インシデント発生後の対応に困らない、EDR導入のすすめ

サイバー救急センターの関です。

「出社してみたらさまざまなサーバがまともに動かず、どうやらランサムウェアにやられてしまったようだ」
「『外部の掲示板で個人情報を漏洩させるぞ』という脅迫を受け取った」
こんなとき、皆さんならどうしますか？
何から手を付け、どう対処すべきかを瞬時に判断できず、右往左往しても無理はありません。

企業で情報セキュリティ事故が発生した際のSOSに、24時間365日体制で応えるサイバー救急センターで、のべ3,000件以上のインシデント対応をしてきた立場から、いざというときに慌てず騒がず、適切な対応をするための最適解をご紹介します。

はじめに

さまざまなメディアでも指摘されているとおり、最近のサイバー攻撃は高度化、巧妙化が進んでいます。ひとたびセキュリティインシデントが発生すると、まさに氷山と同じで、目に見える範囲の被害だけがすべてではありません。最初の侵入の糸口となった端末と、そこから広がっていった侵害の後をたどって調査していかなければ、被害の拡大状況やどんな情報が盗まれた恐れがあるのかを明らかにできませんし、対外的な説明責任も果たせません。

このような状況において、最も守りにくかったのはエンドポイントだと言えます。なぜなら、エンドユーザーの日々のデバイス上での操作は様々なパターンがあるため、制限してしまうとコンピューティングの活用に重大な齟齬が生じる可能性があるからです。また、多くの人間が関与することで、操作ミスなどの可能性も高く、攻撃者に付け込まれやすくなります。

エンドポイントセキュリティにおける現時点での最適解

それでもエンドポイントにおいて、待望の銀の弾丸になりうる可能性の高いセキュリティ対策製品が出てきました。それがEDR（Endpoint Detection and Response）です。EDRにはセンサー機能があり、対象のデバイスに起きた不正な動きや状況を把握できます。また、IDセキュリティやNDR（Network Detection and Response）と組み合わせることによって、エンドポイントをこれまでとは比較にならないほどに守りやすくできるのです。

しかし、EDRも万能ではありません。アラート対応の際の運用が難しいという課題があります。例えば、EDRは何かの不正な動きがあったと判断した場合、アラートを出します。そのアラートが誤検知なのか、それとも重大なインシデントが発生しているかということを見定めることは非常に難しいと言わざるを得ません。

適切にアラート対応をするためには、攻撃者が使う典型的な動きや攻撃手法への知見が必要です。その知見を基に、アラートがどのような状況を示しているかを判断し、対応方法を考えなくてはなりません。攻撃者の目的を未然に防ぐには、攻撃を検知してから、出来るだけ早く攻撃への有効な対策を取る必要があり、時間との戦いです。そのため、スムーズな運用を実現するには、攻撃に対する知見と経験値、そして技術力が必要になります。つまり、EDRを使ったセキュリティ対策は非常に効果が高いものの、運用面での課題があるため、世の中に浸透したとはまだ言えない状況です。

EDRの導入を阻む「運用の壁」

もちろん、EDRのアラートを的確に捌くための知見や経験値、技術力は一朝一夕に身に付くものではありません。そのため、この運用は専門家に任せるのが最も効率的な対応策でしょう。

ラックの代表的なセキュリティサービスに、「JSOC」と「サイバー救急センター」があります。JSOCは、セキュリティ対策製品やネットワーク機器の監視を行うことで攻撃を検知し、サイバー救急センターはインシデントが発生してしまった場合の緊急対応をするサービスです。この2つのサービスは非常に親和性が高く、攻撃の検知と対応という両輪となり、被害の拡大を防ぐことができます。

この2つのサービスの分野で国内でのパイオニアでもあるラックには、EDRに必要な知見、経験値、技術力のすべてが国内最高レベルに揃っています。EDRの効果を理解し、導入を検討しているものの、運用面での課題を抱えて導入を躊躇している企業や組織は少なくありません。私たちサイバー救急センターは、このEDRの「運用の壁」を乗り越えてもらうために、サイバー救急センターがEDRの監視・分析・対応といったセキュリティ運用の支援をする「マネージドEDRサービス」を提供しています。

インシデント対応のスピード向上の課題

EDRを導入することで、調査に時間がかかるという課題が解決します。インシデントが発生した際、原因究明のためにコンピュータに残された痕跡を調査する「フォレンジック」という手法で調査することにより、「何が起こったか」をかなりの割合で明らかにすることは可能です。ですが、正しい手順を踏んでデータを保全して解析する必要があるため、調査そのものに時間がかかります。さらに、インシデント発生以前のデータ保全、準備に数日かかる場合もあり、お客様に最終的な報告をお伝えするのに10営業日程度かかっていました。

繰り返しになりますが、サイバー攻撃は時間との戦いです。思いも寄らない範囲まで被害が広がっていると、初期対応こそ完了しても本質的な対策にならず、また別のところで火を噴く恐れがあります。こうした問題意識に立ってサイバー救急センターでは、サービスの改善・強化に務めています。その一つが、EDR製品とフォレンジック技術のインシデント調査への活用です。

ラックが提供しているEDR製品は、インシデント対応のしやすさと調査のスピード感を重視しています。特にパートナーアワードを受賞しているCrowdStrike社のEDR製品は、ユーザーモードではなくカーネルモードで動作し、端末に大きな負荷を与えることなく詳細な情報を収集できることが特徴です。また、常時記録タイプであるため、軽微なイベントや何もイベントが起きていなくても端末の状態を記録してくれます。ドライブレコーダーで言えば、衝突直前の映像だけでなく、常に記録をしてくれているようなイメージです。

さらに、「Falcon OverWatch」という脅威ハンティングサービスも提供しています。ツールに加え、専門家の目によって積極的に脅威を探し出すもので、なるべく怪しく見せかけないように工夫したWindows OSの標準機能などを悪用する最近の攻撃を見つけ出し、警告します。

安全宣言を出し、業務を通常モードに戻すのに必要なこと

一通りインシデント対応が終わったあとは、詳細な調査結果に基づいて再発防止策を打っていきます。救急センターではそのプロセスもお手伝いしていますが、そのときよく相談を受けるのが、「いつ安全宣言を出せばいいだろうか」ということです。ひとまず初期対応は終えたものの、社内のどこかにまだ脅威が潜んでいると、同じようなインシデントが再発する恐れがあります。下手をすると「この前もう大丈夫と言ったのに......」と、取引先や顧客からの信頼を損ねることになりかねません。

それを防ぐには、全社の端末を対象に侵害調査サービスを行い、クリーンな状態かどうかを確かめることが一番です。すべての端末が正常であると確認できれば、安心して「対処は終わりました、もう安全です」と、業務を通常モードに戻すことができます。

ただ、侵害調査サービスはあくまで「事後」の対応です。もしここにEDRによる常時監視で見つけた材料を組み合わせることができれば、手がかりが増え、より多面的に解析して原因を見つけやすくなるでしょう。インシデントを経験し、迅速な検知や対応の重要性を身にしみて感じたお客様の中には、事後も継続的に監視を行い、不審な兆候がないかどうかを確認するためにEDRを本格導入するケースが増えています。

このとき、インシデント対応に当たったサイバー救急センターがその後もEDRを見ていくことにより、より質の高い監視が可能になります。「前回のインシデントでは、この国の支社で起きた侵害がきっかけになっていた」という知見と、ラックが日々の監視で得ている攻撃動向を組み合わせて見ていくことにより、何か新たなインシデントがあってもすぐに分かります。このように、過去のインシデント対応の知見、お客様にとっては苦い経験を良薬として生かせるのが、大きなメリットです。

なお、サイバー救急センターではマイクロソフトが提供する「Microsoft Defender for Endpoint」を活用した検知も可能です。Microsoft Defender for Endpointは、何と言ってもWindows OSとの親和性が高く、アップデートのたびに動作検証を行わなくても済むといった利点があります。これに対しCrowdStrikeは、より深い分析・検知が可能で、細かな兆候を逃さず捉えられることが特徴です。

リスクベースの考え方に沿って全体の戦略を

サイバー救急センターが提供するマネージドEDRサービスの活用によって、既存のセキュリティ対策をさらに一歩進めることができます。ただ、セキュリティのあらゆるソリューションに言えることですが、EDRも「これさえあればもう大丈夫」とはなりません。セキュリティ対策の基本は「必要最小限」です。ファイアウォールがフルオープンの設定でどんな通信でも到達できるようになっていたり、アクセス権限を必要以上に多くの人に与えていたりすれば、たとえどれほどEDRで見張っていたとしても意味がないでしょう。

逆に、さまざまな設定や権限を最小化、最適化した状態であればさまざまな攻撃から守りやすくなりますし、仮に侵害されたとしてもすぐ気付きやすくなります。特に最近の攻撃傾向ではエンドポイントが狙われやすいことを踏まえると、EDRを含めた多層防御というアプローチが重要です。もしかすると中には多層防御という単語を聞いて、「また何か買わなきゃいけないの？」と、ちょっとうんざりされた方がいるかもしれません。ですが、一歩引いてリスクベースで全体像を見ていただければと思います。

何より大事なのは「自分たちは何を守りたいのか」「それを取り巻くリスクは何か」をまず最初に考えることです。そして、優先順位と予算に沿って戦略を立てれば、「まずはここから対策しよう」「今年は予算がないけれど、次はここの体制を整えよう」と打つべき手が見えてくると思います。もちろん、昨今の新型コロナウイルスの影響やDXといった具合に環境はどんどん変わっていくので、その変化を踏まえてリスクを定期的に見直すことも重要です。

何かが起きてからでは無く今のうちから、皆さんの組織や企業にとってどのようなIT環境を維持することが重要かを考え、守るための戦略を立ててください。ラックは全力でお手伝いしますので、ぜひお気軽にご相談いただけると幸いです。

なお、ZDNet Japanの記事でもCrowdStrikeのEDR製品についてお話ししましたので、ぜひご覧ください。

『成長を続けるEDR市場とCrowdStrikeの今後の戦略』
前編：成長を続けるEDR市場とCrowdStrikeの今後の戦略 - ZDNet Japan
後編：データで見る最新のセキュリティ動向と、対策にEDRが必要である理由 - ZDNet Japan