ファイルレス攻撃や環境寄生型攻撃のような高度な脅威は侵入前の防御では守ることができないため、EDRで侵入後に監視します。

ここで、N G A Vのチェックを厳しくしようとすると、誤検知が増えたり過検出が増えたりする問題が生じます。そのため、グレーなものは止めない運用になっているのが現状です。

このような場合はEDRでの検知が増え、運用負荷も上がってしまいます。EDRで検知したものへの対処はユーザーによって異なるため、管理者の負担も大きくなってしまいます。

せっかく対策をしているのに、これはちょっと困りますね。この問題に対して、対策みたいなものはあるのでしょうか？

はい、それではここからはテーマの2つ目のお話に入ります。今どういった製品が求められているのか、お願いいたします。

はい。今のエンドポイントセキュリティには、ユーザー環境に適した防御策と運用性を考慮した対策が必要だと思いますので、Symantec Endpoint Security（SES）をご提案させていただきます。

では、図がありますので詳しくお願いします。

このSESですが、SES Enterprise（SESE）とSES Complete（SESC）の2つがございます。SESEではPCやサーバーを守るエンドポイント保護に加え、モバイル端末の保護も可能です。クラウド管理もできますので、オンプレミスのサーバーを置かずに管理できるのも長所です。SESCはSESEに加えて、次の機能が追加されています。

EPPやEDRはよく耳にするのですが、防御プラスの部分について詳しく教えてください。

はい、こちらは先ほどの図に防御プラスの防御範囲を示したものです。

防御プラスでは、従来のEPPやNGAVで保護しきれなかった部分をカバーできる機能が提供されています。EDRにもかぶっていますが、EDRの防御を強化したり、EDRで捕捉するインシデントそのものを減らしたりできます。

多層防御として見ると、アンチウイルス（AV）で既知のマルウェアをブロックし、NGAVで未知のマルウェアをブロックしますが、防御プラスではその次に一枚増えています。先ほどのファイルレス攻撃のような高度な脅威を防御プラスで対策可能になります。そのため、EDRのアラートもかなり減る、というわけです。

おお。かゆいところに手が届いていますね。壁一個増えましたね。これは強力。

では、ここで中村さんの防御プラスのおすすめ部分について教えていただけますか？

はい、私が一番押しているのは、Adaptive Protection（適応型防御）です。

これは何故イチオシなのでしょうか？

一言で言うと、お客様の環境に最適化された保護を提供する機能だからです。

従来のエンドポイントセキュリティでは、従業員の規模や業種を問わず世界共通の機械学習エンジンを用いていました。そのため、全ての企業で黒判定になるものをブロックしています（万能型アプローチ）が、グレー判定はブロックできません。そのため、EDRのアラートが増えたり攻撃者がこの弱点を見つけると世界的な規模で侵害できたりしてしまいます。

この場合、すり抜けるものは全部すり抜けるのですね。また全部止めるとか、一律の防御しかできないのですね。

はい。さらに環境寄生型攻撃等の高度な攻撃が止められない理由も、その万能型アプローチだからです。会社の環境やニーズ、標準的な挙動もさまざまですので、環境に適したお客様に合わせた保護アプローチが求められます。

なるほど。では、このAdaptive Protection機能についてもう少し具体的に教えていただけますか？

Adaptive Protectionでは、攻撃に使われる挙動やテクニックのうち、日常的な業務で使用しないものを選んで無効化できます。具体的には、エンドポイントの挙動を90日間監視して、その後、業務利用していないアプリケーションの振る舞いを自動で遮断します。

具体的なイメージといたしましては、たとえばエクセルのような正規アプリAがあったとします。日常的には表を作成する等、いろいろな使い方があるかと思いますが、通常の利用は許可されているので問題ありません。ただし禁止されている挙動、攻撃に使われる可能性のある挙動、たとえば実行（.exe）ファイルの作成や実行といったものは拒否できます。

また、図では正規アプリXから正規アプリBの立ち上げは許可されていますが、正規アプリAからBの立ち上げは拒否されているため実行はできません。このように、アプリケーションを強制終了することなく、該当の挙動、攻撃に使われる可能性がある、会社で利用していない挙動・振る舞いのみを無効化できます。

なるほど。とてもすごい機能ですね。

アプリを丸ごと拒否するのではなく、挙動だけを拒否するのがすごいですね。

一律で禁止ではなくて、個別にカスタマイズできるイメージですか？

はい、そのとおりです。一度禁止した挙動でも、やっぱり使うということになればポリシーですぐに解除できます。

では、これをしっかり運用できればセキュリティがとても強固になりますね。

ありがとうございます。このAdaptive Protectionですが、お客様の利用状況データやグローバルな情報から正規ツールの悪用を特定したり、お客様の環境と利用状況データから振る舞いをブロックした際の影響を特定したりすることも可能です。また、MITRE ATT&CKに基づいた振る舞いの相関分析から、環境寄生型攻撃やファイルレス攻撃も継続的かつ自動的に防御できます。

このAdaptive Protectionを搭載しているSESCは、EPPの防御率も非常に高いため、EPPで黒判定をブロックし、かつ防御プラスで高度な攻撃から防御し、最後にEDRで対処していくため、EDRの負荷を減らす運用が可能です。そして、独自の技術で環境に適した防御を提供できます。

きれいにまとめていただきました。ありがとうございました。