• 装飾

    アンチウイルスソフトでは防げても6割 残りの4割を防御するには

    • 数年前に波紋を広げた「アンチウイルスソフトはもう死んだ」発言の真意

      数年前、あるセキュリティベンダーの幹部が「アンチウイルスソフトはもう死んだ」と語り、業界内外に大きな波紋を広げた。

      この発言は、「アンチウイルスソフトだけではもう防ぎきれない」という真意だといわれている。というのも、攻撃手法が、マルウエア型から非マルウエア型へとシフトしつつあるからだ。ある調査レポートによれば、2018年にはマルウエア型攻撃は61%まで減少し、非マルウエア型攻撃が39%に上っているという。マルウエア型攻撃ならアンチウイルスソフトの精度を高めることによって対応可能だが、非マルウエア型攻撃ではこの防御方法が通用しない。つまり、アンチウイルスソフトが仮に100%近くの精度で攻撃を防いだとしても、約4割は素通りすることになるわけだ。

      残念ながら、この傾向は今後さらに進んでいくことになるだろう。AI技術の発展やIoT製品の利用拡大によって、それらを悪用したサイバー攻撃が増えてくると予想されているからだ。さらに、専門知識を持つ人材の不足も目立つようになってきた。セキュリティ人材を確保したくても、それが難しいと悩んでいるIT部門も少なくないはずだ。

      このような攻撃に対応するには、「侵入を前提にした」セキュリティ対策が不可欠だ。米国では政府機関が調達する製品/技術などの開発/製造を行う企業に対し、米国標準技術研究所(NIST)のサイバーセキュリティガイドライン「NIST SP800-171」への準拠が義務化されているが、ここでも侵入を前提としたセキュリティ対策が求められている。

      なおこれは米国企業だけの課題ではない。日本でも2019年度以降、防衛関連の企業にはNIST SP800-171と同等のセキュリティレベルが求められるようになる。さらにこうした動きは、規模の大小を問わず、一般企業にも波及していくと予想されている。

      それでは具体的に、どのような対策を行えばいいのか。このような疑問や不安に応えるため、ITベンダー側の対応も活発化している。ユーザー企業の安全性を確保するために、強力な防御網を作り出そうという動きが進みつつあるのだ。

    • アンチウイルスは入口の警備員。警備員を騙す侵入者を防ぐには

      デル株式会社
      クライアント・ソリューションズ統括本部クライアント製品本部
      コンサルタント
      竹内 裕治氏

      その動きの1つとして注目したいのが、デルとセキュアワークス(Secureworks)、クラウドストライク(CrowdStrike)による協業だ。3社は2018年9月に、米国で戦略的パートナーシップを締結。これに基づき、SecureworksのマネージドサービスとCrowdStrikeのEDR(Endpoint Detection & Response)製品を、デルが国内顧客に対してシングルポイントで提供できる協業体制を整備したことを、2019年6月に発表したのだ。

      「セキュリティ侵害の95%はPCから生じているといわれていますが、デルはPCベンダーとしてこのリスクに対応する責任があります」と語るのは、デルの竹内 裕治氏。今回発表した協業も、その一環として進められてきたものなのだという。「今後もアンチウイルスは重要な存在ではありますが、その果たすべき役割は限定的であり、他のセキュリティソリューションと組み合わせる必要があると考えています」。

      その理由については、建物のセキュリティに置き換えてみると分かりやすいと竹内氏は続ける。

    • 「アンチウイルスは現在でも、建物の入口を見張る警備員と同じ役割を担っており、当然ながらこれは欠かすことができません。しかし非マルウエア攻撃のように、警備員を騙して侵入する攻撃者がいる場合には、建物内の監視カメラで危険な行動を発見しなければなりません。そして問題のある行動が見つかった場合には、警備会社や警察に連絡し、その行動を止める必要があります。これらのうち、次世代アンチウイルスと監視カメラの役割を担うのがCrowdStrikeであり、問題行動に関する洞察を提供するとともに、その行動への対応や修復を行うのがSecureworksなのです(図1)」

      Dell Precision 図1●3社の協業で実現可能になるエンドポイントセキュリティ

      CrowdStrikeが次世代アンチウイルスと侵入検知、Secureworksが検知データからの洞察提供と脅威への対応や修復を担当することで、エンドポイントの高い安全性を確保する
    • それではなぜデルは、次世代アンチウイルスと侵入検知のソリューションとしてCrowdStrikeを選んだのか。実はこのベンダーにはほかのセキュリティベンダーにはない、大きな優位性が備わっているからだ。

    • 2種類の「クラウド」で脅威を検出し先回りして防御

      CrowdStrike Japan株式会社
      ジャパン・カントリー・マネージャー
      河合 哲也氏

      CrowdStrikeは2011年に、元マカフィーCTO/エンタープライズ担当SVPのジョージ・カーツ(George Kurtz)氏と、元マカフィー 脅威リサーチ担当VPのドミトリー・アルペロビッチ(Dmitri Alperovitch)氏により、米国で設立された企業だ。当時既に非マルウエア型攻撃が増えつつあり、アンチウイルスだけでは十分な防御が行えないという危機感から、全く新しいアーキテクチャに基づくセキュリティ製品群を開発。日本でも2017年に日本法人を設立し、本格的な活動を開始している。なお2016年11月に行われた大統領選では、ロシアによるサーバーハッキングが行われた疑惑が指摘されているが、同社はこれをいち早く検知・分析し、ブログ記事で発表したことでも知られる存在だ。

      「CrowdStrikeの最大の特長は、全世界のエンドポイントから収集したイベントを単一のクラウド(Cloud)に収集し、AIを活用したインテリジェンスと専門家集団によって分析した上で、その知見を全世界で共有できるようにしていることです」とCrowdStrike Japan の河合 哲也氏は同社の優位性を語る。

    • 「ここでカギになるのは『2種類のクラウド』です。1つはインターネット上のクラウド(Cloud)で、CrowdStrikeは当初からクラウドネイティブなアーキテクチャを採用しています。もう1つは数多くの人々を意味するクラウド(Crowd)。これが提供するビッグデータを分析することで脅威をいち早く発見し、先回りした防御を可能にしているのです」

      クラウド型のソリューションなので、導入が容易で拡張性も高い。エンドポイントに導入するのは、たった1つのエージェントソフトだけ。CrowdStrikeは「CrowdStrike Falcon Platform」上に様々な機能を載せて提供しているが、これらすべての機能をこの単一エージェントで利用可能にしているのだ(図2)。

    • 図2●CrowdStrikeが提供するソリューションの全体像

      クラウドで提供されるCrowdStrike Falcon Platform上で、多岐にわたる機能を実装している。エンドポイント側には単一のエージェントを導入するだけで、これらの機能をすべて使えるようになっている。なおサードベンダーが機能を追加することも可能になっており、米国では既に2社が機能提供を発表しているという
    • コア技術は独自開発DB、毎週1兆件のデータを分析可能に

      このような仕組みを実現するコアテクノロジーとなっているのが「Threat Graph」と呼ばれる独自データベースである(図3)。

      「これはセキュリティ専用のグラフデータベースであり、当社が業界で初めて開発したものです」と河合氏。開発当時はエンドポイントから収集される膨大な非構造化データを1カ所に集め、それらの相関分析を秒単位で行えるテクノロジーは存在しなかったと振り返る。「そこで当社は相関分析に適したグラフデータベースを独自開発し、AIと機械学習エンジンを組み合わせた次世代のプラットフォームを構築したのです」。

      このデータベースに収集されるデータ件数は、1週間で約1兆件。これらのデータの関連性をAIで自動分析し、複数イベントで構成される一連の動きとして捉えることで、単一イベントでは検知できない脅威を発見可能にしているのだという。その結果、年間3万件の脅威を検出。仮に脅威が侵入した場合でも、その挙動をいち早く見つけ出し、防御できるようにしているのである。

    • 図3●「Threat Graph」の概要

      膨大なデータをグラフデータベースに集め、それらの相関関係を分析することで、単一イベントでは見つけられない脅威も発見可能にしている。ここに収集されるデータ量は毎週1兆件に達しており、ここから発見された脅威は年間3万件に上るという
    • その一方で竹内氏は、エンドポイントに導入するエージェントがカーネルモードで動作するよう設計されている点も、注目すべきポイントだと指摘する。「この種のエージェントはユーザーモードで動くものが存在しますが、ユーザーモードでは実効性のある情報の入手が難しく、ほかのプロセスによってKillされる可能性もあります。カーネルモードで動いているからこそ、CrowdStrikeのエージェントは安定して深い情報を集められるのです。また、Secureworksのような製品との連携が容易な点も大きなポイント。セキュリティに必要な製品群が密接に連携することで、包括的な脅威管理ポートフォリオを実現できるからです」。

      すでにデルではCrowdStrike、Secureworks両社の製品・サービスを組み合わせた「Dell SafeGuard and Response」の提供を日本でも開始。今後も協業を深めることで、新たな危機を迎えるエンドポイントセキュリティに対し、強力な防御網を提供していく考えだ。

    • 日経BP社の許可により、2019年6月21日~ 2019年9月19日掲載 の 日経 xTECH Active Special を再構成したものです。