目次
データを暗号化しない新たなランサムウェアの台頭
初期のランサムウェアは、企業等のPCなどのデバイスに侵入して、その中のデータを”暗号化”した上で脅迫するというものでしたが、ここ2~3年はデータを暗号化した上で、外部に持ち出し、ダークウェブ上に流出させることを前提とした二重の脅迫を行う手口が主流です。これを「ダブルエクストーション型のランサムウェア」といいます。
しかしここ最近、再び傾向が変わってきており、データを”暗号化することなく”外部に持ち出し、ダークウェブ上に公開すると脅迫する手口が増加傾向にあります。かつてはデータを暗号化して、復号の条件として身代金を要求する手口でしたが、企業側がデータのバックアップを防衛策としてきちんととるようになったことで、暗号化自体がそれほど脅威にならなくなったことが背景とされています。
改めて高まっているEDRの必要性
データが暗号化されると、ユーザーがファイルにアクセスできなくなるため、攻撃されたことに気づきやすいのですが、最近の暗号化すらしない手口では、データが窃取されたことに気づくのが遅れがちであり、被害が拡大するリスクも内包しています。
このような“暗号化しない”タイプの、いわば「ノー・エンクリプション・ランサム」とでもいうべきランサムウェア(警察庁はこれを「ノーウェアランサム」と称しているので、以降「ノーウェアランサム」と呼びます)に対しては、データのバックアップは対策にならず、とにかくデータの窃取を防ぐことが重要です。
つまり、ノーウェアランサムの被害が拡大傾向にある昨今の状況下では、アンチウイルスソフトはもちろんのこと、侵入されたとしても早期に脅威を検知し、データが窃取される以前に対処を完了させるEDRの必要性が従来にも増して高まっています。
しかしながら、世はEDR群雄割拠の時代です。数あるEDR製品の中からどのように製品を選んでいけば良いか、次の章から見ていきましょう。
EDR選定ポイント①:MTTD・MTTRの短縮
一般に、「早期に脅威を検知」することは専門的には「MTTDを短縮する」と表現します。
MTTDとは、Mean Time to Detectの略で、平均検出時間と訳されます。サイバー攻撃を受けてから、侵入を検知するまでにかかる時間を表す指標のことであり、MTTDを短縮することが被害の軽減に直結します。
また「データが窃取される以前に対処を完了させる」ことは、専門的には「MTTRを短縮する」と言い換えられます。MTTRは、Mean Time to Repairの略で、平均修復時間と訳されます。こちらは、サイバー攻撃に対処する時間を表し、たとえ攻撃が発生したとしても、すぐに攻撃発生前の状態に戻せば被害を最小限に抑えられます。 このサイバー攻撃を検知するまでの時間(MTTD)と、その対処に要する時間(MTTR)をいかに短くするかということが、デバイス管理戦略上の重要ポイントとなります。
EDR選定ポイント②:有人監視と自動対応のバランス
EDRには、有人監視型のEDRと自動対応型のEDRがあります。MTTD・MTTRの観点からは、自動対応型のEDRに優位性があります。
有人監視型のEDRの場合は、文字通り人が脅威を監視するので、MTTD・MTTRが長くなる傾向にあります。一方の自動対応型のEDRでは、機械が監視することからMTTD・MTTRが極めて短時間で済む傾向にあります。侵入されることを前提とし、ランサムウェアをはじめとしたデバイスへの攻撃による被害を最小化するには、自動対応型のEDRが効果的です。
一方で、有人監視型のEDRが優位な点もあります。近年のEDR製品は高性能化が進んでいますが、それでもコンテキストの理解や高度な攻撃手法に対する柔軟な対応はまだまだ人間の方が上手です。たとえば、EDRでランサムウェアの攻撃を検知したとしても、その攻撃が巧妙にカモフラージュされている場合、システムだけでは完全に対処できないことがあります。しかし、人間のセキュリティ専門家なら、攻撃の背後にある意図や異常なパターンを見抜き、迅速に対応することが可能です。 ただし、有人監視型の場合はどうしても人が張り付いている必要があるため、運用コストが増加する傾向にあります。有人監視型のEDRと自動対応型のEDRのどちらかだけに全振りするのではなく、それぞれの特性を活かした運用を目指すことがポイントのひとつになります。
EDR選定ポイント③:データとシステムの完全修復
MTTD・MTTRを短縮だけでなく、システムレベルで完全に修復できるかという点も重要です。システムレベルの修復ができないと、たとえデータファイルを取り戻すことができても、デバイスそのものは初期化しないと使えないということになりがちです。これは、攻撃を受けた際に、データファイルだけでなくオペレーティングシステムや重要な設定ファイル、システムレジストリなども影響を受けるケースがあるためです。システムが正常に動作するためには、これらの変更された部分も元に戻す必要があります。
多くの自動対応型EDRは、一部のデータ修復までが可能であることが多いです。せっかく自動対応型のEDRを導入し、MTTD+MTTRを短縮できたとしても、結局デバイスの初期化が必要となってしまうと、デバイスの再キッティングには多くの手間がかかりますし、何よりユーザーの業務を止めてしまうことでビジネスにも影響しかねません。修復力の高いEDR製品を選定することも、重要なポイントです。
EDR選定ポイント④:エンドポイント全体の保護
現代の企業環境では、最新のデバイスだけでなく、OSのサポートが終了したレガシーデバイスや、ネットワークに常時接続されていないオフラインデバイスも多く存在します。これらのデバイスも重要な業務を担っていることが多く、セキュリティ対策のスコープから外すことはできません。レガシーデバイスは、セキュリティアップデートが提供されなくなるため、脆弱性が放置されるリスクが高くなります。また、オフラインデバイスは、ネットワーク監視が行き届かないため、攻撃を受けた際に迅速な対応が難しくなります。これらのデバイスが攻撃の入口となり、全体のセキュリティを脅かす可能性があります。
そのため、EDRを導入する際には、レガシーデバイスやオフラインデバイスも含めたエンドポイント全体を保護できるかも重要なポイントになってきます。
今、イチ推しのEDR製品
丸紅I-DIGIOホールディングスではさまざまなアンチウイルス・EDR製品を取り扱っていますが、中でもイチ推しは「SentinelOne(センチネルワン)」です。SentinelOneはエンドポイントデバイスへのサイバー攻撃を検知し、当該のエンドポイントがサイバー攻撃を受ける以前の状態まで迅速に戻す、自動対応型のEDR製品です。
SentinelOneの場合は、システムレベルの修復が可能である点に優位性があります。データの修復ができても、システムレベルの修復ができないと、たとえデータファイルを取り戻すことができても、デバイスそのものは初期化しないと使えないということになりがちです。SentinelOneなら、感染前の状態に戻っているので、初期化の必要がなく、そのまま使うことが可能です。万が一の事態でも、わざわざPCを初期化する必要がないのは、大きなメリットだといえます。
また、SentinelOneのMTTD+MTTRは極めてスピーディです。一般的には、アナリストが脅威を検知・隔離・分析して、必要な対処を施すまでには60分程度かかると言われています。SentinelOneなら、AIと機械学習を活用して検知・隔離・分析・対処を自律的に行い、自動ロールバックを1分程度で実施することが可能です。
有人監視型のサービスのみに頼り切ってしまうと、24時間365日体制で人的リソースを投入する必要があり、主にコスト面からハードルが高くなりがちです。基本的には自動対応型の製品に任せ、人間はコンテキストの理解や高度な攻撃手法への対処などに集中して取り組むことで、バランスのとれたエンドポイントセキュリティ対策を実現できます。
今後ますますノーウェアランサムのようなサイバー攻撃が増えていく可能性は高く、従前の対策であった、アンチウイルスソフトや、データのバックアップという方法だけでは、大切な情報資産を守れない状況になりつつあります。
改めてデバイス管理の強化に向けて、アンチウイルスソフトのリプレイスや、EDRを導入する必要に迫られているなら、自動対応型EDR「SentinelOne」を検討されることをお勧めします。
