企業におけるセキュリティ対策に、近年変化が起きている。従来はデバイス(エンドポイント)ごとに対策ソフトを入れ、ファイルのダウンロードや実行などを監視し、ウイルスやワーム、スパイウェアの侵入を未然に防ぐEPP(Endpoint Protection Platform)が大勢を占めていた。

ところが、最近はウイルスも巧妙化しEPPでは防げないタイプも増えたため、不審な挙動を検知したら対処することで未知の脅威にも対応しつつ、未然に侵入を防げなかった標的型攻撃などに対して、感染経路の特定や攻撃の全体像の可視化を行うEDR(Endpoint Detection and Response)が主流となってきた。

さらに、エンドポイントだけでなくネットワークやサーバ、メールなど、複数のレイヤーの情報を相関分析し、サイバー攻撃の全体像を可視化するXDR(Extended Detection and Response)がこれからのセキュリティ対策として注目されている。

そうした、「未然に侵入を防ぐ」から「侵入されたときにどう対応するか」へシフトしてきているセキュリティ対策。「VBBSSマネージドXDR」を提供するトレンドマイクロにおじゃまし、なぜXDRがいいのか、企業のセキュリティ対策はどうすべきかを伺った。

企業の規模は関係ないどこの企業もターゲットに

お話を伺ったのは、トレンドマイクロのマーケティング本部ビジネスマーケティング部ソリューションマーケティンググループ グループ長 シニアマネージャーの福田俊介氏

「中小企業さんへ訪問すると必ず聞かれるのが、『うちはそんな大きくないからランサムウェアで狙われないでしょ』と。いやいや警察庁の調べによるとランサムウェア被害の企業団体の報告数は中小企業が52%で、大企業の36%を上回っています。そのため大小は関係ありませんと説いています」と語るのは、トレンドマイクロのマーケティング本部ビジネスマーケティング部ソリューションマーケティンググループ グループ長 シニアマネージャーの福田俊介氏だ。

IPAが発表するセキュリティの10大脅威によると、ここ数年ランサムウェア祭りの状態だ。ただランサムウェアの使われ方に変化があると福田氏は語る。「以前は、バラマキ型で誰かが引っかかってくれれば儲けものという考えでした。ところが最近は、組織にネットワーク経由で入り、どこを暗号化すればお金になるかを探し出す、いわゆる標的型攻撃の一部として使われるようになってきています」。

つまり脆弱性などを突いて組織のネットワークへ侵入し、組織全体を調べた後にランサムウェアを最終手段として使うわけだ。これまで多くの企業で導入してきたEPPだと 、未知のランサムウェアを用いられると、防げないケースもある。

VPNやRDP、脆弱性を悪用して内部ネットワークへ直接侵入するケースは、2019年1月から2020年12月の24ヶ月間で22.2%だったのが、その後の30カ月で66.7%まで急増している

「ランサムウェアを侵入した直後に使ってしまうと、すぐEPPに見つかってしまい核心にたどり着けません。重要な情報は奥底にあります。そのため、核心にたどり着くまでは正規ツールを使って情報探索を行うことでEPPには見つかることはないのです。そのためEDRというのが登場しました。これは EPPといったウイルス対策や脆弱性対策など外部からの攻撃を弾いた以外のものに対して、通常のツールの使いかたが異質なものも検出し、アラートを出します」(福田氏)。

たとえばリモートコントロールツールを情シス担当が使っていたとすると違和感はないが、営業担当の人が使っていたとなると業務ではないのでは? となる。また誰かがツールを使ったという記録だけを見ると、攻撃ではないと判断してしまうことも、他の点を結んでいくと攻撃だと判断できることがある。そういった判断をしてくれるのがEDRの優れたところだ。そして、それがランサムウェアを使う前に検出されていれば、攻撃を未然に防ぐこともできる。

「中小企業をターゲットとした攻撃のトレンドとして、先程のようにランサムウェアを実行するためのネットワークへの侵入をどうするか、といったときに業務上のつながりを利用した踏み台攻撃、いわゆるサプライチェーン攻撃というのが大きなリスクになると考えています。標的の企業へ直接侵入を試みるのではなく、その子会社や関連会社、取引先へ侵入し、信頼されているネットワークから標的を目指したり、取引先になりすましたりといった攻撃を仕掛けてきます」と福田氏は警告する。

標的の企業へ侵入するために、子会社や取引先企業へ侵入し踏み台として使われる可能性が高まっている

「このことは、標的が金銭を要求されるのに留まらず、自社が踏み台になる加害者のリスクもあります。そして事業継続のリスクもあり、大企業であればサーバの1つが止まってもサプライチェーンが強固なためなんとかなることも、中小企業だとそうはいきません。1つのサプライチェーン、1つの取引先との信用がなくなったら、企業の存続に関わる問題になりかねません」(福田氏)。

昔ならサプライチェーンを持たない企業も多かったが、IT社会によってさまざまな企業とつながって、ものづくりをする時代。自分の企業のセキュリティが甘かったことで、関連する一連の取引先に迷惑をかけることになる。それだけは避けなければならない。

自分の会社がセキュリティを弱くしている立場になると、サプライチェーン全体に迷惑がかかってしまう

有事のセキュリティを考える時代に

2024年2月にアメリカ国立標準技術研究所(NIST)が提唱するサイバーセキュリティのフレームワークが10年ぶりに大幅改定され2.0となった。主な変更点としては、企業規模や産業に関わらず、自社だけでなく委託先や取引先も考慮することとし、やるべき6つのセキュリティ機能を挙げている。

まず予防としての統制・識別・防御。平時のセキュリティとして、被害の発生を防ぐ対策をする。そして復旧として検知・対応・復旧。有事のセキュリティとして、被害の影響を最小限に留め業務復旧にもっていく対策をする。多くの企業は平時のセキュリティ対策はしているはずだが、有事のセキュリティ対策は行っていないだろう。

これからは「平時のセキュリティ」と「有事のセキュリティ」の両立を考えなければならない

この平時と有事のセキュリティを両立させることが重要だと福田氏は説く。「これまで提供してきた『VBBSS(ウイルスバスタービジネスセキュリティサービス)』が平時のセキュリティに該当しますが、今回紹介する『VBBSS マネージド XDR』が有事のセキュリティ対策も含めたサービスになります。組織内を攻撃されたとき、さまざまなログやデータをつなぎ合わせ、どのように攻撃したのかを検出してくれます。一つ一つのデータからはわからなくても、点と点を結んで線にすると見えてくる、そんな攻撃をXDRが見つけ出し、インシデントの調査・原因特定・対処を行い、収束・復旧を目指します」。

トレンドマイクロのインシデントレスポンスの統計では、EPPにより89%の攻撃をブロックしている。しかし標的型攻撃などにより11%は抜けており、そこをEDRやXDRを利用して検知し、復旧や根絶の対応を行っている。先述の通り、この標的型攻撃が増加しておりEPPだけで食い止めるというのは難しくなってきている。

ほとんどはEPPでせき止められるが、通過してしまったらEDR/XDRでの対応が必要だ

「VBBSS マネージド XDRは、従来のEPPとNext Generation Anti-Virusに加えて、EDR/ XDRの機能を追加。さらにMDR(Managed Detection and Response)、 運用監視のサービスを付けたサービスになっています。なぜMDR、運用監視のサービスが必要なのかと言うと、人材不足だからです。セキュリティの非常に長けた知識や経験を持った人は非常に少ないマーケットで、中小企業ではなかなか確保しづらい状況です」(福田氏)。

セキュリティのログを監視してどう対処し設定するか、ということはセキュリティ知識がなければできない。人材不足を解消するにはどうすべきか考えたとき、少人数でも対応できるシステムづくりを目指し、XDRで検出したアラートを極力出さないという設計思想で開発したという 。

VBBSS マネージド XDRは中小企業向けのオールインワンMDRサービスである

「たくさんアラートを出されても、それを解析する能力が足りていれば問題ないのですが、中小企業ではそんなことはないでしょう。まずは、ほんとに必要なアラートに絞りつつ、どう対応すべきかわからない場合は、マネージドサービスの出番です。アラートを一旦トレンドマイクロ側で分析し、即時対応が必要なものは直接操作。企業側で確認が必要な場合などはフィードバックして確認の上対応してもらうということもしています。これにより、運用の負担を軽減し、経験やナレッジ不足を解消するサービスとなっています」と福田氏はアピールした。

企業を24時間365日守るVBBSS マネージド XDR

VBBSS マネージド XDRは、24時間/365日の監視・対応MDRサービス。検知の調査対応や最新脅威へのプロアクティブ対応、定期レポートの提供、設定の見直し支援など、セキュリティ対策をプロにある程度任せられるというのは、中小企業にとって嬉しい限り。人材確保が難しいこの時代、一人情シスという企業も少なくないはず。そんな企業にとっては、セキュリティのプロが監視してくれているということだけで安心感がある。

セキュリティの常識は、ここ数年変わってきており、侵入されたとわかってから、むやみにサーバの電源を落としたり、ネットワークを遮断することは、ケースにも依るがいまはNGとされている。対応する側もスキルを向上させていかなければならず、中小企業ではなかなか難しいところだ。

中小企業に求められるセキュリティ意識について、福田氏は「セキュリティのプロがいるとは限らないので経営層の関与が必要だと言われています。予防策と復旧策に必要なセキュリティ機能について、セキュリティのことがわかっている人なら、対策を取れますが、そうではない場合トップダウンで普段からしっかり戦略を練り、起こってしまったときは、どう対策をすべきかそれぞれ細かく決めておくことが大切です。そうした中で、できないところアウトソースしたり、我々のようなサービスを活用してもらうことが一番大事だと思います」と語った。

攻撃者はいつ何時侵入してくるのかわからない。24時間365日監視してくれるVBBSS マネージド XDRは、それだけの人件費を掛け、万が一被害を受けたときに掛かる費用を考えると導入したほうがコスト削減にもつながるはず。

「企業ネットワークへの侵入は脆弱性やネットワーク機器の設定ミスが原因であることが多いです。標的は大企業であっても、サプライチェーンである取引先・委託先である中小企業をターゲットにして、侵入を試みてきます。そのため被害者なのに加害者になる可能性が十分にあるわけです。ただ、XDRを導入すれば被害を最小限に抑えられるかというとそうでもなく、上がってくるアラートに対してどう対処するかという知識が必要です。そこをマネージドサービスとして、トレンドマイクロのセキュリティエンジニアが24時間/365日対応サポートするため、中小企業にとって最適なセキュリティ対策だと思っています」と福田氏は強く訴えた。

リスクマネジメントの時代に復旧策を強化する必要はもちろんだが、今後は、大企業に提供している「アタックサーフェスリスクマネジメント」が中小企業向けに展開され、潜在的なリスクの可視化によるインシデントの予防をするサービスも受けられる予定だ。自分の企業を守ることが、サプライチェーン全体を守ることにもつながることを理解し、最善なセキュリティ対策を導入してほしい。

関連サイト

VBBSSマネージドXDR

専門家によるマネージドサービス付きのセキュリティ対策。話題のXDRが導入可能でアウトソース付きのため導入後も安心です。中小企業向けのオールインワンMDRサービスです。

iKAZUCHI(雷)

「iKAZUCHI(雷)/いかづち」はサブスクリプション管理ポータルです。DISの販売パートナーは、「iKAZUCHI(雷)」をご利用いただくことで、多様化するサブスクリプション型のクラウドサービスの注文工数が削減され、月額や年額の継続型ストックビジネスの契約やご契約者さまの一元管理が可能になります。