- 2019/10/29
- EDR
マルウェア感染したPCの再インストールに追われていた企業が取り入れた秘策とは?
Post by : Yukimi Sohta
「Cybereasonプラットフォーム」でエンドポイント上の事象を可視化
今回は、とあるグローバル製薬企業におけるサイバーリーズン製品の導入事例を紹介したいと思います。従業員10万人を擁し、世界中に拠点を展開する世界最大級のこの製薬企業は、何千億円分にもおよぶ貴重な知的財産情報を保有しており、これらをサイバー攻撃による窃取から守るために、さまざまなセキュリティ対策を講じていました。
PCやサーバなどのエンドポイント端末上には最高レベルのアンチウイルスソフトを導入し、かつSIEMも導入して複数のセキュリティ製品から収集したログ情報を突き合わせた相関分析まで実施していました。しかし、これだけの対策を講じているにもかかわらず、マルウェアの侵入を100%防ぐことは叶わず、たびたび社内のPCが感染に見舞われていました。
またアンチウイルスソフトによって感染したことは検知できても、その深刻度や影響範囲、感染元などを特定することはできなかったため、感染が発覚したPCはすぐIT部門に送り、念のため必ず一から再インストールを行っていました。この作業にはかなりの時間や手間を要し、IT部門は毎日1500台ものPCの再インストール作業に追われていました。またPCのエンドユーザーも、この作業を行っている間はPCを使えないため、業務の生産性低下を余儀なくされていました。
そこでこの会社では、サイバーリーズンのEDR製品「Cybereason EDR」を導入し、エンドポイント上で発生する事象をより正確に把握し、脅威が検知された場合はその深刻度や進行度、影響範囲を即座に可視化できる体制を構築しました。これにより、たとえ感染が発覚しても一律にPCを再インストールするのではなく、その深刻度や進行度、影響範囲に応じて適切な対応が取れるようになると踏んだのです。
早速、ある事業部で利用するPC約4000台にCybereason EDRのクライアントソフトウェアをインストールし、数日間運用してみました。すると、これまでアンチウイルスソフトでは検知されなかった幾つかの脅威が検知されました。しかも単に脅威を検知できただけでなく、マルウェアに感染した機器の特定や、いつどのようにウイルスが組織内に侵入したか、あるいは損害の程度といったさまざまな詳細情報を管理コンソール上で把握できるようになったため、PCの再インストールが必要かどうかを客観的に判断できるようになりました。
これにより、再インストールするPCの数は一気に10分の1まで減り、セキュリティチームが全体像を把握できるインシデントの数も35%から90%以上まで増加しました。また業務現場の従業員も、自身が利用するPCで疑わしい事象が検知されても、必ずしもPCをIT部門に手渡さなくても済むようになったため、業務生産性が大幅に向上しました。
APT攻撃(高度標的型攻撃)が疑われるマルウェアの詳細や影響範囲を即座に可視化
これらの導入効果を高く評価した結果、この企業では別の事業部に対してもCybereason EDRを導入しました。すると運用を開始してわずか数週間後に、高度で複雑な挙動を示すマルウェアが発見されました。「高度なAPT攻撃を受けている可能性がある」と判断したセキュリティチームは、この攻撃の詳細や影響範囲を把握すべく、さらに数千台のエンドポイントにCybereason EDRを追加導入することを決めました。
この追加導入の作業はわずか数時間程度で完了し、ほどなくして脅威の全容が明らかになりました。アジア太平洋地域で複数台、ヨーロッパで数台のコンピュータが感染していたこと、ただし幸いなことにAPT攻撃ではないことが即座に判明しました。検出されたマルウェアは確かに高度なものではありましたが、自社を標的にしたものではなく、その影響範囲も限定的でした。これらの解析結果を基に、セキュリティチームは速やかに適切な復旧作業を行い、脅威を排除できました。
こうした数々の成果を目の当たりにしたこの会社では、それまで利用し続けてきたアンチウイルスソフトと比較し、Cybereason EDRははるかに高いマルウェア検知能力を持つと判断しました。そこで同社は、「Cybereason EDRが検知したマルウェアのシグネチャ情報をアンチウイルスソフトに登録する」という新たなプロセスを導入しました。こうして両製品を連携させながら運用することによって、既存のセキュリティ製品をCybereason EDRによって補強し、単体で使用するより強固なエンドポイントセキュリティ対策を実現できました。
このように、Cybereason EDRは独自の「振る舞い解析」技術によって、旧来のセキュリティ製品なら見過ごしてしまうような一見無関係に見える活動を、それ単体ではなく一連の攻撃プロセスの一部として見いだし、点と点を線で結ぶことで隠れた攻撃をあぶり出します。今回紹介した事例のように、内部でどんな脅威が活動しているか可視化できないがために対策コストがかさんでしまっている企業にとって、極めて有用なソリューションだと言えるでしょう。
ケーススタディ「グローバル製薬会社における セキュリティ検知と改善策の円滑化」
あるグローバルに展開する製薬企業での実話に基づいたストーリーです。この企業では、全エンドポイントにアンチウィルスソフト、SIEMまで展開していましたが、エンドポイントで何が起こっているのか把握できていませんでした。この企業がどのようにこの課題に取り組んだのか、本書を通じて学ぶことができます。
https://www.cybereason.co.jp/product-documents/case-study/809/
