働き方の多様化で増えるセキュリティリスク対策のカギはエンドポイントにあり

クラウドサービスやモバイルワークの普及、企業の海外進出などによってグローバルなコミュニケーションが増加する中、セキュリティリスクも多様化しつつあります。ますます巧妙化するサイバー攻撃に対し、エンドポイントを守ることが如何に重要かを説明します。

働き方の多様化に伴うセキュリティリスクの増大

デジタル化により、企業を取り巻くICT環境も変化しています。クラウドサービスの利用増加やモバイル端末の普及に伴って働く場所や働き方が多様化し、海外拠点とのグローバルなコミュニケーションも増加しています。

こうした環境の変化は、セキュリティにも大きな影響を与えています。防御ポイントとなるセキュリティの境界線の多様化です。今までは、組織内ネットワークとインターネットとの境界は堅牢なゲートウェイによって保護し、その監視を強化することで、一定のセキュリティを担保することができました。

しかし、近年は、オフィス以外の場所や海外の事業所などから、セキュリティゲートウェイを介さずに、グローバルで共有利用できるクラウドアプリケーションへアクセスすることも増えています。特に、海外拠点はプラットフォームやセキュリティポリシー、セキュリティ体制が異なるためガバナンスが難しい場合が多く、セキュリティリスクが増大しています。

IT部門に求められる経営層への説明責任

一旦セキュリティ事故が起きると、事業の中断に加え、復旧・対応コストの発生、さらには社会的信頼の喪失といった経営に直結する被害が生じます。そこでIT部門には、セキュリティインシデント発生時、CISOやCIOが的確な対応、すなわち経営判断をするための情報を迅速に把握・説明するという役割が求められるようになってきました。

しかしながら、昨今の複雑化したセキュリティシステムの運用において、SIEM（ログ管理システム）が吐き出す大量のアラートからインシデントの影響範囲や対応の優先度を判断するのは非常に困難です。また、海外拠点も含めた場合、異なるプラットフォームにあるシステムの状況把握をどのように実施すればよいのでしょうか。ここで、セキュリティサービスプロバイダーが提供する「Managed Security Service（MSS）」を利用するのも一案です。しかしながら、従来のMSSは監視・運用サービスをベースとした防御・検知が主な機能となっているため、IT部門に求められる迅速な状況把握から経営層への説明責任まで（セキュリティガバナンス）を果たすには不十分です。

このような状況において、どのようにセキュリティガバナンスを機能させていくかが新たな課題となってきているのです。

セキュリティリスクが増加した今、対策のカギはエンドポイントにある

多くの企業や組織が入口・出口対策に力を入れていますが、エンドポイントについてはいまだ発展途上です。

セキュリティリスクポイントが増加した現在では、エンドポイントがセキュリティ対策のカギを握っています。ユーザーに一番近いエンドポイントを起点とすることで、クラウド上のサービスなど、新たなリスクポイントに対して画一的な対策が打てるようになるからです。また、エンドポイントは、海外拠点であっても直接リーチして対処できるため、セキュリティ環境や体制、スキルレベルに違いが存在していても、グローバルに統制が可能です。

こうした領域のソリューションとして注目を集めているのが「EDR（Endpoint Detection ＆ Response）」です。

侵入を前提とした対策で注目の「EDRソリューション」

従来のセキュリティ対策では、ファイアウォールやIDS／IPS、アンチウイルスなどによる「多層防御」で入口・出口からの侵入を防ぐことに力を入れてきました。しかし、どれだけ防御しても、セロデイ攻撃やマルウェアの亜種などの攻撃を完全に防ぐことはできないという認識が一般的になってきています。

そこで登場したのが、侵入後の潜伏行動に着目し、不審な動き・攻撃者特有の痕跡からサイバー攻撃の進行を検知・対処する「侵入を前提とした対策」という考えです。

この侵入後対策のキーソリューションがEDRです。全ての端末にセンサーと呼ばれるソフトウェアエージェントをインストールし、端末の振る舞い、動作ログを日々収集します。これらの動作ログは、クラウドもしくはオンプレミスの管理サーバに自動的に送られ、不審な動きや攻撃者特有の振る舞いをAI解析やビッグデータ分析などを活用して自動的に検知します。
EDRの最大の利点は、攻撃を検知した際に、当該端末やファイルの隔離やプロセス停止などの遠隔対処までが可能であるところです。

EDR運用に必要な3つのポイント

EDRさえあれば、侵入後対策、エンドポイント対策は万全だと言いたいところですが、一つ課題があります。それは「運用」です。EDRはアンチウイルスのように既知のマルウェアとのシグネチャマッチングではないため、誤検知をすることもあります。そのため、検知した疑わしい振る舞いを本当に阻止する必要があるのかを判断しないといけません。また、日々発生する膨大な数のアラームに対して、一つずつ解析・分析をして適切な判断を下すことや、増加する運用負荷に自組織内で対応出来るでしょうか。

EDRを導入し、万全な対策をするための運用に欠かせない３つのポイントを紹介します。

• 「高度セキュリティアナリスト」の確保
  日々のアラームに対する適切な事象解説、対処案提示のためには、攻撃者側の心理や手口を把握する必要があります。また日々のインシデントに対する対処に終始するのではなく、根本原因を究明し、それに対してどのように対策をとればいいのかという観点で、セキュリティ耐性を継続的に強化する施策を打てるアナリストが必要です。
• 24時間365日対応
  サイバー攻撃には昼夜は関係ありません。被害を最小限にするためには早期対処が圧倒的に有効です。夜間や休日など特に端末の傍に人がいないような時間帯であればあるほど、遠隔対処の効果が発揮されます。
• 統合運用
  セキュリティ対策は、EDR以外のセキュリティインフラも合わせてトータルで運用することが非常に重要です。EDRは、あくまで侵入後対策の最後の砦です。侵入そのものを防御するファイアウォールやアンチウイルスなどの既存対策による防御と組み合わせることでさらに効果的なセキュリティ対策が実現します。

セキュリティは「点」ではなく「面」で考える

富士通では、現在10種以上存在するEDR製品の選定サポートや導入支援を行っています。様々なEDRを評価した経験を基に、お客様の既存環境や運用体制を確認し、最も適した製品を提案します。

また、EDRを含めた包括的なセキュリティ運用サービス「FUJITSU Security Solution グローバルマネージドセキュリティサービス（GMSS）」を提供しており、お客様の既存のセキュリティインフラとEDRを、総合的にマネジメントします。EDRアラートに対しては、24時間365日の監視・分析・通報、レポートの提示、端末やマルウェア隔離などの緊急対処までをトータルに実施可能です。

EDRは現在、最も効果が期待できるソリューションの一つですが、それだけで全てが解決するわけではありません。セキュリティは点ではなく、面での施策が重要です。防御・検知を提供するMSS、そして侵入後の対応力を強化する「Managed EDR」、侵害調査といったフォレンジックなども含めたトータルなセキュリティライフサイクルマネジメントが必要なのです。

富士通は、GMSSの提供を通して、デジタル時代における経営課題であるグローバルなセキュリティガバナンス強化をワンストップでサポートさせていただきたいと考えています。

2019年1月30日