フォレンジックがもたらす効果
Cisco AMPは、端末(Windows PCやLinuxマシン、Android端末など)側に組み込むことも可能であり、そうすることで、「マルウェア侵入後の対策」を強化することができる。
例えば、端末側でCisco AMPを動作させることで、「デバイストラジェクトリ」機能が用いられるようになる。これは、マルウェアに感染した端末内において、マルウェアがどのように動いてきたかを可視化する機能だ。この機能によって、「(マルウェアが)どのブラウザを使って、どのサイトから、どういったファイルとしてダウンロードされたか」が可視化され、マルウェアの感染経路が簡単に把握できるようになる。また、Cisco AMPを用いれば、「いつ、どの端末にマルウェアが感染したか」も分析できる。そのため、マルウェアの感染範囲を特定するのも容易だ。さらに、マルウェアを検知した時点で他の端末への感染をブロックすることもできる。
こうしたCisco AMPのメリットについて、シスコの西 豪宏 セキュリティ事業SEマネジャーはこう説く。
シスコシステムズ合同会社
セキュリティ事業
SEマネージャー
西 豪宏氏
「マルウェアの変化が激しい今日では、入口での検疫時点で"白"と判定されたファイルが、のちの分析で"黒"と判定されるケースが起こり得ます。通常のウイルス検疫ソフトウェアは、検疫をかけた時点の脅威情報を基に、白か黒かを判定する機能しか備えていないので、検疫を通過させたファイルがのちにマルウェアと分かっても対処のしようがありません。それに対して、不審なファイルの動きを追尾しているCisco AMPならば、そのファイルが黒と断定された時点ですぐに捕えられるのです」
また、桜田氏は、Cisco AMPの重要なアドバンテージは、「フォレンジック」の実現にあると強調する。
「Cisco AMPで言う"フォレンジック"とは、監視カメラのように、犯罪者(マルウェア)の動きを記録し、その記録を基にマルウェアが過去に行った行為を総合的に調査・分析していくことを意味しています。こうした追跡調査により、マルウェアがどんな経路で侵入し、どのように感染を広げ、何に対して、どんな行為を働いたかが簡単に突き止められるようになるのです」
この言葉を受けたかたちで、西氏はこう付け加える。
「これまで、サイバー攻撃用のマルウェアを検知したものの、侵入経路や感染範囲、影響範囲をつかむのに長い時間と多くの人手・コストがかかるケースが大変でした。Cisco AMPを使えば、そうした手間やコストをかける必要がなくなるのです」
フォレンジックを可能とするCisco AMPは、サイバー攻撃による実害を被った企業が対外的な説明責任を果たすうえでも有効であるという。実際、サイバー攻撃で何らかの事故を引き起こした企業は、以下の事項を明確化し、説明する必要に迫られる。
- 何が起きたのか
- なぜ、起きたのか
- どこに影響があったのか
- どのように解決したのか
- 何をもって収束と見なしたのか
上の記述からも察せられるとおり、Cisco AMPの機能を用いれば、これらすべての事項について明確な答えを出すことが可能だ。
もっとも、シスコ製品によるマルウェア侵入阻止のソリューションは堅牢であり、そのガードが破られる可能性は極めて低い。また同社では、Cisco AMPによる検疫にプラスして、クラウド上のサンドボックスで、"グレー判定"のファイルを実行させ、不審な挙動を検知させる機能も提供している。それでも、侵入後の対策強化に力を注ぐ理由について、桜田氏は改めてこう訴え、話を締めくくる。
「確かに、シスコの侵入阻止のソリューションは非常に強固です。だからと言って、マルウェア侵入後のソリューションを何も提供しないという不誠実な考え方はシスコにありません。ガードが破られる可能性が"ゼロ"ではない以上、ガードが破られた後のソリューションも、あらゆる叡智と技術を結集して作り上げるのが、我々のスタンスです。Cisco AMPはそれを体現した製品と言えるのです」
