セキュリティ対策の見直しには・・
◆目次
連日のように報道され猛威を奮うゼロデイ攻撃(パッチ提供前の脆弱性を突く攻撃)や APT 攻撃(持続的な標的型攻撃)といったサイバー攻撃による脅威とリスク
従来型セキュリティ対策製品の欠点
攻撃者は脆弱(ぜいじゃく)性をついてシステムを攻撃、情報漏洩や身代金要求につながる機会を狙っています。従来型セキュリティ製品では、このような最新の脅威に対処しきれていないことが問題です。
今後セキュリティ担当者は、脅威の検出と対処のためにエンドポイントセキュリティ製品を採用し、エンドポイントの保護強化を検討する必要がありますが、従来のエンドポイントセキュリティ製品には『3 つの欠点』が指摘されています。
- 非統一なセキュリティ対策
1 点目は、セキュリティ対策を統一せず実施している組織。こういった組織では、マルウェア対策と侵入検知システム(IDS)それぞれに個別製品を使用しており、このアプローチではセキュリティ対策がサイロ化され、その間隙を狙われやすいものです。 - エンドユーザーへの依存性
2 点目は、エンドユーザーへの依存。例えばエンドポイントセキュリティ製品がマルウェアの侵入を検知したら、ユーザーの独断で対処を促すポップアップメッセージが表示されメッセージを無視したり間違った対処をした場合、被害が拡大する可能性もあります。 - 曖昧性
3 点目はあいまいさ。過去のマルウェア対策製品はマルウェアのシグネチャに依存。この方式では既知のシグネチャと一致するマルウェアしか検出できません。
シグネチャベースの検出では、製品が認識できない新たなマルウェアに対しては全く効果がありません。
これに代わり最新の製品は、シグネチャによるパターンマッチングに依拠しない「ヒューリスティック」という検出方法を採用、このエンジンであれば従来検出できなかったマルウェアも検出できます。
しかしヒューリスティックエンジンは、脅威ではないシグネチャーを脅威と誤認識してしまう「過検知」と、脅威なのに検出できない「検知漏れ」を起こすこともあり要注意です。
最新のセキュリティ対策
これに対して最新の「EDR」(Endpoint Detection and Response)製品は、エンドポイントを監視、検出したイベントに対処可能。
EDR 製品とエンドポイントセキュリティ製品の違いは、マルウェアなど特定の脅威だけでなく、さまざまなセキュリティの脅威を監視して処理できるよう設計されていることですが、製品ごとにカバーする対象範囲と機能がそれぞれ大きく異なるのが特徴です。
エンドポイントにエージェントをインストールすることで機能しているのが、一般的なEDR 製品。
エージェントは、エンドポイントを継続監視、セキュリティインシデントを検出したら、自動でサーバに送信。そのため、組織はエンドポイントのエージェントを保護することが重要になってきます。理由としては攻撃者がDoS(サービス妨害)攻撃によってエージェントの性能を低下・無力化した場合、事実上EDR製品による防御を回避できてしまう恐れがあるため。
EDR 製品の選定のポイントは、過検知や検知漏れを減らすための手段に人工知能(AI)技術などが採用されているか事前に確認しておくこと。過検知や検知漏れはアラートの信頼性を下げ、脅威の見落しにつながります。AI による過検知/検知漏れ対策は重要です。
ユーザーが業務用デバイス(デスクトップ 、ノートPC、モバイル)にマルウェアをダウンロードすると、攻撃者がそのデバイスを踏み台に企業LAN(Local Area Network) に侵入するケース。
「EDR」(Endpoint Detection and Response)製品はマルウェア感染被害拡大を防止し、IT担当者が能動的かつ迅速にエンドポイントセキュリティのインシデントに対処できる下記の効果をもたらします。導入・運用をご検討されている方はぜひご相談ください。
- ユーザーの行動分析による対策立案の支援
- マルウェア攻撃による被害拡大の阻止
- アプリケーション制御
- アプリケーションのホワイトリスト作成
- ネットワーク監視
- インシデントレスポンス管理
- エンドポイント行動およびプロセスの可視性の改善
- 物理資産と情報資産の管理
- レスポンスと修正の強化
- 管理デバイス分析用データ収集支援
お問い合わせはこちら
費用やスケジュール・サービス詳細に関するご不明点や疑問点などもお気軽にお問合せください。原則翌営業日までにご回答しておりますが、内容によりお時間がかかる場合も…
PlatSupplyConsulting 