過日、当社にて開催したセミナーに関連して効果的なエンドポイントの選び方についてのブログを掲載しました。
昨今のお客様を取り巻く IT の環境は大きく変化しており、その中でのセキュリティの重要性、特に着目すべきポイントはどこなのかについてはそのブログをご覧になられた方にもご理解をいただけたのではないかと思います。
しかしながら、守るべきポイントがわかっても、セキュリティと運用は切っても切れない関係であることは周知の事実であるかと思います。
今回は守るべきポイントを把握できた上で、どのように最大の効果を引き出しつつ運用面で既存業務への影響を最小限にできるかに着目します。
次世代エンドポイントセキュリティ「Cybereason EDR」詳細はこちら
今なぜエンドポイントセキュリティが求められ、EDR が重要なのか
運用のお話に入る前になぜ EDR(エンドポイントセキュリティ)が必要なのか、EDR はなぜ有効なのかについて振り返ってみたいと思います。
現在数多くの企業が働き方改革やコロナ禍への対応に伴い、新たな働き方を模索しています。
テレワークが当たり前となるこれからのニューノーマル時代の働き方においては、従来のように社内ネットワークにエンドポイント端末がすべて接続され、インターネットとの境界線上でセキュリティ対策を施す 「境界型」 のセキュリティ対策は徐々に効力を失っていくことでしょう。
それとともに、現在サイバー攻撃のリスクはかつてとは比べ物にならないほど高まっており、従来型のアンチウイルス製品だけで、巧妙化・高度化する攻撃を防ぐのは到底不可能だと言われています。
そのような環境の変化、攻撃者の進化の両面からエンドポイントを常時監視し、侵入した脅威が少しでも不審な動きを見せたら即座に検知して管理者にアラートで通知するような EDR 製品は、お客様自身の環境を可視化し、現状の把握、対処、防御の進化を現実にするためにも非常に重要なソリューションであると言えると思います。
とどまることがない攻撃者の進化
環境の変化についてはお客様自身も肌で感じる部分が大きいと思いますので、割愛しますが攻撃者の進化については対岸の火事だと感じられている方も多いのではないでしょうか。
- 自社は大きな会社ではないからそもそも狙われないだろう
- システムは基本的にすべてウィルス対策出来ているので問題無いだろう
上記に当てはまる考え方の企業様がいらっしゃった場合、非常に危険であると言えます。
昨今ニュースや新聞をにぎわすセキュリティ事件/事故で名前が出る企業は、セキュリティ対策にも力を入れている大企業だけではなく、その取引先である中小企業の名前を目にする機会も少なくありません。
そういったサプライチェーン攻撃は昨今のトレンドであるとも言えるでしょう。
しかし、セキュリティ対策に大きくコストをかけているであろう大企業までもやはり攻撃が成功してしまうことがあるのは何故でしょうか。
ここで重要なのは「守る」ことに意識が傾き過ぎて、「把握する」ことが疎かになってしまっていることが考えられます。
攻撃者の攻撃手法は年々進化しており、例えば、Windows の標準機能を巧みに悪用する「njRAT」、正規プロセスを巧みに操り攻撃を仕掛ける「DLL ハイジャッキング」など、本来の業務に関係するような正規機能・プロセスを利用した攻撃は「守る」のソリューションでは正規ツール・正規の動きである以上、止めることができないのが実情です。
そうなった際、「守る」のソリューションはあくまで「守る」ことに着眼しているので、侵入後の動きについては非常に弱いのが現実です。
それ以外にも働き方改革等で、増えたのが Microsoft Exchange の脆弱性を悪用する Prometei ボットネットのような、リモートワークを可能にするソリューションにフォーカスした攻撃手法ではないでしょうか。
こういった攻撃は業種・業界・企業規模等を問わず、ランダムにかつ効果的に攻撃することを前提に活動しています。
そのため、EDR のような、今、何が、どこで、どのように攻撃されているのかをリアルタイムに把握し、対処できる製品が重要になります。
次世代エンドポイントセキュリティ「Cybereason EDR」詳細はこちら進化する環境とは裏腹に大きな課題になるリソース不足
前述で環境の変化における EDR の重要性と攻撃者の進化について訴求しましたが、別の視点で大きな課題になるのはリソースの問題ではないでしょうか。ここでいうリソースとは 「人材」「コスト」「時間」 を指しています。
まず、人材の問題については、人数と知見の2つに分けられます。
そもそも対応できる人がいなければ、何かが起こっても何が起こっているのか把握できない、効果的な対処ができないでは元も子もありません。逆に人が潤沢な状態でも、知見がなければ状況の把握や対処だけではなく、改善、報告もできないということになります。
次にコストの問題について、効果的な防御を知ることなく闇雲にコストをかけてまで必要ではない対策や、効果が発揮できない利用方法をしていれば、その分のコストは結果として無駄になると言わざるを得ないでしょう。
最後に時間の問題についてです。ここでの時間はそもそも対処・対応する時間がないということだけではなく、本来の業務に影響が出た結果、本来の業務で使えたであろう時間、具体的には企業内における報告業務、状況の把握、対処に伴う専門知識を取得するために利用した時間、環境への負荷で予期せぬエラーが起こってしまった時間など、幅広い定義での時間を指します。
そのような時間を確保できない結果、業務が停止してしまったり、本来時間をかけてやるべきことが疎かになってしまったり、攻撃が成功し直接的な被害を受けてしまったりなど、最悪の結果、企業維持が難しくなる可能性すらあります。
Cybereason EDR + SBテクノロジー MSS における効果
Cybereason EDR は上記のような課題解決に役立つ様々な機能を実装しています。
製品機能だけではなく、ネットワーク内を調査するセキュリティ対策サービス「MSS」によって、より強固にサイバー攻撃の拡散を防ぐことが可能です。
11月4日(木)開催のセミナーでは、実際の攻撃者の攻撃画面とそれに対する Cybereason 製品の管理画面をお見せしながら、先に挙げたような課題解決にどのように役立つかをお見せできると思います。
その他にも Cybereason EDR と SBテクノロジーの MSS がお客様のリソース課題をどのようにカバーするのか、具体的な内容を含めシェアします。
是非ともご視聴いただければ幸いです。