- 2019/11/05
- EDR
不正アクセス対策として「EDR」が注目を集めるわけ
Post by : Yukimi Sohta
相変わらず後を絶たない不正アクセス事件
「不正アクセス」に端を発した情報窃取事件が、相変わらず後を絶ちません。小規模なインシデントを含めると、それこそ毎日のように不正アクセスのニュースが報じられています。中でも大規模なインシデントといえば、2019年3月に大手自動車メーカーのグループ会社が、「最大310万件の個人情報が流出した可能性がある」と発表したのはまだ記憶に新しいところです。
このインシデントは、同社のネットワークに何者かが不正アクセスを行い、サーバに保存されていた顧客情報(氏名、住所、生年月日、職業など)を大量に窃取したというものです。310万件という被害規模の大きさや、ブランドの知名度もあり、大々的に報道されたこのインシデントですが、海外ではさらに大規模な不正アクセス事件も起きています。
サイバーリーズンは2019年6月に、「Operation Soft Cell」と呼ばれる大規模なサイバー攻撃に関する調査報告書を公表しました。この攻撃は数年間に渡ってグローバル通信企業をターゲットに行われたもので、不正アクセスによって要人の通話やショートメッセージの記録、位置情報などが窃取されていました。
なおこの企業が攻撃に気付いたのは、サイバーリーズンの製品を導入したことがきっかけでした。その後、サイバーリーズンの協力も得ながら対処と調査を進めていった結果、現在では国家ぐるみの攻撃である可能性が高いということが判明しています。
そもそも不正アクセスとは一体何か?
今や、情報セキュリティに携わる人でなくとも頻繁に耳にするようになった「不正アクセス」という言葉ですが、ではそもそも一体何を意味する言葉なのでしょうか? 知っているつもりでも、意外と正確な意味を知らない方も多いかもしれません。
最も正確かつ汎用的な定義を知るには、法律に当たってみるのが近道かもしれません。不正アクセスに関する法律といえば、何と言っても2000年に施行された「不正アクセス行為の禁止等に関する法律」、略称「不正アクセス禁止法」が最もよく知られています。この法律では、不正アクセスのことを以下のように定義されています。
「電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)や、識別符号以外の情報や指令を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為」
少し分かりにくい言い回しですが、要するにインターネットを通じて企業や組織の内部ネットワークに侵入した攻撃者が、コンピュータに対して「盗んだ他人のID/パスワード」を入力して本人になりすましてログインしたり、あるいはマルウェアなどに感染させ、PC・サーバーを乗っ取ることで、ID/パスワード以外の情報を入手して不正にログインして、中に保管されている情報を盗む行為を指します。
近年では、標的とする企業や組織の子会社や取引先などの比較的セキュリティ対策が脆弱な組織を踏み台にした不正アクセスも急増しています。また、攻撃手法も巧妙化しており、従来のマルウェア攻撃とは異なり、PowerShellなどを悪用したファイルのないファイルレスマルウェア攻撃も増加するなど、サイバー攻撃を検出し、不正アクセスを防ぐことは非常に困難な状況になっています。
不正アクセス対策として注目を集める「EDR」
そこで近年、不正アクセス対策として注目を集めているのが「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティ技術です。これまでのセキュリティ技術は、企業の内部ネットワークとインターネットとの境界上にセキュリティ機器を設置し、ここで不正なアクセスを検出して防御するというものが主流でした。しかし、最近のサイバー攻撃の手口は極めて巧妙化しており、ネットワークの出入口でいくら対策を講じても、これをやすやすと突破して侵入してくるものが増えてきました。
そこで近年重要視されているのが、入り口を突破されて内部への侵入を許してしまった脅威を、いち早く検知して除去するための取り組みです。特に、PCやサーバーといったいわゆる「エンドポイント」の動向を逐一監視して、そこで少しでも不穏な動きをキャッチしたら即座に対応するというEDRの技術が注目されており、旧来のセキュリティ技術ではなかなか対処できなかった標的型攻撃やゼロデイ攻撃に対して極めて有効だと言われています。
攻撃者の最終目標は、お目当ての情報が保管されているエンドポイントへの不正アクセスと、その中にある情報の持ち出しです。従って、そのエンドポイント上で直接網を張って目を光らせておけば、確実に攻撃を検知して対処できるはずです。このEDRの手法の有効性に気付いた多くの企業が、現在不正アクセス対策としてEDR製品の導入を進めています。
サイバーリーズンもEDR製品「Cybereason EDR」を提供しており、世界中の企業や組織によって導入されています。日本国内における導入事例も数多くあり、日本語によるサポートも充実しているため、不正アクセス対策に悩む日本企業にとってまさに打ってつけのソリューションだと言えるでしょう。
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606
