セキュリティ対策として優先すべきこととは何か
-
【講演者】
- エムオーテックス株式会社
- カスタマーサービス本部セールスエンジニア部 部長
- 兼 プロダクトマネージャー
- 西村 忍 氏
<エムオーテックス株式会社とは>
1990年に設立し、大阪を本社として従業員400名を抱えている。LANSCOPEというブランドの自社製品の開発および販売を行っているメーカーだ。また、サイバーセキュリティのコンサルティング、ソリューション導入や運用監視も行っている。
LANSCOPEは、お客様の安全と生産性向上の両立を支援するブランドだ。次の4つのサービスを軸に事業を行っている。
1つめは、組織のIT資産管理・内部不正対策・ウイルス対策をオールインワンでカバーする「エンドポイントマネージャー」だ。オンプレミス版に加え、PC・スマホの一元管理が可能なクラウド版もある。
2つめの「サイバープロテクション」は、AIを活用したアンチウイルスだ。既知はもちろん、未知・亜種のマルウェアから守るマネージドサービスを提供している。
3つめはMicrosoft 365の利用状況を可視化できる「セキュリティオーディター」、4つめはセキュリティプロフェッショナルの知見を活かしてセキュリティ診断を提供する「プロフェッショナルサービス」だ。
<セキュリティ全体の最適化が必要>
2000年以降、守るべき資産は大きく推移した。ハードの管理に始まり、次にソフトの管理、個人情報の保護、そして機密情報の保護を経て昨今ではテレワークによる仕事の見える化や出勤管理など社員を守ることが必要になっている。そこで、さまざまなセキュリティ課題に対してバランスよく管理を行うことが重要だ。
「情報セキュリティ10大脅威 2023」によると、3年連続で「ランサムウェアによる被害」が1位になった。マルウェア感染の大半がランサムウェアによる被害であり、情報の暗号化に加え、搾取など被害が拡大している。
2位は「サプライチェーンの弱点を悪用した攻撃」であった。セキュリティ対策に課題がありそうな取引先などを踏み台に、標的の大企業に不正侵入するサイバー攻撃が増加している。3位は「標的型攻撃による機密情報の窃取」であった。凶悪マルウェア「Emotet」はテイクダウンを経て活動を再開したことが確認されているため、注意が必要な状況だ。
2022年のインシデントを振り返ると、2月には脆弱性への対応漏れによる個人情報の流出、3月にはサプライチェーン攻撃により工場の稼働停止、10月にはクラウド設定ミスにより個人情報の流出、さらにランサムウェア攻撃を受けた某病院におけるシステム障害などが挙げられる。このような状況にあるので、セキュリティ対策の強化は必須だ。
<ランサムウェア攻撃増加の背景>
ランサムウェア攻撃は「ばらまき型」から「標的型」へと変化している。「標的型」はVPNなどの脆弱性をついて企業のネットワークに侵入し、ADなどからアカウント情報を搾取した上でC2サーバーなどに情報を保存する。そしてデータ復旧および情報公開の2重の要求をするものだ。
近年では、ランサムウェアを簡単に作れるRaaSサイトを利用したビジネス化が顕著だ。無料でマルウェアを提供する闇サイトが多数存在しており、成功報酬を山分けする仕組みになっている。
感染スピードが早いランサムウェアが増加していることから、事前防御がより重要になっている。ランサムウェアをダウンロードし端末への侵入を許してから3秒後には暗号化が始まり、ネットワークを介して各端末に水平展開する。
マルウェアは1日に100万個作られ、作成されてから1分以内に消滅する。また同じマルウェアが使い回される確率は0.5%だ。つまり攻撃に使用されているマルウェアは、ほぼ未知のマルウェアといえる。
対策として、ファイルの振る舞いをみて検知をするEDRが使われることが多い。しかし暗号化が始まってから検知するので、攻撃を完全に防ぎ切るのは難しい。EDRはEPPとセットで使用する仕組みの為、よりEPPが重要だ。
●求められるセキュリティ対策も高度化している
金融庁は、2022年2月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)」のアップデートを発表した。
1つめのポイントは、情報のモニタリング・サイバー演習だ。不審な動きを検知し、後追いできる仕組みが必要になる。2つめのポイントは、新たなセキュリティリスクへの対応だ。クラウドサービスへの需要が拡大しているので、新たな対策が必要になる。最後のポイントは、関係者との連携強化だ。NISCなどの関係機関から情報収集するほかに、サービスや製品を導入する際に販売店・メーカーと気軽に相談や情報交換できるかどうか今まで以上に確認する必要がある。
●テレワークの課題
テレワーク拡大に伴い、さまざまな課題を抱えている企業も多いだろう。
参考までに弊社の例をご紹介したい。現在ハイブリッドワークを採用している。基本的に週一の出社がルールだが、事業計画の検討やプロジェクトのキックオフなど対面でのコミュニケーションが必要な際には出社する。
テレワーク時の朝礼・夕礼にはバーチャルオフィスを利用、ビジネスチャットを多用しているほか、ミーティングにはTeamsやZoomを活用している。サービス残業の有無を確認するために、エンドポイントマネージャーが役立っている。パソコンのログと突合して、Webでの打刻前後に作業していないかどうか。経営層・総務・人事が日々確認している。
<エムオーテックスのソリューション>
警視庁の調査によると、被害企業・団体等の92%はウイルス対策ソフトを導入していたが83%は検出しなかったと回答した。また17%は検出したもの、そのうちの76%が被害軽減効果につながらなかったと回答していることから事前防御システムの再検討が必要だ。
●サイバープロテクション
そこで弊社ではAIを使った「サイバープロテクション」を開発した。「AIを使った高い検知力」「誤検知が少ない」「日々のアップデートが不要」という特長をもつ。
未知のマルウェアに関しても99%予測検知・隔離可能な「CylancePROTECT(EPP)」と、オプションで予防にフォーカスした「CylanceOPTICS(EDR)」を提供している。
AIによる予測検知の仕組みは、まず正常なファイルとマルウェアの収集・学習を繰り返す。教師データから700万点もの特徴点を抽出しマルウェアらしさを数値化したものと検査対象のファイルを比較して判断するというものだ。攻撃者は少しずつ改変して新規のマルウェアを作り出しているので、何かしらの特徴点と合致しやすい。
なお事後の対応には「インシデント対応サービス」がおすすめだ。国内だけでなく海外拠点とのやり取りも可能なほか、Windows以外にMacやLinuxにも対応している。調査期間が短い点が大きな特長だ。
●エンドポイントマネージャー
外部脅威だけでなく内部不正ほか、不注意やクラウドシステムの設定ミスを原因とした情報漏洩のリスクにも目を向ける必要がある。急激なデジタル化への対策には、エンドポイントマネージャーのクラウド版がおすすめだ。パソコンだけでなくAndroid・iOSのスマホやタブレットをクラウドで一元管理できる。
IT資産管理だけでなくMDMも提供しているのが特徴だ。BitLockerの情報を取得できるので各端末が暗号化されているかの確認や回復キーの一元管理が可能になる。USBメモリに社内サーバーの情報を書き込んで持ち去るケースが非常に多い。そこで全く使わせない「禁止」、書き込みだけを許可する「読み取り専用」などの管理が可能だ。
更新プログラムのアップデート管理も欠かせない。適用されていなければLANSCOPEから配信を行う。起動と終了や端末上の操作など、操作ログの取得もできる。会社として、してほしくない違反操作をポップアップで表示し、利用者にリアルタイムで気付かせ、不注意における気付きをすぐに与えることが可能だ。
●セキュリティオーディター
総務省の調査によると、全体の7割近くがクラウドに移行しているが秘密情報への対策はまだまだといわざるをえない。Microsoft 365運用においてどういう操作をアラートにしたいかという質問に対して、「組織外にファイルを共有したとき」という回答が多かった。
そこで開発されたのが、Microsoft 365のログを可視化するSecurity Auditorだ。Microsoft 365の監査ログをLANSCOPEが収集し、わかりやすく成形して可読化している。
<結びに>
本日は、セキュリティ全体の最適化や対策強化の必要性についてご紹介した。
弊社ではサイバーセキュリティの観点でサイバープロテクション、資産管理の観点でエンドポイントマネージャー、クラウドサービス利用実態を把握する観点でセキュリティオーディターを提供している。
無償体験キャンペーンも実施しているので、お気軽にお声がけいただければ幸いだ。
◆講演企業情報
エムオーテックス株式会社:https://www.motex.co.jp/