感染しても情報が盗まれる前に検知できれば十分に挽回可能

近年のサイバー攻撃は標的の企業を直接攻撃するだけでなく、その取引先や関連企業にいったん侵入し、そこを踏み台にして最終目標への侵入を図る「サプライチェーン攻撃」が多用されるようになりました。そのため、これまで「うちのような小さな会社が狙われるわけがない」「うちのような会社を狙っても何も盗むものはないよ」とたかをくくっていた中堅・中小企業も、今や高度なサイバー攻撃から身を守らなければならない時代になりました。

具体的な防御策として真っ先に思いつくのは、アンチウイルス製品やファイアウォール、IPS/IDSなどを用いてマルウェアの侵入を阻止する方法です。しかしながら、近年のサイバー攻撃は手口が極めて高度化・巧妙化しており、このような防御型セキュリティ対策に膨大な人員と予算をつぎ込んでいたとしても今や侵入を100%防ぐことは事実上不可能だと言われています。そのため侵入を防ぐだけでなく、万が一侵入を許してしまった際にもいち早く脅威を検知・除去できる手立てを講じておく必要があります。

そして、何よりも「できるだけ早く」侵入を検知することが大事です。侵入したマルウェアは「初期侵入」「足場確立」「認証情報窃取」「水平横展開」と少しずつ段階を踏んで攻撃の幅と深さを広げていき、そして最終的に情報の窃取やランサムウェアの実行へと至ります。

情報が盗まれたりランサムウェアでデータが暗号化された段階で初めて攻撃に気付いても、その後の対応に膨大な手間と時間がかかりますし、情報の窃取やデータ破壊によって膨大な損害を被るだけでなく、取引先や顧客にも迷惑を掛けたり自社の社会的な信用に大きな傷が付いてしまいます。

しかし最終的な攻撃の実行に至る前の段階、つまり「初期侵入」や「足場確立」の段階で脅威を検知・除去できれば、たとえマルウェアに感染したとしても大きな被害の発生につながることは少なく、十分に挽回が可能です。

EDRを使った「感染の早期検知」が何よりも重要

では感染をなるべく早い段階で検知するためには、具体的にどのような手立てを講じるべきなのでしょうか。現在最も有効だと言われているのが、「EDR(Endpoint Detection and Response)」の活用です。EDRは、PCやサーバなどのエンドポイント端末上で不審な動きがないかどうかを常時監視し、マルウェアが活動を始めたら即座に検知する技術です。

感染の早期検知にEDRが極めて有効であることは今やセキュリティの世界では共通認識となっており、政府機関や自治体向けのセキュリティガイドラインでもEDRの導入が推奨されているほどです。中でも弊社が提供する「Cybereason EDR」は、国内トップシェアのEDR製品として数多くの日本企業に採用されているとともに、政府情報システムのためのセキュリティ評価制度「ISMAP」にも登録されています。

またCybereason EDRはすべての情報が完全に日本語対応しています。脅威の検知状況もグラフィカルな表示で直感的に把握できるようになっており、攻撃の進行度合いや規模、影響範囲が一目で確認できるため、感染の原因特定や対応の優先順位付けなどを迅速に行うことができます。

もちろん脅威検知の精度も世界的に高く評価されており、MITRE ATT&CK Round 4において数あるEDR製品の中で最も高い分析能力と可視性を備えた製品であると評価されています。

24時間×365日体制の監視をMDRにアウトソーシング

Cybereason EDRとともに、マルウェア感染のいち早い検知、対処のために弊社が提供しているのが、MDR(Managed Detection and Response)サービスの「Cybereason MDR」です。

MDRは、顧客が保有するEDRなどのセキュリティ製品の運用や、インシデントが発生した際の対応作業などを代行するアウトソーシングサービスのことを指します。EDRは高い検知能力を持つ代わりに、適切に運用しないと膨大な数のアラートをさばききれずに脅威を見逃してしまったり、アラートの内容や深刻度をきちんと読み取れずに適切な対応を取れないことも考えられます。

そこで弊社のMDRサービスでは、開発元ベンダーのアナリストが自らお客様のEDRの運用を代行し、24時間×365日体制で監視を行いながらEDRが生成したアラートの内容を分析・評価してお客様に適切な対応を案内したり、場合によってはインシデント対応作業の一部代行も行います。イスラエル国防軍やアメリカ国家安全保障局に勤務していたメンバーが確立した脅威分析の手法が採用されているため、その分析能力の高さには定評があります。

なお近年の標的型攻撃は、ターゲット企業が即応できないよう休日の直前を狙って攻撃を仕掛けてくることが多くなってきました。しかしCybereason MDRのようなサービスを利用していれば、たとえ自社の担当者が休んでいる土日や祝日でも感染を即座に検知して対応できるため、対応が後手に回って被害が深刻化してしまう事態を防ぐことができます。

このようにEDRとともにMDRを効果的に活用し、自社のインシデント対応の体制をしっかり補強しておくことで、たとえマルウェアに感染したとしても早期に脅威を検知・除去して被害を未然に防ぐことが十分可能です。まだ利用したことがない企業は、ぜひこれを機に導入を前向きに検討してみてはいかがでしょうか。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド