マルウェアの被害を最小限にするEDR/NGAVとは?
近年、国内外で企業を狙ったマルウェアやランサムウェア※の被害の報告が相次いでおり、中には高額な身代金を支払ったケースも見られます。現在は新型コロナによるテレワークの普及拡大により、社外にあるPCを狙った攻撃も高まっていることから、セキュリティ対策の強化が急務であるといえます。しかしマルウェアは年々巧妙化が進み、発見を遅らせたり、単なる愉快犯から金銭目的に変わってきているなど攻撃の手口や目的もより悪質になっています。今回は、マルウェアの被害を最小限にするセキュリティ対策のひとつ、EDRの機能と有効性をご紹介します。
※マルウェア、ランサムウェアとは
マルウェア(Malware)とは、ユーザーのデバイスへの有害な動作を目的とした悪意のあるプログラムやソフトウェアの総称です。マルウェアの一種であるランサムウェア(Ransomware)は、PCやサーバー、スマートフォン内のデータを暗号化するなど使用不可にし、その復旧と引き換えに金銭を要求する不正プログラムのことを指します。
巧妙化、高度化するサイバー攻撃
今から20年程前のマルウェアは、迷惑メールや嫌がらせ、またハッカーの個人的な技術の誇示が主な目的でした。しかし近年は、組織化された高い技術力を持つハッカー集団による金銭目的としたランサムウェアの被害が目立つようになり、ビジネス化したサイバー攻撃が世界中の企業や自治体で深刻な問題になっています。IPAが公開した「情報セキュリティ10大脅威 2021」でも、2020年の5位から2021年には1位へとランキングされていることからも、脅威とする認識が高まっていることが分かります。またサイバー攻撃が増加する背景には、PCをはじめスマートフォン、タブレット、IoT機器といったデバイスの多様化、またこれらのデバイスから決済サービスが広まったことにより攻撃対象になっていることも一因であるといえます。
マルウェアの主な感染経路として、利用者の心理を突き攻撃の成功率を上げるため取引先や関係者を装う「なりすまし」メールが挙げられます。あたかも業務連絡と見せかけることでメールの添付ファイルを開かせたり、本文に記載されたリンク先をクリックさせる手法です。無害であるように見せかけた巧妙なマルウェアは、セキュリティホールを巧みに通過し、組織内にあるパソコンからネットワーク内のサーバーなどに感染し、外部から不正アクセスされる事で情報漏えいにつながっていきます。
またこれまでのマルウェアは、何らかのプログラムやソフトウェアをインストールし実行させていましたが、記憶領域に保存せずメモリー内に常駐して実行するファイルレス型マルウェアといった検出が困難なものもあります。これらは主に既存OSが持っている機能やツールを悪用しているため、ウイルス対策ソフトでも検知できない場合があります。
このように、マルウェアによる攻撃は巧妙化・高度化が進み、また攻撃対象や目的も変化しているため、100%防御することは困難と言えます。このような状況で、しかも未知なるマルウェアへはどのような対応策があるのでしょうか。
AV、NGAV、EDRの違いとは?
従来のAV(Antivirus:アンチウィルス)は、事前に定義されたマルウェアに対してのみ有効であり、あくまで検知可能なマルウェアが侵入してからの対策のため、前述のファイルレス型マルウェアやゼロデイ攻撃(認知される前の脆弱性を突いた攻撃)には対応できません。またパターンファイルの更新・浸透には時間がかかるといったデメリットがあります。
次世代アンチウイルスと呼ばれるNGAV(Next Generation Antivirus)は、従来のウイルス定義ファイルによる防御をすり抜ける新たな攻撃や脅威に対し、挙動の監視やハッカーの手口をAIや機械学習を用いて検出し、阻止します。そのため未知のマルウェアにも対応と謳われていますが、結局はハッカー集団との技術力とのイタチごっこになってしまうため、これからご紹介するEDRと組み合わせた導入をおすすめします。
EDRとは「Endpoint Detection and Response」の略で、ユーザーが利用するパソコンやサーバー(エンドポイント)を常時監視し、ランサムウェアなどによる不審な挙動を検知し、通知を行うセキュリティソリューションです。監視対象のエンドポイントにエージェントを導入することでサーバーにログを収集し、リアルタイムにエンドポイントの動作を分析します。そのため、NGAVで万が一止めることができなかったマルウェアに感染したとしても、事象を発見次第、即座に隔離する機能を備えることで、被害を最小限に抑えます。
EDR/NGAVの導入効果
EDRは、1台のデバイスで不審な挙動が検知され次第、監視サーバーに接続されたその他のデバイスすべてにその情報が共有されます。同じマルウェア/サイバー攻撃を無効化することで、インシデント発生を初期段階で抑えます。また社外にあるデバイスにも有効なため、テレワークにおいても同様に被害を抑えることが可能です。管理者は、サーバーに収集されたログにより状況を可視化し分析することができるようになり、その情報をもとに分析を行い、侵入経路を明らかにすることで今後の対応を迅速かつ効率的に行えます。またウイルス定義ファイルの更新を利用者に委ねることはありません。平時のマルウェア対策として、また有事でも被害を最小限に抑える対策として、有効なソリューションと言えます。
EDR/NGAVを導入した場合、上記のような効果を享受できる一方で、EDRからの検知結果を受けて迅速に対応したり、収集されたログ分析など運用監視体制の負担は残ります。さらに、サイバー攻撃はグローバルレベルでの対応(24時間365日の監視)が理想です。どこまでの即時性をもって、どのような体制で対応するかは各企業の判断次第となりますが、昨今は、専門家による24時間365日の監視や、インシデントレポート作成まで代行してくれるサービスもありますので、自社で体制を組む場合もそれらサービス活用を含めて検討することをお勧めします。
まとめ
冒頭で述べたように、データを人質に金銭を要求するランサムウェアの被害は世界中に広がっているため、国内企業でもエンドポイントのセキュリティ対策が課題となっています。漏えいした機密情報やパスワードリストがダークウェブで売買されることも考えられるため、万一被害に合った場合、その規模は計り知れません。現在、NGAVとEDRの組み合わせによる精度の高い検知とエンドポイントの挙動の可視化が、マルウェア対策には最も有効と考えられます。運用や管理の手間を軽減するためにこれらを一体で導入できるソリューションを選ぶこと、また運用体制によっては監視サービスを利用しリソースの最適化をすることで、よりセキュアで安心できるワークスペースの運用を目指してみてはいかがでしょうか。