境界防御に厳格なセキュリティ対策を実施する金融機関で急増するEDR導入について

＜サイバーリーズン紹介＞

サイバーリーズンはイスラエルの国防軍8200部隊の出身者を創業メンバーに持つセキュリティ会社である。8200部隊で国の軍としてハッキング等を行っていたサイバー攻撃部隊のノウハウを基にアメリカのボストンに本社を構えたアメリカ企業だ。2012年に創業し、2016年に日本の商習慣に合わせた対応や品質改善に対応するため日本法人を設立した。現在約260名の従業員のうち約半分がエンジニアである。サイバーリーズンのEDR及びMDR、EPPのシェアは各調査会社で複数年連続No.1を取得している。

＜昨今のセキュリティ状況から、どのような目的から導入を検討されているかご紹介〜なぜ“今”EDRの導入が増えているのか？～＞

警視庁の「令和4年におけるサイバー空間をめぐる脅威情報等」のレポートではランサムウェアの被害は年々増加傾向にあると報告されている。有名企業、大企業だけでなく、中小企業も含めて幅広く攻撃対象になっている。どんな企業が攻撃を受けてもおかしくない状況だ。感染経路はVPN機器からの侵入が1番多く、多数の経路から入ってくるため、特定の経路だけ防御すればいい状況ではなくなった。復旧に関しても、即時発見対処できなかった場合は、平均で1週間から1～2か月、場合によってはそれ以上と時間を要している。また、復旧の費用も約5割が1000万円以上になっている。

データでは被害に遭った企業の87％がウイルス対策のソフトを既に導入していた。導入した対策ソフトでは92％がランサムウェアを検出できなかった。これまでのサイバー攻撃に比べて巧妙化、多様化している現れだ。

金融機関の場合は、インターネットの接続環境と非接続環境がある。これまでは、インターネット接続環境に対して端末に感染させる攻撃があると、そこから情報摂取してランサムウェアで破壊をし、最終的に身代金を要求するという動きだった。ところが、昨今はインターネット環境だけではなく、閉域網や分離環境も攻撃されるケースが増えてきている。

病院の例だが2018年10月にあった奈良県の病院では、外部ネットワークに接続されていない電子カルテシステムに対してサイバー攻撃があった。2012年徳島県の病院では、VPN機器の認証情報の脆弱性を利用した攻撃があった。2022年には大阪急性期・総合医療センターでも、電子カルテシステムがVPN機器を接続している関連会社から攻撃があった。これらの事例から、金融機関でも閉域網や分離環境でも侵入されて攻撃を受けるリスクが出てきた。それを懸念して金融業界もEDRの検討を進めている組織が多くなった。

また金融庁から「金融分野におけるサイバーセキュリティ強化に向けた取り組み方針（Ver.3.0）」が発行され、金融機関にサイバーレジリエンスの強化を促している。金融庁職員による各種セミナーでもEDRによるサイバーセキュリティの強化が言及されている。

＜導入の決め手と求められている機能・サービス＞

まず実績は日本国内でダントツNo.1のシェアとなっている。ソフトは完全に日本語化し、単純な機械翻訳ではなく、日本語ネイティブのエンジニアが使いやすいUIになるように心掛けている。多くの企業と連携して活用するノウハウの交換ができる年2回程度のユーザー同士の交流イベントを開催している。直近のイベントでは約2000名の登録があった。また登録難易度の高いISMAPで登録しており、国内向けの企業に対する規格でも対応できる。このように日本市場への注力度も非常に高い。

つぎに運用に関して説明する。金融機関様では自社でSOCを持つ場合が多いが、当社は少ないリソースでの運用が可能となる24時間365日グローバル体制で監視するサービスを提供している。カスタマーサクセスマネージャーやテクニカルコンサルタントなどの専用のエンジニアをアサインすることで、配布から運用までが直接サイバーリーズンがサポートできる。最新脅威動向情報をプロアクティブに連絡するので、新しいウイルスの発信が始まった場合でも、セキュリティの問題に対し注意喚起できる。

また有事の際の対応も万全だ。サイバーリーズンのSOCを使用することで、業界最高水準の検知後5分以内に抑止や制御が完了する。万が一感染等被害が発生した場合にも、インシデントレスポンス体制があり、障害に対する復旧対応の体制を完備している。サイバーリーズンが行ったアンケートによると、「最新のランサムウェアの対応に対してより優れた検知能力を持つ製品の導入が必要だと痛感した」「攻撃に対する深い可視化の必要性を感じた」「サービスの拡充と自動化が必要」という回答をいただいている。実際にSOCが1日に受け取るインシデント数の平均は、1万件以上の情報を受け取っている。1日で全てのインシデントを処理できるケースはかなり限られている。ほとんどのSOCチームには次の日の積み残しが発生している。そのためランサムウェア対策は検知機能の向上だけでなく、人員及びサービスの拡充や対応の自動化が検討されている。

＜サイバーリーズンのIRサービス＞

インシデント発生時の初動から収束までに必要なインシデント対応支援を、グローバルIRチームがワンストップで提供する。調査に代わる大幅な時間短縮を可能にするだけではなく、顧客環境の脅威範囲を網羅的に特定し、効果的な攻撃の封じ込め及び復旧を支援する。

IRサービスにはエマージェンシーIRと、IRリテーナーの2種類がある。そのうち利用が多いのはエマージェンシーIRである。インシデントが発生したとき、顧客から相談を受けて都度対応する。この場合、IRの開始はリソース状況に基づき、迅速にリモートができるように対応するが、複数の顧客に同時に発生した場合、IRのリソースが割けない、またIR提供まで時間がかかるケースが出てくる。それに対応しているのが事前時間購入制のIRリテーナーである。

同時に複数のインシデントが発生した場合でも、依頼後4時間以内にリモートよりIRが開始できる体制を事前購入により提供可能になっている。

＜取得認証やセキュリティチェックシートについて＞

サービス導入のときに金融機関からはチェックシートが求められる場合が多い。チェックシートの項目事項についてよくご質問いただくのは、データセンターの所在地やガイドラインについてだ。所在地が国内にあるかどうかだけではなく、ディザスタリカバリ対応ができているかなど環境についての質問も含まれている。サイバーリーズンでは、日本選択の場合、日本リージョンでディザスタリカバリ対応をしている。顧客の希望により、EU、アメリカ、シンガポールなども選択可能だ。

可用性、信頼性、過去1年間の障害件数は、利用しているクラウドサービスに準拠するが長時間の障害は発生していない。ガイドラインについての質問は、各種ポリシーや手順書の有無を確認し、ポリシーの管理、運用状況などを確認のうえ、回答している。

各種ポリシーは、ISO27001、17、18、SOC2 Type2、ISMAPに準拠したうえで、定期的な見直しを行っている。政府が2024年に金融機関などはサイバーシステムの導入時に事前審査が義務付けを検討していると発表されたが、ISMAPを既に取得しているクラウドサービスは事前審査の省略が検討される。

クラウド側のシステムは、パフォーマンスにおいて、顧客のインストールセンサー数に応じて、内部基準によって接続サーバーの追加・増強する体制を持っている。バックアップ体制は、連日データを取得して暗号化して保管しており、定期的な復元確認を行っている。

開発手法もISOに準拠して管理運用を行っている。取得ログには、記載されるファイルパスによって顧客名がファイル名などに含まれることはあるが、能動的に顧客情報としては収集をしない。インシデント発生時の調査で、顧客の同意を得たうえで顧客ファイルを取得して調査する場合はあるが、それ以外にサイバーリーズンから能動的に顧客情報を収集することはない。取得した情報データに関しては、正しく運用されているか定期的な監視を実施している。

金融機関がサイバーリーズンを導入する際には、事前にPOCを行っても、実導入時に試験的に一部の端末から導入して、実動作環境で問題がないことや実際の操作を確認したうえで、段階的に導入していくケースが多い。

FISC安全対策基準、PCI-DSS認証の影響については、ISO27001、SOC2、Type2、ISMAP等の外部監査を受けておりカバーしていると考えている。情報資産を守るために取り組むべき対策として、セキュリティヘルスチェックに始まり、体制強化支援、体制強化支援まで提供可能なサービス群、境界型防御、アンチランサムウェアによって体制が強化できるNGAV、境界型防御をすり抜けた場合に検知するEDR、EDRの導入に必要な24/365の監視・解析対象を支援するMDRサービス、これらをすり抜けて侵害が発生した場合の調査・復旧を行うインシデント対応、これらを一気通貫したサービスとソリューションとして提供している。

◆講演企業情報
サイバーリーズン合同会社：https://www.cybereason.co.jp/