Special
» 2018年04月16日 10時00分 公開

SOCが見逃す侵入後の脅威に備えるには:20億件のイベントデータを不審な25件にまで絞り込み、被害を最小化するエフセキュア

ヨーロッパで確固たる実績と信頼を持つエフセキュアは、侵入検知に特化したサービス「RDS」(Rapid Detection Service)に加え、防御だけでなく検知、対応も含めたセキュリティプロセス全体をカバーする「EDR」(Endpoint Detection and Response)を提供する。なぜ「EDR」が必要なのか、同社のキース・マーティン氏に聞いた。

[PR/@IT]
PR

 エフセキュアというと、コンシューマ向けのアンチウイルス製品を連想する方も多いかもしれない。実際には、企業向けのエンドポイントセキュリティ製品、サーバ向け、ゲートウェイ向け対策製品といったプロダクトに加え、ペネトレーションテストやレッドチーム演習、コンサルティングなど、幅広いサイバーセキュリティ製品・サービスをグローバルで提供している。長年の経験と知見が相まって、欧州を中心にサイバーセキュリティ企業として確固たる地位を築いているという。

 エフセキュアがフィンランドで創業したのは1988年のことだ。同社の主席研究員であるミッコ・ヒッポネン氏は2003年、世界に広がったソービッグワーム(Sobig.F)を皮切りに、2004年に勃発したSasserワームの脅威を最初に警告し、また2007年に猛威をふるったマルウェア、StormWormの命名者でもある。

 同社のリージョナルディレクターを務めるキース・マーティン氏は、「フィンランドの法律はプライバシーに厳しく、国別汚職度ランキングでは、常に汚職が少ない国の常連であり、必ず約束を守るフィンランド人の気質も加わり、セキュリティを預かる企業として、私たちは最も信頼できる企業だと自負している」

 30年かけて培われた業界での信頼を背景に、ヨーロッパで何らかのサイバー犯罪が起こると、欧州刑事警察機構(ユーロポール)など法執行機関から協力を求められることも少なくないほどだ。

Mr.Martin エフセキュア リージョナルディレクターを務めるキース・マーティン氏

 「脅威を誇張したり、大げさなことを言ったりしないことが、同業他社からも信頼される理由の1つになっている。あくまで中立的な立場を貫いている。製品にバックドアを作らないことを宣言し、プライバシー・ポリシーに明記していることも、弊社のセキュリティ製品を導入している企業からの信頼につながっている」(マーティン氏)と説明する。

 また、エフセキュアでは、特定業種向けのサービス提供にも力を入れてきた。やはり欧州での実績が多く、特に航空機や金融、自動車など、高いセキュリティレベルと深い専門知識が求められる業界で、多くの顧客が利用している。

 「一般的な企業の診断ならば、どのセキュリティ企業でもできるだろう。だが、特殊なシステムや法律、運用方法を分かった上でペネトレーションテストや提案ができる企業はそうはない。航空業界向けに提供している当社のコンサルティングサービスのリーダーは元パイロットが務めており、飛行機そのものやオンラインのシステムだけでなく、フライトプランを扱う専用デバイスなどオフラインのセキュリティもチェックできる」(マーティン氏)

「侵入できないシステムはない」ことを前提に、検知や対応の備えを

 そんな専門知識を持つエフセキュアの専門家らが、顧客企業に対するペネトレーションテストの際に、口癖のように言うせりふがあるそうだ。「攻撃者が侵入しようと思えば、侵入できないシステムはない。100%のセキュリティは絶対にあり得ない」というものだ。

 同社のペネトレーションテストでは、ITシステムの脆弱(ぜいじゃく)性をスキャン・管理するサービス「F-Secure Radar」を用いてITシステムの脆弱性リスクを洗い出す。それだけでなく、「レッドチーム演習」として、清掃作業員を装ってビルのエレベーターホールに忍び込んだり、ロックされていないPCにRAT(Remote Access Tool)などの悪意あるソフトウェアを仕込んだり、フィッシングを用いて糸口を入手し、そこを足掛かりにして侵害範囲を広げ、企業の重要な情報を盗み出せることを示し、顧客企業にどんな弱点があるかを洗い出している。

 そんなテストが一通り終わって依頼企業に結果を告げるとき、エフセキュアの専門家はこう述べるそうだ。「(攻撃者は)貴社のネットワークへ絶対に侵入できます。問題は、入ってきたものをどのように監視するか、そしてどのように対応するかです」と。

 「家の防犯対策に例えるならば、その気になれば誰でも開けられる古い鍵で家を守るのではなく、できるだけ強い鍵を使い、かつ警報システムを使って、侵入をできるだけ難しくすることが第一のアドバイスだ。そして、もし侵入された場合でもそれを監視し、ダメージをいかに最小限に抑えるかが重要だ」(マーティン氏)

 このように侵入を防ぐだけでなく、検知(Detect)し、対応(Respond)し、復旧(Recover)するアプローチの重要性は、経済産業省が作成した「サイバーセキュリティ経営ガイドライン」やNISTの「セキュリティフレームワーク」でも明言されている通りだ。

 エフセキュアはこの全ステップをカバーするソリューションを提供している。特に検知と対応の部分を支援するのが、2017年に発売した「RDS」(Rapid Detection Service)と、2018年上半期に日本市場で予定している「EDR」(Endpoint Detection and Response)だ。

EDRとRDS 侵入した攻撃者の動きを検知・対応するEDRと、侵入検知に特化したRDSによって高度な脅威に対応できる

境界の監視だけでは見逃してしまう不審な動き、これを見つけ出す「EDR」

 エフセキュアがサイバーセキュリティソリューションを提供開始してから30年の間に、脅威の姿は大きく変化した。

 例えばこの数年、さまざまな組織や企業に被害を及ぼした標的型攻撃では、「攻撃者はいったんシステムに侵入した後、数週間や数カ月といった単位でじっくり待つ。侵害したPCの権限が昇格できるか、他のシステムにアクセスできる権限があるかといった事柄を調査しながら横展開する」(マーティン氏)

 最近、多発しているのがファイルレス攻撃だ。PowerShellのようにWindowsが標準で搭載するツールを用いて、正規のユーザーのふりをして侵害を広げる。従来の境界防御やマルウェア対策製品では対応が困難な攻撃だ。

 「以前、ネットワークセキュリティにかなり力を入れ、SOC(セキュリティオペレーションセンター)サービスも導入して24時間体制で監視していた欧州の企業でレッドチーム演習を実施したことがある。このケースでも、ソーシャルエンジニアリングを用いてIDカードを偽造し、サーバルームに到達することができた。結果として72台のサーバのアクセス権限を取得できたが、その間、SOCサービスでは1つもアラートが鳴らなかった」(マーティン氏)

 「そのSOCサービスに問題があったわけではない」と、マーティン氏は指摘する。「問題は、監視先が間違っていることだ。どれだけ境界セキュリティを固めても、フィッシングなどの手法でひとたび侵入されてしまえば、システム内のさまざまなデータにアクセスできてしまう。こうした動きを可視化し、監視するのに必要な方法がEDRだ」(同氏)

月間20億件のイベントデータから怪しい動きを探し出すEDR

Copyright © ITmedia, Inc. All Rights Reserved.


提供:エフセキュア株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年5月22日

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。