ネットワールドは4月13日、セキュリティセミナー「侵入前提で迎え撃て! パイオニア3社 vs 未知のマルウェア ~大流行のEDRや今時のエンドポイント対策、さらにVMware AppDefense事例をどこよりも早くお届け~」を開催した。パイオニアとして業界をリードしてきたCarbon Black、IBM、VMwareの3社が集い、エンドポイントやITインフラにおける「セキュリティのあるべき姿」を提示した。当日の模様をレポートしよう。
EDRのパイオニアCarbon Blackが明かす
侵入を前提とした対策にEDRが有効なワケ
最初に登壇したのは、"EDRのパイオニア"であるCarbon Blackだ。現在のエンドポイント・セキュリティでは、従来型のウイルス対策ソフトのように単にマルウェアを見つけて駆除するだけでなく、非マルウェア攻撃を含めて継続的に脅威を検知し、迅速に対処できるソリューションが求められている。
カーボン・ブラック・ジャパン
カントリーマネージャー
西村雅博氏
カーボン・ブラック・ジャパンのカントリーマネージャー西村雅博氏は「Verizon社の調査によると、未知/既知のマルウェアやランサムウェアによって引き起こされた情報漏えいは全体の47%。これに対し、メモリ攻撃やマクロ、PowerShell、リモートログインなどの非マルウェア攻撃による情報漏えいは53%。非マルウェア攻撃の対策に加えて、侵入されることを前提にした対策が必須の状況です」と現状を解説した。
非マルウェア攻撃はなぜ既存の製品では防げないのか。
続いて登壇したテクニカルディレクター・エバンジェリストの李奇・リチャード氏は「PowerShellやマクロ、WMIを使う攻撃はWindowsに備わる正規のアプリケーションを悪用します。ちょうどダークサイドに落ちたジェダイのようなもので、攻撃者が悪者だとはすぐにわからないのです。そこで重要になるのが一連の動作をモニタリングすることです」と説明した。
このモニタリングがCarbon Blackが提供するストリーミングプリベンション技術だ。ストリーミングプリベンションは、セキュリティイベントを継続的に記録してタグ付けし解析と防止を行っていく。数多くの攻撃を解析するとある程度パターンが見えるため、ストリーミングを見ただけで攻撃が発生したかどうかが検知できるという。
リチャード氏によると、AIによるマルウェア検知が登場したがAIは1つの技術にすぎない。「AIは、C3POやR2D2のようなロボットにすぎません。これに対し、ストリーミングプリベンションは映画を鑑賞しているオーディエンスです。誰が悪者で何が起こったかを知っています」(同氏)
カーボン・ブラック・ジャパン
テクニカルディレクター
エバンジェリスト
李奇・リチャード氏
Carbon Blackが提供する「Cb Defense」は、こうした次世代型のアンチウイルス機能に加えて、万が一の感染時の対応を行うためのEDR(Endpoint Detection and Response:エンドポイントの検知と対処)機能を提供する。競合優位性として、すべてのプロセスをモニタリングすること、ログを長期保存すること、インシデント・レスポンスに必要な十分な情報を提供すること、リモート操作などの豊富な復旧支援機能といった特徴を備える。
そのうえでリチャード氏は「AIなどを使ったどんなに優れた製品でも100%の防御は不可能です。これからの対策には、エンドポイントを防御する機能と、防御をすり抜けた脅威を検知し対応するEDRの両方が必要です」と訴えた。
コンピュータのパイオニアIBMが明かす
新しいインテリジェントなSIEMの姿
続いて登壇したのは、"コンピュータのパイオニア"であるIBMだ。セキュリティ事業でもSOC (Security Operation Center)運営やセキュリティソリューションの提供で業界のリーダー的ポジションにある。監視イベントは1日350億件に達し、グローバルで8000名のセキュリティ専門家を抱え、7つドメインでセキュリティフレームワークのすべてをカバーする唯一のベンダーだ。
日本IBMのセキュリティーシステムズ事業部 ビジネスパートナー営業部 新堀公章氏は、そのなかから2011年に買収してSIEM(Security Information and Event Management:セキュリティ情報とイベント管理)ソリューションとして提供している「IBM QRadar」を中心に最近の脅威動向やSIEMのメリットを解説した。
日本アイ・ビー・エム株式会社
セキュリティーシステム事業部
ビジネスパートナー営業部
新堀公章氏
新堀氏はまず、標的型攻撃や内部犯行など「見えない攻撃」が増えており、それを完璧に防ぐ製品やソリューションは存在しないと指摘。そのうえで「見えない攻撃に対応するためには、従来監視対象としていなかった正常系のログやネットワーク・フローの傾向分析などを利用する必要があります。このような膨大なログやフローは人の目では判定し難いため、SIEMによる自動分析が有効です。」と解説した。
SIEMを使ってインシデントを早期検知するポイントは、入口・出口・内部対策で実装されている複数機器からのログやアラートを集約して分析することだ。攻撃は、初期導入、攻撃基盤構築、システム調査、目的遂行というステップで進むが、その際の挙動を「積極的に検知する仕組み」によって、甚大な被害をもたらす前に適切な判断がタイムリーにとれることを目指す。
そこで有効なのがQRadarだ。QRadarの特徴は、リアルタイムにログを収集・動的に相関分析を実行し、リアルタイムに問題を把握することだ。システム全体が"可視化"されるため、誰がいつ何をしたかが手に取るように分かるようになる。
「QRadarは、一般的なSIEMのようにログ管理やイベント相関だけでなく、ネットワークのアクティビティーと振舞いまでを分析し、自動的なディスカバリーを実現します。これはSIEMからセキュリティ・インテリジェンスへの進化と言えます」(新堀氏)
QRadarのもう1つの特徴は、Carbon BlackのCb Defenseをはじめとしたサードパーティー製品と密接に連携できることだ。もともとIBMはEDR製品を保有していたが、今後はCb DefenseをOEMで提供する方針だ。新堀氏は「Cb DefenseとQRadarの組み合わせにより、脅威にインテリジェントに対応していくことができます」と強調した。