私が1991年にアンチウイルス業界で仕事を始めたとき、ソリューションはごく単純なものでした。当時のソリューションとは、マルウェアを検出するためのユニークな識別子を見つけたら、それをブロックし、必要であれば回復するための適切なプログラム的な手順を実行することでした。

アンチウイルス製品のパイオニアであるDr Solomon’s Antivirus Toolkitを開発したAlan Solomon氏はかつて、「これは数学的な問題であり、私たちにはソリューションがあり、かつ私たちはそのソリューションを無限に拡張できる」と豪語していたものです。しかし、年月を重ねるにつれ、脅威、ソリューション、そしてソリューションの導入先となる環境は、かつてないほど複雑化しています。

私たちが直面している脅威は、ファイル形式のウイルスという単純なものから、何百もの要素からなる複雑で多面的なランサムウェア攻撃へと移行しているのです。たとえば、MITREによる最新の評価で取り上げられている脅威グループTurlaによる攻撃には、143種類ものオブジェクト(痕跡と振る舞い)が関連付けられています。

このような状況で、「どのセキュリティベンダーも似たり寄ったりであり、セキュリティ市場は飽和している」などという声を私は毎日のように耳にします。

しかし、30年以上にわたりアンチウイルス業界に携わっており、現在ではエンドポイント保護分野に携わっている私が言えることは、私たちはDr Solomon’s Antivirus Toolkitのような単純なアンチウイルス製品の黎明期から確実に進歩を遂げてきたということです。

脅威の検知には、パターンマッチング、振る舞い分析、機械学習など、数多くの異なる手法が必要となります。脅威が異なれば、必要となる手法も異なります。特に、振る舞いの検知は、多くの場合メモリ内における揮発性プロセスと対話する必要があるため、非常に複雑になる可能性があります。

だから、先述したようなエンドポイントセキュリティに関する自己満足的な発言を聞くと、私は苛立ちを覚えます。なぜなら私は、多くのエンジニア、プログラマー、そして研究者たちが脅威に後れを取ることなく、そして可能ならば脅威の一歩先を行くよう、どれほど懸命に努力しているかを知っているからです。

あるベンダーは「進化的」な道を歩んでおり、アンチウイルスというバックグラウンドから出発し、何年もかけて新しい機能を次々と追加してきました。一方、別のベンダーは「革命的」な道を歩んでいます。ここで言う「進化」と「革命」の違いは何でしょうか?

エンドポイントセキュリティの明白な目標は常に攻撃を阻止することであり、EPPはこの目的を実現するために長期間にわたって徐々に発展してきました。これは典型的な「進化」です。

一方、近年問題となっているのは、今日の脅威が非常に複雑化しており、脅威アクターが攻撃を成功させる可能性がかつてないほど高まっていることです。このような問題に対処するには、従来の手法(パターンマッチングのようなバイナリ検知手法)とは完全に異なる革新的なアプローチを採用することが必要となります。

私は、このような根本的な方向転換を「革命」と呼びます。これは、単純な「はい/いいえ」または「良い/悪い」を決定するような手法から、「良い可能性もあれば悪い可能性もある」というような振る舞いのマッチングへの移行を意味します。このような「革命的」なアプローチは、さらに複雑さを増す脅威への対処において、ますます頼りにされるようになっています。

私は1991年に、シグネチャ検知を無力化することを目的としたポリモーフィックウイルス(複製ごとにコードが変化するもの)が出現したことを覚えています。ありがたいことに、私たちは、脅威ではなく暗号解読(デクリプター)ローダーにまず注目することで、パターンマッチングが機能するように攻撃をデコードできました。しかし、世紀の変わり目以降に現れたメタモーフィック/自己改変型の脅威に対応するためには、私たちは従来のパターンマッチング手法にしがみつくのではなく、振る舞いの検知や機械学習のような革命的な手法を採用する必要がありました。

人生におけるあらゆることと同様に、私たちは経験を通じて多くのことを学びます。これが、私が「脅威とともに有機的に進化してきたもの」と「従来のアプローチとは根本的に異なる革命的なもの」の違いに注目している理由です。過去10年間で、EDR(Endpoint Detection and Response)市場は大きく成長しました。

防御策が機能しない場合、またはより一般的には「検知が部分的な振る舞いにしか有効でない」場合、攻撃はブロックされず、単にフラグが立てられるだけになります。これは、検知に対する信頼性が十分に高くないためです。私たちは、EDRソリューションを利用することで、脅威を検証または特定するための証拠を収集し、その脅威をブロックする方法を突き止めます。

何かを防げなかったということは、現在の手法を進化させる必要があることを意味します。そして、それを実現するための自然な方法とは、次に同じことが起こらないようにするために、見逃したものから、なぜそれを見逃したのかという原因を学ぶことです。

このように、脅威がますます複雑化する中で、企業や組織がまず自問すべきことは、「自分はどれくらいの数の脅威を実際に観察できるか?」ということです。より多くの脅威を観察できるほど、あなたは、その脅威が実際に良いものなのか悪いものなのかを、自信を持って検証できるようになり、最終的に脅威を特定するための幅広い方法を提供できるようになります。これは、あなたの検知カバレッジが広がることを意味します。

今後、革命的なエンドポイントソリューション(EDRから発展したもの)がさらに重要になると私は見ています。そのようなソリューションは、何が見過ごされているかに注目し、その学習結果を保護機能に動的に活用することから始まります。人間と同様、エンドポイントセキュリティは、それが失敗した場合にのみ進化できます。したがって、真に優れたエンドポイントセキュリティソリューションとは、EDRと防御という両方の機能が真に絡み合ったものでなければなりません。

今度誰かに「エンドポイントセキュリティソリューションはどれも同じだ」と言われたら、それを額面通りに受け取るのではなく、次のように自問してみましょう。

  1. 可視性:攻撃を隅々まで見通すという点において、各ソリューションはどの程度優れているか?可視性は、学習という点で、また特に振る舞いベースの手法を使用したブロックの信頼性という点でも重要となります。
  2. 検知:ベンダーは実際にどの程度攻撃をブロックできるか?あなたはすべての防止策を1つの比喩的なバスケットに入れたいと思いますか?それとも、攻撃を阻止するために複数のポイントを保持する方が良いでしょうか?私の提案する答えは言うまでもありません。
  3. 進化的か、それとも革命的か:これが「鶏が先か卵が先か」的な問題のように思えるのは承知しています。しかし、実際には答えは非常に単純なものです。MITREによる最新のテスト結果を見ると、EDRのバックグラウンドを持つ企業のスコアが高くなっています。なぜなら、そのような企業は、学習した結果を次のレベルの防御策に生かすことがより早く行えるからです。これは、エンドポイントセキュリティにとって重要な好循環です。また、通常、これらのソリューションは、追加設定を必要とせず「すぐに使える」ようになっています。

今度、誰かから「エンドポイントセキュリティソリューションはどれも同じだ」と言われたならば、そのような認識で異議を唱えることをお勧めします。そして、かつてないほど進化し、ますます複雑化している脅威に後れを取ることなく、それらの脅威からエンドポイントを保護するという課題を解決するために、サポートしているセキュリティベンダーがいることを思い浮かべてください。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド