想定外のインシデントに真価を発揮!証跡重視型EDR  InfoTrace Mark II

100%防御できるサイバー攻撃対策はない

 巧妙化、高度化するサイバー攻撃。振る舞い検知やサンドボックス型侵入検知、AIや脅威情報を活用した各種対策によって多層防御しても、サイバー攻撃を完璧に防御することはできません。攻撃テクニックが日々進化し、周到に用意されたソーシャルエンジニアリングのシナリオにより従業員が攻撃者に騙される今日、十分に対策した組織においても100%攻撃を防御することは難しいことを認めざるを得ない時代になりました。

防御だけでは不十分。素早い状況把握と対応が求められる時代

 サイバー攻撃が発覚した場合、一刻も早く被害状況や侵入経緯を把握して、被害をこれ以上広げないよう封じ込めることは当然ですが、ステークホルダー(顧客・取引先、株主、従業員など)に対しても、しかるべき情報開示を行っていくことが求められます。侵入を前提とした対策の重要性は知られているものの、そこまで手が回っていないことも多く、情報開示に時間がかかり、被害報告が二転三転する事態になっているケースも少なくありません。

 昨今では、ターゲット組織に直接攻撃を行うのではなく、その取引先や関連企業を踏み台にして最終ターゲットに攻撃を展開する「サプライチェーン攻撃」に対抗するため、取引先にセキュリティ対策を求め、対策状況の開示を要求する企業も増えてきました。侵害が疑われる事象があった場合に、事実関係を十分に確認できない環境のままでは、サプライチェーンに対する説明責任が果たせなくなりつつあります。

 こうした背景を踏まえ、侵害を前提とした対策として、サイバー攻撃の主戦場とも言えるエンドポイント(端末)での証跡ログが注目されています。

従来のPC操作ログでは不十分なのか?

 内部不正対策として開発されたPC操作ログ製品では、端末の操作ユーザー操作は記録されても、バックグラウンドで行われるマルウェア(ウイルスなどの不正プログラム)の挙動が記録されない場合があります。例えばプログラムの起動(プロセス)はカーネルレベルで監視していないと監視漏れがあるなど、サイバー攻撃の侵害調査に足る情報が得られないことがあります。

 また昨今のサイバー攻撃では、セキュリティ製品を停止するなどの妨害行為や、ログや痕跡の削除が頻繁に行われるため、内部不正対策ではなくサイバー攻撃の調査に利用するならこうした観点での耐タンパー性も必要となります。

侵害を前提とした対策「EDR」と証跡ログ

 EDR(Endpoint Detection and Response:エンドポイントでの攻撃検知と対応を行うソリューション)は、侵害を前提として、サイバー攻撃が発生したときにエンドポイントの状況をいち早く把握し、被害端末の隔離を行うべく生まれたソリューションです。多くの EDRでは、異常として検知した侵害事象や関連ファイルについては豊富な情報を記録するものの、検知しなかった事象 に関しては記録しないか直近の情報しか保持しないことが多く、また内部不正対策として必要となるユーザーの操作記録に注力しているわけではないため、PC操作ログをやめてEDRだけにするというわけにもいかないことがほとんどです。

 サイバー攻撃に情報を絞って記録するこうしたEDRの在り方も現在では一般的ですが、検知が困難なサプライチェーン攻撃やソーシャルエンジニアリング攻撃の増加とともに、今後、攻撃検知有無に関わらない証跡やユーザー操作の記録をどのように残していくのかが課題になってきました。

想定外の侵害に真価を発揮する証跡重視型EDR  InfoTrace Mark II

 ソリトンシステムズのInfoTrace Mark IIは、サイバー攻撃と内部不正両方の証跡ログを残すことが可能なEDRです。攻撃検知に関わらず、フライトレコーダーのように端末の操作を常時記録することで、いち早い被害範囲の特定を支援します。

 被害端末を特定できたら、管理用通信を残してネットワークから隔離(論理抜線)したり、マルウェアと疑われるファイルの実行を禁止したりする初動対応が可能です。管理者によるリモートからのマルウェア感染端末を隔離は、特に拠点が多い組織においては、被害を最小限に食い止めるために重要な機能となります。

 InfoTrace Mark IIは、内部不正だけではなくサイバー攻撃についても十分な記録を残すために、カーネルレベルでプロセス・ファイル・ネットワーク・レジストリを監視・記録しています。こうして記録されたログは、ログ分析アプライアンスMark II Analyzerで分析され、サイバー攻撃やコンプライアンス違反の兆候を洗い出すだけでなく、ハンティング機能によって不審ファイルのハッシュ値(SHA256)やファイル名等の情報を基に、そのファイルを現在保持している端末を探し出すことが可能です。

 一つ誤れば経営を左右しかねないサイバー攻撃対応。侵害調査に必要な情報の記録は、インシデント発生後から慌ててもどうすることもできないため、あらかじめ証跡ログを残す環境を整備しておくしかありません。サイバー攻撃・内部不正対策に共通して利用可能な証跡を残すことを重視したInfoTrace Mark IIは、従来対策で検知できない想定外のインシデントが発生した際に真価を発揮します。

提供:株式会社ソリトンシステムズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年10月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]