「ゼロトラストモデル」でテレワーク環境を守る

新型コロナウイルスの感染拡大を受け、現在多くの企業が従業員のオフィス出社を抑制するために、勤務形態をテレワークへと移行しています。感染収束までにはまだかなりの期間を要すると見られており、今後は感染のリスクを避けながら日々の生活や経済活動を維持していく新たな生活様式、すなわち「ニューノーマル」への移行が避けられないと言われています。

ニューノーマル時代になると、私たちの生活スタイルや働き方はもちろんのこと、情報セキュリティ対策にもこれまでにない新たな取り組みが求められるようになります。これまで企業の情報セキュリティ対策は、オフィス内のネットワークにすべての端末が接続され利用されることを前提としており、オフィス内ネットワークとその外のインターネットとの境界上にファイアウォールをはじめ各種セキュリティデバイスを設置し、外部からの脅威の侵入を防いでいました。

ニューノーマル以前はこうした対策も一定の効果を発揮してきましたが、ニューノーマル後の企業の働き方はオフィス出社中心からテレワーク中心へと大きく様変わりします。従業員は自宅などオフィス外の環境からインターネットに接続し、社内ネットワークを経由せずMicrosoft 365Salesforce.comサイボウズといったクラウドサービスに直接アクセスするようになります。つまり旧来のセキュリティ対策が“スキップ”されてしまうため、セキュリティレベルが大幅に低下してしまう恐れがあるのです。

もちろん、テレワーク環境からインターネットに出る場合も「必ずいったん社内ネットワークにVPN接続すること」というルールを徹底すれば、こうした問題の大半は解決できるかもしれません。しかしそうなると今度は、大量のVPNセッションと通信トラフィックを社内ネットワークでハンドリングしなければならず、技術的にもコスト的にもかなりハードルが高くなります。

そこで現在提唱されているのが、「ゼロトラスト」と呼ばれる新たなセキュリティモデルです。従来のように内部ネットワークとインターネットとの境界に防壁を張り巡らし、安全な内部ネットワークを構築して端末を接続するのではなく、端末そのものに防壁を強固に張り巡らした上でインターネットに直接接続するやり方です。

内部ネットワークを“安全地帯”と見なす従来のセキュリティモデルとは異なり、インターネットから端末に対して脅威が直接降ってくることを前提に、入ってくるものすべてを「信用せずに(ゼロトラスト)」強固な対策を講じるというのがゼロトラストモデルの考え方です。こうした考えの下では、端末上で実施するエンドポイントセキュリティ対策の重要性がこれまで以上に高くなります。

EDRで端末を守りサイバー攻撃の全体像を把握

では具体的には、どのような対策を端末上で行えばいいのでしょうか。近年のサイバー攻撃は量・質ともにかつてとは比べ物にならないほど高度化しており、旧来のアンチウイルス製品ではその侵入をなかなか防ぎきれなくなっています。毎日10万を超えるマルウェアの新種・亜種が生まれており、特定の攻撃ターゲットに特化した未知の手法を用いる標的型攻撃も後を絶ちません。そのため、未知の攻撃を検知できないアンチウイルス製品だけでは、近年のサイバー攻撃を防ぎきることはできません。

また今日のサイバー攻撃は、ターゲットを1回の攻撃だけで直接狙うことは稀で、段階を踏んで慎重かつ巧妙に侵攻を進めてきます。例えば、最近感染例が相次いでいるマルウェア「Emotet」を使った攻撃では、フィッシングメールによる感染を皮切りに、Emotet本体がダウンロードされ、別のマルウェアをダウンロード・配布し、そこから足場を確保して感染の横展開を図り、さらに社内ネットワークの偵察を開始し、そこで収集した情報を基にさらに巧妙な攻撃を展開していきます。

またターゲット企業のセキュリティ対策が堅牢で侵入が困難な場合は、比較的手薄な子会社や取引先企業のネットワークにまず侵入を図り、そこを足掛かりにして段階を踏んでターゲット企業へ侵入する「サプライチェーン攻撃」も最近では多く見られます。このように高度な攻撃では極めて多くのプロセスと段階を踏みながら、少しずつ標的へと近付いていきます。

こうした攻撃をいち早く検知して対応するには、感染やダウンロードといった個々の挙動を見るだけでは不十分です。攻撃のシナリオ全体をあらかじめ把握した上で、「この挙動はシナリオのどのプロセスに当たるものなのか」を判断する必要があります。こうした観点がなければ、たとえ個々の怪しい挙動を検知できたとしても、「攻撃シナリオの一環」としてではなく、単に「些細な挙動」として脅威を見逃してしまう恐れがあります。

そこで役立つのが、端末上の怪しい挙動を監視・検知するとともに、攻撃シナリオと照らし合わて脅威を分析してくれる「EDR(Endpoint Detect and Responce)」製品です。弊社が提供するEDR製品「Cybereason EDR」は、クラウド環境上でAIを用いて端末ログを分析することで、ほんのちょっとした挙動であってもそこから攻撃の全体像をあぶり出して、即座に脅威を検知・除去できます。

ニューノーマル時代のセキュリティ対策においては、このようなインテリジェンスなエンドポイント対策が極めて大きな役割を果たすと考えられています。特にテレワーク環境のセキュリティ対策にお悩みの方には、ぜひお勧めしたいと思います。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033

ホワイトペーパー:次世代エンドポイントのメリット