MDRとは 2

前回はMDRとは何か、具体的に解説しました。その中で、ネットワンシステムズが12月よりMDRサービスを開始したと書きましたが、今回はこのサービスについて詳細を交えて説明し、さらにエンドポイントセキュリティについて理解を深めていきたいと思います。

ネットワンのMDRサービス

ネットワンのMDRサービスは、マルウェアに感染した端末を検知・特定・管理するサービスと、情報漏洩を防止するためのアクセス制御を行うサービスで構成されます。これを、ネットワン市場開発本部長の松本陽一氏は「多層的なセキュリティ対策を支援する」ものとしており、「セキュリティの場合、ソリューションを導入した後の運用も重要となるが、一企業のCSIRTだけで全てカバーするのは難しい。我々はそこをサポートしていきたい」と述べています。

参考資料:ネットワン、端末レベルで情報流出を防ぐ監視・運用サービスを提供

「マルウエア感染端末の検知・特定・隔離」は、マルウエア感染が疑われる端末を社内から見つけ出して対応するサービスだ。ユーザーの環境に応じて、米フォアスカウト・テクノロジーズの端末可視化・制御アプライアンス「ForeScoutACT」、米コアセキュリティの通信監視アプライアンス「Damballa Network Insight」、米カーボン・ブラックのEDR(エンドポイント検知・対応)ソフト「Cb Response」を取捨選択して組み合わせる。
「情報漏えい防止アクセス制御」は、複雑化するファイアウォールのルールを可視化して、マルウエア感染時の情報流出経路がないか確認するサービスだ。米アルゴセックの「Security Management Suite」を利用して、ファイアウォールやLANスイッチのルールやログを収集して不必要な経路を可視化。危険度に応じて経路をふさぐ。

参考資料:ネットワン、マルウエア感染端末を検知・隔離するサービスを投入

次世代エンドポイントセキュリティについて

このように、端末レベルに着目し、セキュリティの強化・サポートを行うMDRですが、そういった中で同じく取り上げられることが多いのが、引用にもありますが、次世代エンドポイントセキュリティと呼ばれるEDR(Endpoint Detection and Response)です。前回も触れましたが、米Gatnerがピックアップした11種類の技術の中に、EDRも入っています。「Endpoint Detection and Response(EDR)は、悪意ある攻撃を示す異常な挙動や活動の兆候をエンドポイントで監視し、アンチウィルスのような予防型の対策のみならず、インシデントの検知や対応までもカバーする。2020年までに大企業の80%、中堅企業の25%、中小企業の10%がこの機能に投資すると予想される」とGatnerは解説しています。

参考資料:サイバー防御力を高めるセキュリティテクノロジ11選

サイバー攻撃等によりセキュリティ侵害を受けた場合、どれほどの期間があれば対処できるのでしょうか。今日ではサイバー攻撃を完全に防ぐことは困難になってきており、攻撃に気付いてからいかに迅速に対応できるかが問われるようになりました。しかし、2016年のセキュリティ脅威を分析した「Mandiant M-Trends 2017」によると、調査対象の組織がセキュリティ侵害を検知するまでに要した時間の中央値は99日となっており、アジア太平洋地域に限定すると172日ということです。平均的な企業は3ヶ月から半年に渡り気付くことがないということです。これほどの期間もの間感染した端末を放置していれば、かなりの数にまで拡大する恐れがあり、攻撃者の思う壺となってしまいます。

次世代エンドポイントセキュリティであるEDRは、従来のエンドポイントセキュリティとはそもそもの考え方が異なるようです。EDRは「攻撃はされるものだ、侵害はされるものだ」という性悪説に基づいてセキュリティを行います。具体的にいうと、従来のアンチウイルス型のエンドポイントセキュリティは攻撃からの防御に重点を置いていました。シグネチャーやふるまい検知によってウイルスやマルウェアの特徴を照合し、それを検出・駆除することによって防御を行います。これに対し、EDRは攻撃を受けた後の検知・調査・原因分析を重視します。いち早く検知し可視化することで、侵害後の対応を迅速化し、被害を最小化することが狙いです。EDRに求められる機能は、大きく分けて次の3種類あるといいます。

第1はセキュリティ侵害の検知と可視化です。侵害を受けたというインシデントをいち早く検知し、その侵害がどこまで広がっているのか、どのようなルートで侵害が行われたのか、これによってどのような影響が出ているのか、などの調査を支援します。そのためには、エンドポイントのイベントログを常に取得し、それらの関係性をつなぎ合わせる機能を持たなければなりません。
第2は侵害発生時の初期対応です。侵害を受けた端末の隔離、ブラックリストへの登録、マルウェアの削除、リモートからのプロセス遮断等の機能が必要です。
そして第3が再発防止の支援です。そのために使われるのが「IOCファイル」です。これは侵害を受けた端末で見つかった「侵害の痕跡(Indicator of Compromise)」を定義するファイルであり、これを作成・共有することで、同様の侵害をより短時間で検出できるようになります。

参考資料:これからの対策は侵害を前提にすること侵害後の対応を迅速化する「EDR」とは?
EDRを活用することで、サイバー攻撃を受けた後の対応時間を大幅に短縮可能です。もちろん、侵害を受けないようにするセキュリティも強化しなければなりませんが、EDRのような強力な機能も必要になるのではないでしょうか。自社でそこまでのセキュリテイ強化が難しければ、MDRに頼るのも一つの手ではないでしょうか。