CrowdStrikeはインテリジェンスにルーツ
最後の砦はSOCチームにあり
米CrowdStrikeは、エンドポイント型 サイバー攻撃対策製品群「Falcon Host」を提供している。2011年設立の同社はもともと、「Falcon Intelligence」と呼ばれる攻撃者情報の収集・販売を生業とする企業だ。
マクニカネットワークス
サイバーセキュリティ第1営業部
第3課
鈴木孝生氏
Falcon Hostは、機械学習エンジンで未知の脅威を検知するアンチウイルス製品「Falcon Prevent」、EDRに相当し、インシデントレスポンスとフォレンジックを行う「Falcon Insight」、同社のSOCチームが24時間365日体制で監視するハンティングサービス「Falcon OverWatch」の3つで構成されている。同社の販売代理店であるマクニカネットワークス サイバーセキュリティ第1営業部第3課の鈴木孝生氏は、「CrowdStrikeは経験豊富な少数精鋭のSOCチームを擁しており、機械では検知されないようなものまでみて、アラートをあげることができる」と強調。「会社の起源がインテリジェンスにあり、その精度の高さが他社と一線を画すからこそ実現できる」としている。
また、運用面では「グラフィカルなUIでわかりやすく表示し、直感的に確認できる」ことが特徴であるという。インシデントの発生時は、緊急度に応じて5段階で脅威レベルを表すことで、優先順位をつけて対処にあたることができ、「インシデントの対応を行いやすい」と鈴木氏は話す。
Falcon Hostは3つを個別の製品として提供しているが、鈴木氏は「導入したほぼすべてのお客様がすべてを利用している」と説明する。従来のアンチウイルスだけでは検知しづらい未知の脅威やファイルレス攻撃なども、CrowdStrikeのSOCチームが監視していることが評価されているという。最近は、「CrowdStrikeの運用支援サービスを手がけるパートナーも増えてきている」と市場の広がりに手応えを感じているようだ。
比較的歴史の長いCarbon Black
独自のアンチウイルス技術を採用
米Carbon Blackは2002年に設立されたセキュリティベンダーで、既出の3社と比べると歴史の長さが特徴だ。会社としては長年にわたりインシデントレスポンスの事業を展開し、現在でいうところのEDRを手がけてきた。
Carbon Blackは、次世代アンチウイルスソリューションと称する製品「Cb Defense」を提供。感染を防止するアンチウイルスと、検知・対応を行うEDRの大きく2つの機能を有している。
サイバネットシステム
ITソリューション事業本部
事業企画部
三浦正裕
部長
アンチウイルスとしては、同社の特許技術「ストリーミング・プリベンション」を採用。イベントストリーミング処理によって、エンドポイントから上がってくる大量のユーザーの操作(イベント)情報に対し、「TTPs(戦術、技術、手順)」の情報にもとづいてタグ付けを行う。このタグの相関関係を分析することで不正な動きを検知し、プロセスを止めるなどの対処を自動で実行する。同社販売代理店の一社であるサイバネットシステムの三浦正裕・ITソリューション事業本部事業企画部部長は、「イベントの一連の流れのなかから、相関関係をみて脅威を検知する。これはシグネチャやAIを使っているものとも異なる。マルウェアよりもむしろ非マルウェア(ファイルレス攻撃)に注力していて、各ステップでは問題がなくても、流れでみると攻撃であると予測して止めることができるのがストリーミング・プリベンションだ」と説明している。さらに、EDRの機能で、脅威へのレスポンスのほか、攻撃の原因追求と対策を行うことができる。
製品はクラウド型で、管理サーバーを立てる必要はない。既存のアンチウイルス製品との併用もできる。また、三浦部長は、「エンドポイントですべての攻撃を止められるとは思っていない」と指摘。「横の連携が重要。Carbon Blackはエンドポイントセキュリティのベンダーだが、APIを使ってファイアウォールやSIEMと連携させることも可能だ」と話す。
新たな脅威にも対抗できるが、
100%防げるわけではない
ここまでみてきたように、従来型のアンチウイルスに取って代わる、次世代型のエンドポイントセキュリティ製品の強みは、未知の脅威やファイルレスマルウェアといった新たな脅威への対応力を向上できる点だ。これを実現した技術として、AIなどの技術があるわけである。
だが、AIも万能ではない。個別の製品によるところもあるが、一般的には、次世代型のアンチウイルスでパターンマッチングでは検出できない脅威を検出できるといっても、あくまで予測の域を出ない。「パターンマッチングでは、マルウェアだとわかっているものを検知するので、間違えることはないが、次世代型の技術では、これまでに見たことがないものを止めるということをやっている以上、間違うリスクというものは存在する。ここは、次世代型製品の弱点であるといえる」と、日立ソリューションズの真島課長。CTCの吉田氏も、「高い検出率のトレードオフとして、誤検出のリスクが存在するのは仕組み上の問題として仕方がない」と説明する。
ただし両氏とも、「製品では誤検出を減らす取り組みは行っており、予想の範囲内でしか発生しない」といい、「(誤検出が多く)運用が大変であるといった話は聞かない」という。次世代型製品やAI自体の認知度が広まるにつれて、「AIで完璧になるわけではない」という認識も一般的であるようだ。
既存製品との併用可能
将来的には置き換えが進む?
未知の脅威に対応できる次世代エンドポイントセキュリティ製品。各社に販売状況を聞くと、導入は増えているようだが、各社とも、現状は既存製品から完全にリプレースするユーザーが一定数存在する一方、既存製品と併用するユーザーが多いもようだ。理由としては、既存製品の契約の残存期間がある場合もあるが、その他は運用面で使い慣れた既存製品を手放せないことなどもその理由であるという。
基本的に、今回取り上げた各社の製品は既存製品との共存が可能ではあるが、マルウェアを止めるという観点でいえば、「従来型の製品でできる機能はカバーしている」というスタンスの製品ばかりである。「お客様次第ではあるが、安い買い物ではないし、二重投資と考えられるなら一本に絞るほうがいい」とサイバネットシステムの三浦部長。次世代型製品は従来型のものと比べると、多少高価であるのは否めないからだ。ただし、「ニーズにお応えできることを理解していただければ、導入いただける」という。また、マクニカネットワークスの鈴木氏は、「現状は併用も多いが、今後は従来型のアンチウイルスとの置き換えでの導入が増えるだろう」と期待を示している。
EDRは必須の機能
内部脅威への対策も重要
これからのエンドポイントセキュリティ対策は、どのように行っていくべきか。
「当社では、理想のエンドポイント防御は、リスクコントロールとダメージコントロールの多層防御にあると考えている」と、日立ソリューションズの塩田尚志グループマネージャは説明する。これは、マルウェアに感染しないための対策を行うことと、万一、マルウェアに感染してリスクが顕在化してしまった場合に、被害を最小限に食い止めるための対策を行うことを指している。日立ソリューションズとしては、前者はCylancePROTECT、後者は秘文で実現しようというわけだ。
これを踏まえれば、従来型・次世代型のアンチウイルスとEDRを併用することが重要であるといえるだろう。再三繰り返すようだが、次世代型のアンチウイルスでも100%の検知率を発揮するわけではないので、内部での感染拡大を防ぎ、被害を抑えるための取り組みは欠かせない。
ただし、マルウェアの侵入を防ぐための防御力も高めておくべきだとの意見もある。日立ソリューションズの真島課長は、「あくまで個人的な意見」だと前置きしたうえで、「マルウェアを確実には止められないと見切りをつけて、早々にEDRのソリューションを探す方もいるが、防御をもうちょっとがんばろうと言いたい」と主張する。エンドポイントの対策としてEDRは確かに有効ではあるが、感染を止めてくれるものではなく、セキュリティ管理者の負担は増えるからだ。「前段で検知率を上げれば、EDRでやることも減らすことができる」と、マルウェア感染を減らす取り組みを行うことの重要性を語る。
さらに、塩田グループマネージャは、「今、エンドポイントセキュリティというと、外部からの攻撃にフォーカスされがちだが、内部不正もなくなったわけではない」と、組織内部に潜む脅威への対策の必要性を指摘する。これについては、CTCの中島課長も「今後、次世代型製品が主力となっていくなかで、現状は外部脅威にしか対応していないが、いずれ特権ID管理のような内部不正対策も統合されていくのではないか」と語っている。外部脅威と内部脅威の両方への対策を講じてこそ、真の意味でエンドポイントセキュリティ環境を整えることができるようなるということだ。
