エンドポイント保護技術

ランサムウェアが、全世界で増加傾向を示しています。チェック・ポイントの調査によると、2016年第1四半期に確認された標的型攻撃のうち、ランサムウェアを利用した攻撃が占める割合は平均で4.5%でしたが、同年4月には5.6%にまで上昇しています。この傾向が特に顕著な国が日本で、第1四半期では標的型攻撃全体の5%だったランサムウェアによる攻撃は、4月には15%にまで急増しています。第1四半期と比較すると、平均して200%の増加となります。

「セキュリティ動向は刻々と変化している、というのは控えめな表現だろう。」
トニー・ジャービス(Tony Jarvis)、チェック・ポイント・ソフトウェア・テクノロジーズ、アジア/中東/アフリカ地域担当チーフ・ストラテジスト

新しい脅威が検出されるたびに、セキュリティ動向が変化し続けている実態が伺えます。攻撃者の関心は、もはやネットワークへの侵入方法だけにとどまりません。革新的な検出回避技術や攻撃による被害の程度にも目を向けています。そこで重要となるのが、このような日々進化する脅威に対する、セキュリティ・ベンダーの対応です。検出に焦点を当てている従来のソリューションをより強化する取り組みに加えて、防御への対応も必要となります。多くの企業で買収やレイオフが発表されていますが、CIOやCISOがまず問うべきは、「自社が採用しているセキュリティ製品は長期的に見て適切なのか」という質問です。


効果的なセキュリティ戦略を策定するにあたり、柱とするべき3つの要素があります。まず何よりも重要なのは、脅威による感染の未然防止です。そのためには防御技術が欠かせないのですが、多くのベンダーの製品は阻止(ブロック)に対応しておらず、検出技術ばかりアピールしているのが実情です。今日利用されているソリューションの大半は検出に重きを置いていますが、ユーザ・エクスペリエンスが損なわれるだけでなく、人的エラーも発生しやすくなります。導入モデルも柔軟性に欠け、クラウドまたはプライベートのマルウェア分析ソリューションの導入が別途必要になるなど、多くの顧客のニーズを満たせません。さらに悪いことに、大部分のサンドボックス技術は処理に長時間を要し、検出されるまでに十分な余裕をマルウェアに与えてしまっています。

予防が治療に勝るのは間違いありませんが、多くのCIOは、ビジネス・フローを維持し、ネットワーク遅延を最小限に抑えるというプレッシャーにもさらされています。従来型のサンドボックス技術も、ある程度の効果は期待できます。しかし、未対応のセキュリティ・ギャップも多く生じており、これを埋めるためには、高度な検出回避能力備えた脅威に対応し、さらにリスクを軽減する採用することで、ネットワーク感染を未然に阻止できるはずです。さらに、問題のファイルが文書ファイルであれば、その場で再構成してアクティブ・コンテンツを削除した安全なファイルをユーザに速やかに転送し、元のファイルはエミュレートされます。クラウドを活用するハイブリッド型アプローチであれば、柔軟性は大幅に向上します。ファイル・タイプや機密レベルに応じて、一部のファイルはクラウドに送信して分析し、残りのファイルはネットワーク上に保管しておく、などの対応が可能です。

しかし、ここ数年利用されている従来型のサンドボックスはOSレベルで動作します。その一方で、今日のマルウェア作者は、その仕組みを理解し、高い確率で検出回避に成功する手法の開発を進めてきました。例えば2016年4月に確認されたCryptXXXランサムウェアは、仮想マシンの検出回避手法として実行を遅らせる能力を備えています。そのDLLは62分間待機してから実行されるため、インシデントの感染源の特定が一層困難となります(詳細はこちらをご覧ください)。

サンドボックス技術を強化するための戦略の一環として、チェック・ポイントは2015年、Hyperwiseを買収しました。同社の「CPUレベルの脅威対策技術」とチェック・ポイントの次世代脅威対策ソリューションとの統合によって、Intelの最新プロセッサの高度な機能を活用し、マルウェアが用いるエクスプロイトを検出できるようになります。このようなエクスプロイトはまだ限られた数の手法に留まっており、攻撃に使用されるマルウェアの種類が膨大な数に上る点を考慮すると、少数のエクスプロイトが使い回されているという実態が見えてきます。チェック・ポイントのソリューションなら、シグネチャや汎用的なヒューリスティック技術では対処できない未知のマルウェアも検出できます。また、エンドポイント上で動作する、既存のAntiVirusやSandBlast AgentのAnti-BotまたはThreat Emulaによって生成されたアラートからも検出することが可能です。不正なファイルが見つかった場合は、プロセス・レベルでもホスト・レベルでも隔離できます。これにより、脅威のネットワーク内移動を阻止し、他のマシンへの感染を妨げます。

健全なセキュリティ戦略を策定するうえでは、個々のインシデントの把握と対応も重要となります。攻撃に遭遇しても、マシンのイメージを再作成するだけで、最初に侵害が発生した場所や被害の程度の把握を怠る組織は少なくありません。攻撃に関する知識に欠けていると、追加のセキュリティ対策が講じられないわけですから、攻撃者に再度狙われても打つ手がありません。過去の経験をまったく生かしていないこのような組織は、攻撃に対し引き続き脆弱であると言えます。

そこで求められるのが、インシデント分析レポートを自動的に生成して攻撃をその発信源から追跡し、いつ何が起こったかを正確に把握するプロセスです。感染ホスト、脅威の侵入方法、拡散範囲を包括的に可視化することで、当て推量に頼らないインシデント対応が実現します。またサンドボックスと同様、詳細の把握も数分以内に終える必要があります。優先的に対処すべき問題やさらなる時間とコストが必要となる問題を決定するまでもなく、セキュリティ・インシデント対応に関する判断を十分な情報に基づいて的確に下せなければなりません。さらにスクリプトをエンドポイントに実装し、感染ホストを無害化すればインシデント対応が終結に向かいます。

今日のCIOの業務は、ますます厄介になっています。セキュリティのレベルと金銭的な投資のバランスを取りながら、事業を円滑に運営しなければなりません。セキュリティ・ベンダーもサービスを提供するだけに終わらず、顧客との協力関係の下、長期的なセキュリティ戦略の策定を支援する対応が要求されます。そのため、各ベンダーは長期的なニーズを満たせるよう、自社のセキュリティ製品を革新、強化し続ける必要があります。

チェック・ポイントのソリューションでは、攻撃の全体像を把握するうえで必要とされる情報がすべて自動的に生成されます。インシデント分析レポートにより、攻撃をその発信源から追跡し、いつ何が起こったかを正確に把握できるようになります。感染ホスト、脅威の侵入方法、拡散範囲が包括的に可視化されるため、当て推量に頼らないインシデント対応が実現します。ベンダーが提供する多くのサービスはこのような作業を時間単位で請求しており、場合によっては数日または数週間の費用が発生する場合もあります。一方、チェック・ポイントのSandBlast Agentなら、同様の作業が数分以内に自動的に完了します。優先的に対処すべき問題やさらなる時間とコストが必要となる問題を決定する必要がなく、セキュリティ・インシデント対応に関する判断を的確に下すために必要な情報を確認できます。またフォレンジック分析に加えて、復旧も自動化されます。スクリプトをエンドポイントに実装し、感染ホストを無害化するまでに行う操作は、クリック1回で完了します。

今日の脅威は、ますます高度化を遂げています。一昔前のソリューションや従来型の保護機能に依存するソリューションでは、最新の攻撃に対処できません。セキュリティ・ベンダーを評価する際は、過去の実績に加えて、将来に向けた可能性も考慮してください。セキュリティ専業ベンダーのチェック・ポイントは1993年以来、革新的なソリューションを投入し続けています。その1つであるSandBlast Agentのエンドポイント保護技術は、第三者機関より高い評価を受けています。強力なロードマップを基に技術開発に邁進するチェック・ポイントは、高度なランサムウェア検出エンジンやファイル復元機能の提供を間もなく開始する予定です。SandBlast Agentの詳細と最新の脅威から保護する仕組みについては、こちらをご覧ください。