NGAVとの2段構えでコモディティ化したEDR
EDR市場は成長を続けていますが、ベンダーの立場から見たEDRが求められる現状とその理由についてお話しください。
クラウドストライク株式会社
社長 河合哲也氏
河合氏 CrowdStrikeがEDR製品を発売したのは5年前ですが、当時のEDRは尖ったインターネットビジネスをしているユーザー向けの最先端技術という位置付けでした。それが今では、大企業ではほとんど導入または検討している状況で、中堅中小企業でもITへの依存度が高い企業は導入し、アンチウイルス(AV)と同様なコモディティな存在になっています。
現在のセキュリティ対策は、従来のような防御一辺倒の構えから、侵入されることを前提とし、ログを取ってそこから検知・対応する力を持つという形に変わりつつあります。背景にあるのが、多発する情報漏洩やランサムウェアの被害です。みなAVを入れてしっかり運用していたのに、被害が出ているのです。
今の攻撃はマルウェアフリーと呼ばれる形式で、従来のシグネチャベースでスキャンする方法では、大半の攻撃は対処できません。そこでファイルではなく、振舞いを見つけていくという次世代アンチウイルス(NGAV)が登場しましたが、NGAVでは止められない攻撃も出てきていて、それをEDRで守っていく形の2段階防御が行われています。
ただし、従来のEPPが全てEDRに置き換わることはありません。物理セキュリティに置き換えて考えるとわかりやすいのですが、例えばマンションのセキュリティを考える時、最初にオートロックを付けます。これで9割以上の侵入は防げますが、プロはそこをすり抜けるので、オートロックで防げないところを警備会社と契約し監視カメラを付けて常時監視するという形になります。
それと同様に、簡単な攻撃はAVで止めてレベルの高い攻撃にフォーカスし、EDRで人が監視するのが一番効率的な方法です。そういう意味で、従来のEPPとEDRの2段構えが今はベストだと思います。
関氏 現在はファイルレスやハッキングツールを使った、非マルウェア攻撃が増えているので、対策の際に小さいものはEPPで叩き落し、じっくり見ないといけないものをEDRで見る形でトリアージをします。現場でもそのような事案が増えてきていますね。
標的型、最新のランサム攻撃に効果を発揮
EDRがあると迅速に対策できる、防げるという具体例は?
株式会社ラック
CEC センター長 関宏介氏
関氏 EDRが効果を発揮するものに、まず標的型攻撃が挙げられます。この場合、標的型メール、水飲み場攻撃などを介して組織の中に侵入し、中で昇格して最終的にデータを盗んでいくのですが、Windowsが持っている基本機能などを使って正常を装うので、従来型EPPでの対応は困難です。
最近増えているのは、ゲートウェイを狙った攻撃です。VPN機器の脆弱性を突いて侵入する場合マルウェアとして検知するのは難しく、従来の手法では防げません。ランサムウェアでも、最近はこの手の手法が多く使われています。今までのばらまき型ランサムウェアとは違い、人手を介したハッキングツールやWindowsの標準機能を使ってくることが多いので、その対策にEDRが適しています。
侵入されて数週間経ってから、AVがシグネチャのアップデートで突然攻撃を検知することもありますが、侵入された時期まではわかりません。駆除するだけでは侵入口が塞がれていないため、また次の被害が起きます。そこを調べる際にEDRでしっかり監視していれば、見つかったマルウェアがどこからコピーされ、どんな通信をし、どう設定を変えてきたかわかります。
日本企業のEPPは暗号化やAVなどピンポイント対策が多く、ネットワークを重視する傾向があります。エンドポイントは数が膨大なので管理が難しいことがネックになり、その時点で諦めてしまっていたようにも感じますが、そこをEDRはカバーできますか?
関氏 今ではネットワーク監視からエンドポイント監視に必要性も切り替わってきています。そこはEDRでしっかりカバーできますね。
河合氏 やはりIT担当の方が大事にするのは基幹サーバーやネットワークで、PCが軽く見られていた感は否めません。ただ昨年のコロナの影響でPCが外に出て、テレワーク・コロナ対策でエンドポイントセキュリティの優先度が上がり、EDRに予算を取りやすくなったと感じます。
コロナ後にサイバーセキュリティの風向きはどう変わるのでしょう。
河合氏 将来予測の年度が2-3年前倒しされましたね。CrowdStrikeもEDRのほか、ID周りやクラウドセキュリティポスチャー管理(Cloud Security Posture Management、:CSPM)までラインアップが広がってきています。我々のコアテクノロジーを使って対応範囲を広げていますが、お客様のニーズが前倒しされていて、急いで開発を進めているところです。
またPCが外に出るようになり、ゼロトラストが注目されています。セキュリティの考え方やアーキテクチャを変えていかないと守れないという認識が浸透しつつあり、新しい投資が必要という機運が高まっていると感じます。
CrowdStrikeが選ばれる2つの理由とは
EDR製品の中で、CrowdStrikeが選ばれている理由はどこにあるのでしょうか。
河合氏 大きく2つありますが、まずはEDRの動作モードです。EDRはエージェントが奥深いところで動作するカーネルモードと、アプリケーションの浅いところで動くユーザーモードの製品に分かれますが、CrowdStrikeは前者です。マルウェアを発見した際、ユーザーモードだとファイルのリードライトの有無、レジストリの書き換えなどの情報は取れません。EDRとして何が起きたのかをしっかりと見て対処を考えるという意味では、カーネルモードは必須です。
また最近の攻撃者は、侵入後にAVやEDRのエージェントを排除しようとします。ユーザーモードのEDRは簡単に殺されてしまい、何も記録は残りません。カーネルモードで走るランサムウェアもあり、これはカーネルモードのAVやEDRでないと止められません。
もう1つは何でしょうか。
河合氏 脅威ハンティングを24時間365日人の目でおこなう「Falcon Overwatch」というサービスです。攻撃者もEDRのかわし方を必死に研究している中で、規則性を人が見つけ、まずい動きをお客様やサービス事業者に緊急通知して対処してもらうことで、EDRをすり抜けても被害が起きないようにしています。CrowdStrikeでは基本的にEDRを脅威ハンティングなしで売っていません。
関氏 CrowdStrikeの良い点は、まず監視カメラである記録の仕方がイベント型でなく、常時録画型であることです。インシデントが起きた際、必要なデータがたまっているので、どんなことが起きたのかを調査できます。
他の製品と比べて動作が軽いことやMacに早期に対応し、Windowsと同等のEDR機能をMacに対しても提供していることもお客様に受け入れられやすいポイントです。
Overwatch、脅威分析チームが非常に優秀であることも大きいですね。監視カメラは撮っているだけでなく、そこで攻撃を早期発見し未然に防ぐ必要がありますが、アナリストが見ていて対応が速いです。
システムが軽い理由は?
河合氏 CrowdStrikeでは、30MBのエージェントが全ての機能を受け持ちます。エージェントのセンサーがクラウドにデータを効率的に送り、クラウド側で処理をするアーキテクチャを採っていますが、このセンサーの作り方と、クラウドでの超ビッグデータとリアルタイムAI処理が他社の真似できない部分です。
アワードを受賞した三方良しのビジネスモデル
今回ラックが「Best Enterprise of the Year Japan 2020」と「Best Partner of the Year Japan 2020」の2つの賞を頂きました。各賞の位置付けと、授賞理由を教えてください。
河合氏 前者は、従業員数2500人以上の大企業セグメントでのベストパートナー、後者は中堅中小領域も含めた総合的なベストパートナーとなります。授賞理由としては、数字面もありますが、内容も素晴らしく、CECに入ってきたインシデントの連絡から、我々のテクノロジーを使って対応をおこない、その後の導入提案もしていただいて、お客様の環境を安全に運用されています。こういったビジネスモデルで成功していることは、ラックと我々、お客様にとってベストなシナリオだと思います。
関氏 我々としても嬉しいです。様々なお客様に対してインシデント対応をして信頼を得て、その中で引き続き監視をしてはどうかとEDRを提案してお客様に認めていただいたことが受賞の要因と思っています。
CrowdStrikeが描く成長戦略とラックへの期待
CrowdStrikeとしての今後の成長戦略と、戦略の達成のためにラックに要望することをお聞かせください。
河合氏 我々の成長戦略には、スピードと広さというベクトルがあります。まずスピードですが、最近の攻撃は侵入から内部での横展開が始まるまで数時間と言われ、いかに早く攻撃者とのスピード勝負に勝てるかが重要になります。
我々には、1分で検知し、10分でそれが何かを解析し、60分以内に対処を終えるという「1、10、60ルール」があります。その理想に向かって我々も技術を開発していくので、ラックさんにも攻撃者とのスピード競争を一緒に戦っていただきたいですね。侵入されるのは仕方がなく、被害をいかに食い止めるかが鍵になります。そのためにはベストなテクノロジーとサービスの組合せ、両方が大事です。是非スピードを一緒に追及していただきたいと思います。
広さに関しては、例えばEDRでもそれぞれのホストにOSのセキュリティやAVの設定状況に応じてスコアリングをしていますが、スコアが落ちた場合クラウドアプリを使わせないなど、他社と連携してサービスの幅を広げています。このようにテクノロジーが広がっているので是非キャッチアップしていただき、攻撃のリスク最小化を共に追い求めて欲しいです。それで日本から一切被害をなくしていきたいので、ラックさんにはそのようなパートナーであり続けていただきたいですね。
スピードと広さいうことで、CrowdStrikeがCECにもたらした効果と、他のソリューションとの連携は?
関氏 以前は調査をする際、1台1台ディープフォレンジックという方法を使っていたのですが、CrowdStrikeのサービスを使って、全台にファストフォレンジックをかけられるようになりました。我々が悩んでいたところを解決してもらえてとても助かっています。
構想段階なのですが、個人的にはセキュリティ運用自動化(Security Orchestration, Automation and Response:SOAR)製品と組み合わせて、お客様に対してより早い対処を可能にしたいと考えています。今後のセキュリティの要になってくるのは、エンドポイントとクラウドです。そこにCrowdStrikeが幅を広げていくところをキャッチアップし、我々としても重要と思っているところをカバーしていきたいです。
河合氏 セキュリティの進化に合わせ、我々も進化しなければなりません。その際、我々1社だけでできるものではなく、パートナーとの連携も重要になります。現状ではEDRの活用が最適解ですが、日々テクノロジーが変わっていて我々も進化しているので、それらをタイムリーに使っていただければ幸いです。
