攻撃の検知から対策まで自律型セキュリティソリューション | 東京エレクトロンデバイス

 改訂された経済産業省「サイバーセキュリティ経営ガイドライン」では、セキュリティ脅威の「特定」「防御」の事前対策だけでなく、「検知」「対応」「復旧」といった事後対策も強く求められています。実際、どんなに厳重な事前対策を施したとしても完全な防御は不可能であり、サイバー攻撃の侵入を前提とした対策が必須となっています。この課題に対して東京エレクトロンデバイスは、どんなソリューションを用意していますか？

「EPP（Endpoint Protection Platform）」と「EDR（Endpoint Detection and Response）」という2つの基盤技術を合わせ技で活用し、さらにプラスαの機能を備えた自律型のセキュリティソリューションを提供しています。これにより「サイバーセキュリティ経営ガイドライン（Ver2.0）」に定義された「特定」「防御」「検知」「対応」「復旧」のすべてのプロセスを一気通貫でサポートします。

自律型のセキュリティソリューションの基盤技術となっているEPPとはいかなるものですか？

EPPはひと言でいうと、外的脅威から直接的に端末を守るアプローチ全てを指しています。最近の傾向は、マシンラーニングを利用してマルウェアファイルの特徴を学習し、その知見に基づいて脅威を検知するという静的解析のアプローチと、「あやしい振る舞い」をマシンラーニングのアルゴリズムで分析した学習済みモデルを実装し、脅威を検知する動的解析のアプローチがあります。

静的解析は従来のアンチウイルスとは仕組みが異なるのですか？

エンドポイントセキュリティベンダーが長らく基本としていたのは、新しいマルウェアが発見された場合に、その特徴を指名手配犯の顔写真としてリストに加え、エンドポイント上で照合を行う、いわゆるシグネチャマッチングという方法です。ただし、この方法では少しでも改変された亜種のマルウェアに対してはまったく無力となってしまいます。
いまや亜種のマルウェアは闇市場で流通しているツールを使えば誰でも簡単に作れてしまいますし、アクセスするたびに異なる亜種を自動生成しダウンロードするサイトも存在しており、手の打ちようがありません。
これに対してEPPはマルウェアに共通する特徴や傾向に着目し、マシンラーニングで学習を行います。1対1のリスティングではなく、“公約数”を使ってマルウェアを検知するイメージです。亜種のマルウェアが出現した場合でも根本的な構造そのものが変わるわけではないため、効果的に検知することができます。同様の理由から、まだ存在が知られていない未知のマルウェアについても、検知することが可能です。

 静的解析は未知のマルウェアにも対応できるのであれば、エンドポイントのセキュリティ対策はそれで十分なのではありませんか？

100％対応できるわけではありません。静的解析がマシンラーニングの対象としているのは実行形式ファイルのみです。例えば「ファイルレス攻撃」と呼ばれる実行形式ファイルを使わない攻撃手法には、静的解析だと対応できません。
サイバー攻撃とセキュリティ対策の間には常に“イタチごっこ”が続いており、静的解析の普及を見越したように、攻撃者はファイルレス攻撃に重点を移す傾向が現れています。実際に高い成功率を示している、という報告もあるようです。そこで必要となってくるのが動的解析のアプローチです。

動的解析はどの様に外的脅威に対応するのでしょう？

動的解析は前述のように「あやしい振る舞い」にフォーカスします。端末上のプロセスが動き出すとその挙動を逐一追いかけて学習モデルが異常と判断する挙動を検出した場合、即座に停止をかけるのです。
その様な仕組みの為、急増しているファイルレス攻撃にも対応することができます。また動的解析の機械学習エンジンはクラウド上に集約される脅威情報によりその学習モデルのブラッシュアップを日々重ねています。

プロセス単位で観察するので外的脅威の起点は問題ではないということですか。

その通りです。仮に静的解析をくぐり抜けた実行形式ファイルのマルウェアであっても、そもそも静的解析で対処が出来ないファイルレス攻撃であっても、「あやしい振る舞い」をすることに変わりは有りません。

自律型のセキュリティソリューションの基盤技術として、EPPとともに合わせ技を提供するEDRとはいかなるものですか？

EDRは簡単に言えば、飛行機に搭載されたフライトレコーダーのようなものです。エンドポイントで発生する、あらゆるイベントをくまなく記録して可視化し、「そのときに何が起こったのか」を時系列で詳細に確認できます。
経済産業省の「サイバーセキュリティ経営ガイドライン（Ver2.0）」に示された、事後対策における「検知」プロセスをサポートするものです。

EDRによってエンドポイントに侵入したセキュリティ脅威を検知できたとしても、その後の「対応」は人間に委ねられるのですか？

確かに厳密な意味でのEDRは「検知」までしか行いません。しかし東京エレクトロン デバイスが提供するセキュリティソリューションは、その後の「対応」「復旧」プロセスまでサポートします。これが自律型を称する所以です。
たとえばあらゆる防御をかいくぐり、エンドポイント内のファイルがランサムウェアによって暗号化されてしまうといった被害を受ける可能性は無いとは言えません。しかしこの様なケースをあらかじめ想定したうえでロールバック機能を備えているため、犯人に身代金を払ったり、セキュリティの専門家の手を借りたりしなくても、簡単な操作で元の状態に「復旧」することが可能なのです。

 自律型のセキュリティソリューションに搭載されたロールバック機能は、具体的にどんな仕組みによって「復旧」を行うのですか？

Anti-tamper モードでWindowsのVSS（Volume Shadow Copy Service）エリアを保護しているため、仮にランサムウェアに侵入された場合でもVSSが削除されてしまうといった不正操作を安全にブロックします。これによりWindowsの世代管理情報を利用し、暗号化されたファイルを元の状態に戻すことが可能となります。

ランサムウェアに侵入されたエンドポイントを、自律型のセキュリティソリューションを利用して実際に「復旧」する様子を見ることはできますか？

ぜひ、こちらの動画をご覧ください。

EPPとEDRを基盤とした自律型のセキュリティソリューションの高度な先進機能とその劇的な効果は理解できましたが、運用はどうなりますか。私たちの会社にはCSIRT（シーサート）のようなセキュリティ対策の専門チームが存在しないどころか、業務システムの運用管理さえも総務部門が兼任しています。このような人材の手薄な組織体制でも、本当に導入・運用は可能なのですか？

安心して導入・運用していただけます。セキュリティの専門人材が絶対的に不足している状況はどこの企業でも同じです。
この共通課題に応えるため、東京エレクトロンデバイスでは、セキュリティ運用におけるワークフローの自動化やセキュリティ製品間の連携を支援する「Phantom（ファントム）」というプラットフォームを提供しています。この仕組みのもとで各種セキュリティソリューションを運用することで、人材不足の補完、人材間のサポートレベルの平準化、導入済み製品・サービスの効率化、迅速な組織のセキュリティ運用などを実現します。
セキュリティ運用の自動化へのアプローチについては、別の機会に改めて詳しくご紹介したいと思います。