ランサムウェア対策シリーズ 第2回
企業グループをランサムウェアから守る!
EDRの導入とセキュリティ対策のポイント
第1回 あなたの会社も狙われている?ランサムウェアから企業グループを守るセキュリティ対策のポイント
第3回 企業グループ全体を守るログ統合管理|ランサムウェア対策に有効な仕組みづくり
※SCSK Splunkサイトへ移動します
ランサムウェア被害から企業グループ全体を守る方法論について「予防」と「検知」という観点に分け、「予防」「端末における検知」「端末以外の検知」の3回シリーズでお届けしています。
第2回のテーマは「端末における検知」です。
ランサムウェア対策における「検知」の重要ポイント
どう検知するかという観点を検討する前に、昨今のランサムウェアのトレンドについてあらためて押さえておきましょう。
ランサムウェアはデータを暗号化して人質にし、金額を要求するサイバー犯罪です。金銭目的であることが特徴で、攻撃者は価値ある情報、価値あるシステムを探して到達し、 より深刻な被害を与えるのです。ランサムウェアはいきなりデータを暗号化されるような「稚拙ないたずら」ではありません。組織化され犯罪者がビジネスとして行っています。 あらゆるルートから企業グループに侵入し、重要な情報やシステムを探すという前工程がつきまといます。この前工程の期間は、様々なケースが想定されますが、 約15日間という事が言われています。つまりランサムウェア被害は被害そのものを検知するだけでなく、前工程の間に行われる不審な活動を検知し、重要な情報にたどり着かせない、 感染被害を最小限に留める事が重要なポイントとも言えます。
ランサムウェアの検知に有効なEDRの5つの機能
端末が、ランサムウェアに感染した、もしくはランサムウェアの被害に遭いそうだ、という状態を検知するには、ログを見ていく必要があります。 つまり対策としては、端末内部の挙動をログとして記録し、そこから気が付くという仕組みが必要です。
この「ログの監視」「記録」「検知し対応する」仕組みが、EDR(Endpoint Detection and Response)の特徴です。 攻撃者のラテラルムーブメント(遠隔でシステムへ侵入しネットワークに密かに広がっていく攻撃手法の総称。水平展開、横展開とも)、 マルウェアとC&Cサーバ(コマンド&コントロールサーバ:感染したPCに対し、不正なコマンドを遠隔操作するのにつかわれるサーバを指す)との通信、 いつ・どの情報が持ち出されたかなどが、ログを分析することで検知できます。これをリアルタイムで行うことにより、マルウェアの横展開前に捕らえることができます。
(出典)SCSK|EDRとは?機能や必要性、EPPとの違いをわかりやすく解説|SCSK IT Platform Navigator
EDRの5つの機能
EDRは端末でランサムウェアを検知するために最も有効な手段です。その機能を見ていきましょう。
1)監視
EDRは、マルウェアなどによる不審な動作がないかログを取得し、端末を常時監視します。ログ上に異常動作があった場合は管理者へすみやかに報告されます。
2)ログの取得
EDRは各端末操作のログを常時取得し、すべてのログを残します。
3)検知
EDRには、マルウェアによる異常動作を検知できる機能があります。マルウェアの侵入時はもちろん、感染後でもいち早く検知し、脅威を除去できます。
4)隔離
EDRには論理隔離機能があります。不審な動きが検知された端末は、インターネットやほかの端末への通信が制限されます。ほかの端末へのマルウェア侵入・感染を未然に防ぐ機能です。
5)修復
EDRにはレジストリ修復機能があります。マルウェアの侵入によりレジストリが破壊されると既存のレジストリとの整合性をチェックし、修復が試みられます。 攻撃を受けた際、インシデントを早期に修復することで、被害の拡大と問題解決の長期化を防げます。
昨今では、これらの機能はAIが採用されより高精度に検知ができるようになっているようです。
EDRとEPPの違い
一方、EDRとよく比較されるEPP(Endpoint Protection Platform)との違いが分かりにくいとおっしゃられる方もいらっしゃるのではないでしょうか。
EPPは、ファイアウォール、アンチウイルス、侵入検知システムなどを組み合わせてエンドポイントを保護するモデルで、脅威の「侵入を防御」する対策がメインでした。
しかしEPPは、前述したように水際対策のため、侵入されてからの対応策は基本的にもっていません。
また一般的に、EPPは既知の脅威の攻撃パターンからマルウェアを検知し防御する仕組みです。この方法では既知の脅威に対しては対応できますが、未知の攻撃パターンは登録されていないため、 EPPをすり抜けてしまうことも考えられます。もちろん、EPPも日々新たな脅威について情報のアップデートは行っていますが、実情としてそれ以上のスピードでサイバー攻撃のパターンは 進化していると考えたほうがよいでしょう。
EDR導入と活用で得られる6つの効果
EDRを活用することで得られるセキュリティ対策の効果をまとめてみました。
1)不審な挙動が無いか常にチェックできる
EDRを導入することで端末の挙動を常に監視でき、異常があれば端末をすみやかに隔離できます。
2)不審な挙動があった際に管理者へ通知
EDRが端末の不審な挙動を検知すると、管理者へ通知されます。管理者はアラートによってすみやかな対応ができ、事態の早急な集束が可能です。
3)サイバー攻撃からの被害を最小限で防げる
EDRは端末に不審な挙動があった場合、サーバー管理者以外への通信を制限し、端末を隔離します。そのため他端末へのマルウェアの侵入・感染を阻止し、被害を最小限で防げます。
4)マルウェアに感染した後の対策が迅速に行える
EDRはマルウェアの感染が疑われる端末を隔離し、危険性の高いファイルを削除します。また管理者はリモート機能が使え、現場に出向かなくてもすぐに対応可能です。
このような機能が備わっているため、EDRを活用すればマルウェア感染後の対応を迅速に行えます。
5)マルウェアなどの侵入経路・被害の範囲を特定できる
EDRでは端末を常に監視しログを取得しています。不審な挙動を検知した際、その端末でどんなプログラムがどこから侵入し、どのような処理を実行したのか、 またどんな情報がどのような経路で外部に流出したのかなどが追跡できます。そのため被害の範囲を特定しやすく、迅速かつ適切な対処が可能です。
6)インシデント発生の原因を明確にできる
EDRは挙動を検知した端末を特定し端末のログからどのような経路でどんなプログラムが実行されたのかを明確にします。 その結果インシデント発生原因が明らかになり、封じ込めと無効化までの時間が大幅に短縮できます。
EDRの普及率を見れば、このように導入効果が高いことが理由とおわかりいただけるのではないでしょうか。
ランサムウェア被害を企業全体の端末側から検知するポイント
最後に、企業グループ全体でランサムウェア被害を「端末側から」検知するポイントをお伝えします。 これには検知や感染端末の隔離などをアウトソーシングできる仕組みを導入することが大切です。
グループ企業によっては、システムに関われる人材が不足しているケースがあります。その場合、いくら優れたソフトウェアを導入しても、うまく使いこなすことはできないでしょう。 そこで、問題が起こった場合は、専門のオペレータが対応できる仕組みを持ったサービスを使えば、人材不足が原因で対策が遅れるということもありません。
まとめ
今回は、企業グループ全体をランサムウェアの被害から守るために行いたい、具体的な施策と、EDRの機能と導入効果、アウトソーシングを活用することのメリットについてご紹介しました。
企業グループを守るという視点で、ぜひソリューションを検討してみてください。
次回はネットワーク側及び全体を俯瞰して「検知」する仕組みを紹介させて頂きます!
第1回 あなたの会社も狙われている?ランサムウェアから企業グループを守るセキュリティ対策のポイント
第3回 企業グループ全体を守るログ統合管理|ランサムウェア対策に有効な仕組みづくり
※SCSK Splunkサイトへ移動します
過去記事一覧はこちら
/services/ivanti/column/index.html