見出し画像

最新脅威にNGAV(次世代アンチウィルス)とEDRが求められる理由

Junnosuke Nakajima

ヴイエムウェアという会社で西日本の公共分野のお客様を担当しているプリセールスSEの工藤です。自治体の情報セキュリティ対策として、現在注目されている振る舞いを検知するNGAV(次世代アンチウイルス)、EDR(Endpoint Detection and Response)の必要性についてご紹介しようと思います。

従来型アンチウィルスでは昨今の脅威を防御できない時代へ

昨今のサイバー攻撃の手口の巧妙化に伴い、従来のサーバ、ネットワーク機器等のログからの調査やパターンマッチング技術による従来型アンチウィルスでは、新たな脅威への対応が難しい時代になっています。以下URLにある総務省より公表された「地方公共団体における情報セキュリティポリシーにするガイドライン(令和2年12月版)」でも解説されていますが、現行の「ファイル無害化」に加え、「振る舞い検知」や「EDR」、「サンドボックス」による『多層防御』を整備することが求められているのが現状です

https://www.soumu.go.jp/main_content/000726079.pdf

画像8

近年はファイルレス、Living off the Land攻撃と呼ばれる攻撃手法にて、システム上に既に存在する正規ツールを悪用することが特徴です。ここでの正規ツールとは、PowerShell等のOSに標準搭載されているツールを指しており、これらを悪用して攻撃することで、本来の目的に使われるべき正規ツール(PowerShell等)を監視することができない従来型アンチウィルスはどうしても防御することができません。

NGAV(次世代アンチウィルス)とEDR(Endpoint Detection and Response)の必要性

はじめに、NGAVの必要性について、お話したいと思います。近年の新たな脅威において「ファイルレス」、「Living off the Land攻撃」と呼ばれる攻撃手法にてシステム上に既に存在する正規ツールを悪用することが特徴というお話をさせていただきました。この新たな脅威に対して、今まで利用されているような従来型アンチウィルスのパターンマッチング技術では防ぐことができない状況が増えています。

従来型アンチウイルスは、悪意のあるファイルかどうかをパターンマッチング技術によって判定するのに対し、NAGVは振る舞い検知や人工知能(AI)・機械学習の技術のような新しいテクノロジーを利用し、従来型アンチウイルスで防ぐことができない「ファイルレス」、「Living off the Land攻撃」に対して、個々のイベントだけではなく、プロセス、アプリケーション、ネットワーク、ファイルなどの一連のイベントの流れをリアルタイムで解析し、セキュリティ侵害の可能性を評価する技術(ストリーミングプリベンション)を実装しております。このNGAVの機能(振る舞い検知や人工知能(AI)・機械学習)により「ファイルレス」、「Living off the Land攻撃」などの新たな脅威からも防御することができます。

画像7

次に、EDRの必要性についてお話しします。NGAVもすり抜けるようなサイバー攻撃を受けてしまった場合を想定した場合に、「なぜ不審な通信に至ったのか?」などの状況を確認するためにも、インシデントが発生する前後のログが必要となります。しかし、今までのセキュリティ対策においては、サイバー攻撃を受けてしまったエンドポイントのログがない、または足りないケースが多く見られました。その結果、エンドポイントで「どのプロセスがいつ何をおこなったのか?」、「いつから存在していたのか?」、「他の端末で実行されていないか?」といった事象を確認できずに調査が終わってしまったケースも多いのではないでしょうか。

そこで、EDRがエンドポイントの過去の全ての操作や動作をプロセスレベルで記録・監視をすることで、サイバー攻撃に対して事象、影響範囲などを把握することができるようになります。それにより、インシデントへの迅速な対応、影響を最小化させるために必要となるわけです。つまりEDRは、サイバー攻撃を検知・対処した後も、被害にあった原因の調査や今後のセキュリティ対策に欠かせない機能となるわけです。

画像6

今後は、サイバー攻撃に対して100%は防げないことを前提としてセキュリティ対策を行うために、NGAVおよびEDRを組み合わせて、脅威に対する対策を下図のようなサイクルで強化することが、今まで以上にリスクを減らし、重要な情報を守っていくことに繋がります。

画像5

ヴイエムウェアが提供するエンドポイントセキュリティ「VMware Carbon Black」の特徴

仮想化というイメージが強いヴイエムウェアですがエンドポイントセキュリティ製品でNGAVおよびEDR機能を提供しています。ヴイエムウェアが提供するエンドポイントセキュリティ製品「VMware Carbon Black(カーボンブラック)」についてご紹介しようと思います。

VMware Carbon Blackは従来型アンチウィルス、NGAV、EDRのすべてが1つのエージェントに含まれている製品で、VMware Carbon Black の6つの特徴を下図となります。

画像4

また、VMware Carbon Black にはNGAV、EDR以外にも近年のセキュリティ対策で多く用いられる「Audit and Remediation機能」も提供します。Audit and Remediation とはITハイジーン(衛生管理)と呼ばれる、エンドポイントを常に最新かつ適正に保ち、システムの健全性を維持することで内部および外部からの脅威から保護するために継続的に行ために必要となる機能です。NGAV,EDRとAudit and Remediationを活用することでインシデントの未然防止、サイバー攻撃からの検知、防御にてリスクおよび被害を最小化させることができます。

画像3

ITハイジーンを定期的に行うことにより、エンドポイントのOSバージョンや最新パッチの適応状況などを把握し、万が一問題がある場合に遠隔地から必要な対策(Live Response機能)を行うこともできます。

画像2

ヴイエムウェアが考えるセキュリティ対策

今後は、従来からVMwareが提供している製品にCarbon Blackの機能を連携させることで、「VMware Security」として、クラウド、データセンタ、エンドポイントの全体で攻撃対象領域を縮小し、クリティカルなアプリケーションや機密データ、ユーザーに対するセキュリティリスクの低減に取り組んでいこうと考えています。

以下が具体的な提供機能の一例です。(今後提供予定機能も含む)
• vSphere へのセキュリティ機能組込 
• NSX と連携したファイアウォールルールの実装
• Workspace ONE Intelligence との連携による、端末側のポリシー変更やアクセス制御

画像1

今回ご紹介したVMware Carbon Black(カーボンブラック)は、今まで仮想化のイメージが強い弊社が提供するエンドポイントに対するセキュリティ製品ということで新鮮だったのではないでしょうか。

次回は、従来から提供している製品との連携機能についてご紹介できればと思います。