【セミナーレポート】今知っておくべき、EDRを用いた最新のセキュリティ監視技術とは？

企業におけるマルウェアのステルス感染が増加しており、セキュリティ対策製品をすり抜けて企業内部で暗躍するサイバー攻撃も発生しています。ラックが運営するサイバー救急センターでも、2022年のサイバー侵害への救急支援要請件数が過去最高を記録しました。

そうした動向を受け、ラックは「襲来する新たな脅威に対抗する、最新のセキュリティ監視テクノロジー」と題したオンラインセミナーを開催しました。

このセミナーでは、国内最大級のセキュリティ監視サービスセンター「JSOC」^※1と、サイバー事故対応のパイオニアである「サイバー119」が把握する最新の脅威トレンドと最新のセキュリティ監視技術を取り上げ、企業の次なるセキュリティ対策指針をご紹介しました。

※1 JSOC：Japan Security Operation Center

セミナータイトル	セミナータイトル	『襲来する新たな脅威に対抗する、最新のセキュリティ監視テクノロジー』
内容	1. ラックが知る最新の脅威と、MSS※2だからこそできる対策　～ハイブリッドワーク時代のセキュリティ対策～ 2. クラウドセキュリティの重要性と、完全国産技術での対策技術 3. EDR※3導入の有効性と運用の勘所 4. 内部ネットワークに蔓延する攻撃を検知するNDRと、MSSの連携

※2 MSS（マネージド・セキュリティ・サービス）
※3 EDR：Endpoint Detection and Response

セミナー後のアンケートでは、現状のセキュリティ対策に課題を感じたという回答が9割を超え、より具体的な説明を求める声も多くいただきました。本記事ではこのセミナーの概要についてご紹介し、おすすめするセキュリティ対策についても解説します。

基調講演：最新の脅威動向と求められる対策5つのポイント

「ラックが知る最新の脅威と、MSSだからこそできる対策　～ハイブリッドワーク時代のセキュリティ対策～」
セキュリティオペレーション統括部長　内田 法道

コロナ禍以降、利用するシステム環境、ネットワーク環境が大きく変化しました。この3年間は、一時的な「社会実験」を超えた「社会実践」だったと内田は振り返りました。今後、オフィスは、メインの作業場所ではなく、リモート環境の1つと考えるべきということです。その際に留意すべきセキュリティ対策のポイントを5つ挙げて解説しました。

1. テレワーク環境の整備とともに広がったクラウドサービスの活用
2. 端末が安全なネットワークの外に出ていくことによるエンドポイントセキュリティ
3. ログイン時の二段階認証に加え、二要素認証などの認証の強化
4. 情報が社内外のどこにあっても守れる対策
5. オフィスから離れて作業することによる内部犯罪の防止対策

環境の変化に伴うサイバーセキュリティ事故が増加しており、サイバー119への相談件数もこの3年間で1.5倍になっています。また、コロナ禍によるIT技術者のレイオフにより攻撃者となりうる可能性の高い組織への流入が増大し、内部犯罪や攻撃者の増加につながったのではないかと考えられると、内田は語りました。

こうした状況を踏まえ、クラウドセキュリティやMSSについての昨今の状況、ラックが扱うサービスについてさらに詳しくご紹介します。

講演1：JSOCの専門家視点によるクラウドセキュリティのリスクと対策

「クラウドセキュリティの重要性と、完全国産技術での対策技術」
JSOC企画部　林 雅和

パブリッククラウドを使うメリットは、次の図版に示す5点が挙げられます。

こうしたメリットにより、パブリッククラウドの利用が急速に拡大しましたが、同時に設定不備による情報漏洩も増加しているのが現状だと、林は説明しました。

これは、オンプレミスとは異なり、すべての責任がベンダーからユーザー側に移ったことが原因だと考えられます。パブリッククラウドには、さまざまなセキュリティ対策機能が用意されていますが、その特徴や設定方法を正確に理解し、すべてをユーザー側で行うには限界があります。

また、クラウドサービスの種類ごとにもユーザーに求める責任範囲に違いがあるため、誤解によって設定ミスや見落としが発生するケースもあります。

ラックでは、そうしたクラウドのセキュリティ設定に頭を悩ませている企業の課題を解決するために、ラック独自の脅威情報とAIによる分析エンジンを用い防御性能を向上させる「AIクラウドセキュリティ運用支援サービス」を2022年9月より提供しています。

講演2：EDRは本当に役に立つのか？運用の勘所とは？

「EDR導入の有効性と運用の勘所」
サイバー救急センター　佐藤 敦

続いて、サイバー侵害の緊急事故対応を行う「サイバー119」と「マネージドEDR」サービスを提供しているサイバー救急センターの佐藤から「EDR導入の有効性と運用の勘所」の解説がありました。

本セッションでは、ランサムウェア対策にエンドポイントでサイバー侵害を検知して対応を可能にするEDRは役立つのか、運用上の課題は何かといった観点で、緊急事故対応サービス「サイバー119」、EDRの監視を行う「マネージドEDRサービス」における知見をベースに、EDR選定時および導入後の運用で気を付けるべきポイントの整理、EDR導入のメリット、製品選定のポイントを紹介しています。

最初に、テレワーク環境の増加で新たに設置されたVPN機器の脆弱性を狙った攻撃や、手に入れたアカウント情報を使った侵入が増えていると佐藤は語りました。

これまでの対策では既知の脅威の検知・防御が行われてきましたが、現在はウイルス対策を回避する未知の脅威が増加しています。これに対応するためには、不審な挙動を見つける監視カメラのような役割のEDRが必要になります。

EDRは、PC上で発生する様々な動作のログを全て収集し、セキュリティベンダーが保有する脅威情報と照らし、脅威分析ロジックを用いて分析し、不審な挙動を管理者に通知します。そして、アラートを受け取った管理者は、侵害の可能性のある端末をネットワークから切り離す処理を行うことができるようになるのです。

続いて、佐藤はEDRを選ぶ基準として4つのポイントを挙げました。

1. ログが適切に記録されているか
2. 検知ロジックが自動更新されるか
3. インシデント発生時に詳細な調査をできる内容か
4. インシデント発生時にリモート操作可能か

この中では、特にログの記録方式が最も重要だといいます。その方式には事故発生時、事故前後のイベントのみ記録を残す「イベント検知方式」と、すべての挙動を記録する「常時記録方式」があります。

「イベント検知方式」では不審な挙動と判断されなければログが残らないためインシデント発生時に十分な調査ができないことがあります。一方、「常時記録方式」では、不審な挙動の詳細な調査に必要なログがすべて残っていることがメリットです。しかし、膨大なログの中から調査を進めるには、専門知識やノウハウが必要になります。佐藤は、ラックのセキュリティ専門家が提供するアラート監視、PC隔離を24時間365日対応する「マネージドEDRサービス」を解説して発表を締めくくりました。

講演3：EDRだけで未知の脅威への対応は十分なのか？

「内部ネットワークに蔓延する攻撃を検知するNDRと、MSSの連携」
JSOC分析部　齊藤 卓

齊藤は、組織内のネットワークを監視してサイバー侵害を検知することで対応を促すNDR（Network Detection and Response）について解説しました。NDRは、挙動監視では気づきにくいマルウェア感染被害に見られるマルウェアを制御する攻撃者のC&C（Command and Control server / C2）サーバからの攻撃指示、内部での侵入拡大、データ収集、持ち出しについての対策で効果を発揮します。

また、マルウェア感染を検知するだけでなく、ネットワーク上に存在する管理もれの機器、外から接続された新たな機器などの非管理端末の可視化にも役立ちます。NDRは、AIなど最新の技術活用、検知ロジックの更新頻度が高いなど、対応のスピード感は評価できますが、現状では、過検知、誤検知も多く、専門家の目線による選別が必要な段階だと齊藤は語りました。

ラックのセキュリティ監視センターJSOCでは、NDRによる監視メニューの追加を予定しており、JSOCを利用するお客様だけでなく、現在利用していないお客様にも専門家のスキル、ノウハウを提供できるよう準備を進めています。

アンケート結果からわかったMSSへの強い関心

本セミナーのアンケート結果からは、参加者が現状のセキュリティ対策に、「課題を感じた」「少し課題を感じた」という回答が9割を超え、MSSに対して強い関心があることがわかりました。特にラックが提供できる具体的な商品・サービスについて詳しい説明を求める声を多くいただきました。

また、参加者の中には具体的にどこまで対策していいかわからないという方も数多くいらっしゃいました。私たちは、そのような方々に向け、引き続き、最新の脅威トレンド、最新のセキュリティ技術、セキュリティ対策指針などを、わかりやすく解説する啓発活動を続けていきます。

ウェビナー動画