• 装飾

    テレワークを今後も続けるためのポイント

    次世代アンチウイルスだけではダメ? テレワークに潜むリスクの傾向と対策

    • テレワークの推進に欠かせないエンドポイントセキュリティ

      昨今、日本でも急速に広がったテレワーク。当初は“強制在宅勤務”期間中の非常手段という見方もあったが、満員電車での通勤が不要になる、集中して仕事ができるなどの点が評価され、今後も継続する機運が高まりつつある。

      しかし、この新しいワークスタイルのメリットを最大限に生かす上では、見過ごせないポイントがある。それは業務で使用するPCのエンドポイントセキュリティだ。

      もともと、この分野については企業が寄せる関心も高い。あるITベンダーの調査結果でも、今後投資したい領域の1位、2位が「セキュリティ」と「働き方改革(リモートワーク)」で占められている。

      とはいえ、安全で快適なテレワーク環境を整備するのはそう簡単なことではない。なぜなら、攻撃側/防御側のそれぞれに、大きな課題があるからだ。まず攻撃側については、攻撃手法の悪質化・巧妙化がさらに進展。最近では、ファイルレス攻撃やPowerShellなどのWindows標準ツールを使った攻撃が全体の7割を超えた。マルウエア型攻撃ならアンチウイルスソフトの精度を高めることによって対応可能だが、非マルウエア型攻撃ではこの防御方法が通用しない。つまり、既存のアンチウイルスソフトでは、攻撃の3割しか防げないことになる。たとえ最新の次世代アンチウイルス製品をもってしても、すべての侵入を防ぐことは難しい。

      これに対抗する防御側にも問題がある。社内に様々なセキュリティ製品が個別に導入され、運用がつぎはぎになっているケースも珍しくない。さらに問題なのが、Windows 7からWindows 10への完全移行が済んでいない企業が意外に多い点だ。特にテレワークでは、やむなく旧型のPCなどを利用する事態もあるだけに、こうした古い端末の安全性に対しても十分な目配りが必要だ。自社がWindows 10に移行しているからといって安心ではない。サプライチェーンリスクを考えると、自社だけでなく、子会社や取引先から侵入することもあるからだ。

      それでは、テレワーク時代の新しいエンドポイントセキュリティとは、一体どうあるべきなのか。次ページ以降で考えてみたい。

    • 新製品の導入だけではダメ。今後の運用を見据えた対策とは

      セキュリティ脅威はもはや、水際で防げるものではなくなった。PCなどの「エンドポイント」に脅威が侵入してしまうことを前提に、セキュリティの仕組みを再考しなければならない。

      そのために利用が広がっているのが「EDR(Endpoint Detection and Response)」だ。これはエンドポイントへのマルウエア感染を前提にしたセキュリティ製品。エンドポイントで脅威を「検知(Detection)」「対応(Response)」することを可能にする。

      こうした考えのもと、次世代型のエンドポイントセキュリティソリューションを提供しているのが、Dell Technologiesだ。Dell Technologiesグループの一員であるVMwareでは、先ごろ世界的なEDRベンダーとして知られるCarbon Black社を買収。その実績あるクラウド型エンドポイントセキュリティ製品を、「VMware Carbon Black Cloud Endpoint Standard」(以下、VMware Carbon Black Cloud)として、自社ブランドでの提供を開始した。

      「EDR製品の元祖ともいえるCarbon Blackは、世界中のエンドポイントからセキュリティイベント情報を収集・分析することで高い防御力を実現しています。今回、『VMware Carbon Black Cloud』としてご提供を開始したことで、そのビッグデータ収集・分析能力がさらに拡大。VMware Carbon Black Cloud上で分析されているエンドポイントのデータ量は500TB以上、日々収集されるセキィリティイベント数は1兆件に上ります。これにより世界中のお客様に対して、より強力なエンドポイントセキュリティをご提供できるのです」とDell Technologiesの柳田 俊樹氏は話す。

    • Dell Technologies(デル・テクノロジーズ株式会社)
      クライアント・ソリューションズ統括本部
      Dell Endpoint Security
      柳田 俊樹氏

      「EDR製品の元祖ともいえるCarbon Blackは、世界中のエンドポイントからセキュリティイベント情報を収集・分析することで高い防御力を実現しています。今回、『VMware Carbon Black Cloud』としてご提供を開始したことで、そのビッグデータ収集・分析能力がさらに拡大。VMware Carbon Black Cloud上で分析されているエンドポイントのデータ量は500TB以上、日々収集されるセキィリティイベント数は1兆件に上ります。これにより世界中のお客様に対して、より強力なエンドポイントセキュリティをご提供できるのです」とDell Technologiesの柳田 俊樹氏は話す。

      ただし、EDRを追加するだけでは、セキュリティ製品がさらに追加されるだけで、運用負担が増大するだけで終わる可能性もある。また、ビジネスの安全を担保する上では、脅威の侵入を水際で止める次世代アンチウイルスをはじめとしたEPP(Endpoint Protection Platform)も依然として重要だ。

      「そこで、VMware Carbon Black Cloudでは、次世代アンチウイルスも一体で提供。単一のエージェントでEPP+EDRを実現できますので、セキュリティ対策のシンプル化が図れるのです」と柳田氏は説明する(図1)。

    •  

      図1●今後に求められるエンドポイントセキュリティ

      これからのエンドポイントセキュリティには、脅威を水際で止める「EPP」と侵入後の対処を支える「EDR」が欠かせない。VMware Carbon Black Cloudは、この両者が一体化されたシンプルかつ強力なセキュリティ環境を提供する
    • 最新の脅威も逃さないストリーミングアナリティクス

      VMware Carbon Black Cloudの高い検知力を支えているのが、特許技術の「ストリーミングアナリティクス」である(図2)。柳田氏はその仕組みを「ストリーミングアナリティクスでは、端末内で発生したイベントをすべてログとして記録します。さらに、関連するイベントにタグ付けを行い、これを分析することで脅威判定を行います」と説明する。

       

      図2●ストリーミングアナリティクス

      特許技術のストリーミングアナリティクスでは、端末内で発生するすべてのイベントを網羅的に記録。これらを関連付けて分析するため、ファイルレス攻撃やWindows標準ツールを使った攻撃も、高精度に検知できる
    • 最近のマルウエアの中には、侵入時には疑わしい挙動を示さないものもある。その時点のログが残っていないと、後で攻撃の実態を明らかにするのが非常に難しくなってしまう。その点、ストリーミングアナリティクスでは、「Webブラウザを開く」といったごく一般的なイベントもすべて漏れなく記録する。これにより、マルウエアの行動をさかのぼって調査できるため、これまで検知の難しかったWindows標準コマンドやPower Shellを使った攻撃も高精度に検出できるわけだ。

      「攻撃の流れについても、プロセスツリー画面を用いて分かりやすくビジュアル化できます。これを見れば、誰の端末から、いつ、どのような方法で攻撃されたかが一目瞭然です。さらには同じ画面から、それぞれの脅威に応じた対策を実行する、あるいはホワイトリストに登録するといったアクションを取ることも可能です」と柳田氏は続ける。

      加えて、もう1つ見逃せないのが、感染端末のリモート隔離まで行えるという点だ。「テレワークを行っている場合には、いざ感染端末が見つかっても、なかなかユーザーに連絡がつかないケースもあることでしょう。しかし、このソリューションでは、該当端末を即座に社内ネットワークから切り離して、VMware Carbon Black Cloudのクラウドにしかつながせないようにすることができます」と柳田氏。こうした環境があれば、インシデント対応のスピードや効率を大幅に高められるだろう。

    • 自社サーバーは一切不要。効率的な運用管理性を実現

      社内に侵入した脅威をいち早く検知し、ビジネスへの被害を防ぐのがEDRの役割だ。とはいえ、その運用管理に多くの工数を伴うようでは、導入することは難しい。しかし、VMware Carbon Black Cloudには、この点でも多くのアドバンテージが備わっている。

      「例えば、脅威の分析などはすべてクラウド上で行いますので、お客様側にオンプレミスのサーバーは一切不要です。もし、これが必要となると、サーバーのセキュリティアップデート作業が発生しますので、運用管理負担が大きく増してしまいます。最近では、オンプレミスのセキュリティサーバー自体が攻撃対象になるケースもありますから、こうした脆弱性を社内に抱え込まないという面でも、クラウド型であることの利点は大きいと言えます」と柳田氏は語る。

      エージェントを端末にインストールする作業も、EPP+EDRで共通のため最小限の工数で済む。また、ポリシーの設定や変更についても、VMware Carbon Black Cloudのコンソールから一元的に行うことが可能だ。GUIも日本語化されているため、操作方法の習得に苦労するようなこともない。

      ちなみに、VMware Carbon Black Cloudは、通常のPCだけでなくVDIやサーバーのゲストOSなども「エンドポイント」として管理できる。いくつものセキュリティ製品を組み合わせたりしなくとも、インフラ全体の安全性を担保可能だ。

      しかも、将来的なロードマップに関しても、大きな可能性が広がっている。「VMwareでは、今回のCarbon Black社にとどまらず、数多くの有望な先進ICT企業を買収しています。それぞれの企業の持つ最先端テクノロジーが、どんどんVMware Carbon Black Cloudに取り入れられていくことになりますので、これからの進化にも大いにご期待いただきたいと思います」と柳田氏。VMware Carbon Black Cloudは、テレワーク時代のセキュリティを担う“真打”ともいえる存在といえそうだ。

    • 日経BP社の許可により、2020年7月30日~ 2020年10月28日掲載 の 日経 xTECH Active Special を再構成したものです。