「入れたら終わり」では済まないEDR導入の“壁”　セキュリティツールを効果的に使うための方法

メール経由のサイバー攻撃

杉浦一洋氏：みなさんこんにちは。ソフォス株式会社 セールスエンジニアリング本部の杉浦一洋です。本セッションでは、「ホームセキュリティで考える単純なサイバーセキュリティ対策　他人に踊らされないサイバー攻撃対策強化ステップ」についてお話しします。よろしくお願いいたします。

こちらは、「サイバー攻撃」あるいは「サイバー攻撃対策」というキーワードで、お客さまの会話によく出てくる内容を示したものです。例えば「ランサムウェア」や「不正アクセス」、「脆弱性」や「情報漏えい」。

あるいは対策として、「SASE（ネットワーク機能とセキュリティ機能とを組み合わせてクラウドサービスとして提供するセキュリティフレームワーク）」や、「EDR（エンドポイントでの検知と対応）」。

「XDR（エンドポイントにとどまらず、Firewall、Email、Cloud、モバイル、アイデンティティ、などインフラ全体まで拡張された検知と対応）」、「MDR（24時間365日体制で組織のセキュリティ監視を行う運用サービス）」といったいろんな言葉が出てきています。これに対して、お客さまがどんなことを考えているか迷っているかが垣間見られるような会話があるかなと思っております。

なぜそんな話になっていくのか、最近のサイバー攻撃事例から振り返ってみたいと思います。例えば「メール経由の攻撃」になります。こちらは最近と言いましても、よくあるサイバー攻撃の攻撃手法として使われる事例をすごく簡単に図示したものになります。

やり方としては、攻撃者がターゲットとなる組織に対してウイルス付きメールとか、あるいはウイルスをダウンロードするよう誘導するためにURL付きのメールを送ります。組織内のユーザーさんが実行してしまうと、その端末を踏み台にしてC&Cサーバーとセッションが確立されて、遠隔操作ができるようなかたちが生まれます。

攻撃者は遠隔操作で、被害組織の中のサーバーや端末を探索していきまして、ターゲットを見つけた場合は、実際にログインできるかどうかを確認していきます。そしてログインに成功した場合、情報を漏えいさせたり、ランサムウェア攻撃をする。こういったことが、過去十数年間の間に起きているのはみなさんもご承知かと思います。

被害事例から読み解く、脆弱性を狙った攻撃

そして、もう1つの攻撃事例として取り上げたのが「脆弱性攻撃」です。こちらはどんな攻撃なのかと言いますと、攻撃者は被害組織のユーザーにメールを送るのではなく、その組織が使っているファイアウォールやVPN装置、あるいは外と会話するメールセキュリティのシステムといった、外部IPを持つシステムへの侵入を試みます。

侵入が完了してしまうと、そこで足場を確立して探索を行っていきます。そして、先ほどと同じように、実際にサーバーの中に侵入できるかどうかを試みて、成功した場合はその中にある機密情報を盗っていく。あるいはランサムウェア攻撃を仕掛けている。被害事例の中から読み解きますと、こんなことが行われているのではないかなと考えております。

先ほどのメールからの攻撃との違いは、まずユーザーに対してソーシャルエンジニアリングを使った攻撃をしていないところです。あとは、外部から見える機器（ファイアウォール、VPN装置など）の脆弱性を利用して攻撃していくので、わかりにくいというところ。

守る側としては一番やっかいであり、攻撃側としては自分たちが攻撃していることに気づかれにくいのが、昨今のサイバー攻撃の事例から読み解けます。

成功するまで、あらゆる手段をとる攻撃者

そして、もう1つやっかいなところとして、「アクティブアドバーサリによる攻撃というのが一般的になってきている」というところがあります。簡単に言いますと、例えばサーバーに侵入できた時に攻撃を仕掛けますと。何かマルウェアを仕掛けたい時に、1回目がダメだったらそれで引き下がるわけではなくて、さらに別のものを仕掛けるといったことを繰り返しやっていきます。

どんな手法でやるかと言いますと、例えば別々のマルウェアを3回送ることもできますし、あるいは窃取した認証情報やサーバーの脆弱性を確認してそれを突く攻撃や、あるいは設定ミスを確認して、それを使って攻撃をすると。

成功するまで、ありとあらゆる手をやっていくのが、昨今のサイバー攻撃の実際の被害事例から見える特徴になっています。

そして、「ウイルスを使いましょう」「マルウェアを使いましょう」ではなくて、実際に市販されていたり、フリーウェアとして一般ユーザーでも使われているツールを使って、そもそもの攻撃自体を検知されないようにするというところですね。

攻撃手法は先ほどのところと重複しますけれども、リアルタイムで攻撃を変化させて目的を達成することに対して、非常に一生懸命やっているところがあります。

EDR導入を考えた時に必ず出てくる課題

こんな攻撃者の行動の中で、守る側としてはどういったことを考えるかと言いますと、EDRを入れましょうという話になるのかなと考えております。ただ、EDRの導入を考えた時に必ず出てくる課題があります。それは「誰が検知して、誰が対応するのか」というところですね。

なぜそんなキーワードを出したかと申し上げますと、いわゆるエンドポイント対策、ウイルス対策ソフトというところ。エンドポイントプロテクションや、次世代エンドポイントのネクストジェネレーションアンチウイルスとEDRは、運用方法とスキルがぜんぜん違います。

表であらわしたんですけども、今までの「EPP」と言われているウイルス対策ソフトに関しては、製品がマルウェアを検知して、隔離もしてくれるということですので、運用者は、きちんと隔離されているとか削除されていることを確認するのが主な作業になってきます。

ところがEDRになりますと、（攻撃の痕跡や予兆などを）見つけてくれるのは製品なんですけども、対応するのは人なんですよね。なぜかと言いますと、あくまでもEDRの機能としては、検知したものを人に渡して、人がそれを見て判断するというところなんです。

なので、（運用者は）得られた情報を確認して、それが本当に脅威である場合は、例えば端末を隔離するとか、見つけたものを除去するといった作業をしなければならないということがあります。

「入れたら終わり」では済まないのがEDR・NDR

似たような話ですが、ネットワークサンドボックスが非常に注目された、約7～8年前にも同じ課題がありました。この時もネットワークサンドボックス、特にミラーリングした通信を確認するようなソリューションの場合、実際に通信を遮断するわけではありませんので、検出された内容を見て、人が最終的に対応するといったところがあったんですよね。

それと同じことがEDRの課題として出ています。入れたら終わりではないんですけれども、お客さまからは実は「期待とは違うよ」という声をよく聞きます。例えば、「過検知が多い」「（侵入を）止めてくれない」「運用負荷が高い」という話なんですけども、先ほどのEDRの説明の通り、実際のところとしては当然の話になります。

EDRはある意味、監視センサーのようなものなんですよね。それをきっかけにして人が調査・判断するためのツールで、止めるものではありません。そして、検知というかたちで教えてくれたものに対して、調査が発生しますので、作業自体は増えて運用負荷は上がります。

中には「EDRで防御しますよ」というソリューションがありますけども、それは先ほどの表のEPPやNGAVの機能になりますので、純粋なEDRはここにある機能と利用方法になります。

ツールを効果的に利用できない状態が発生してしまうところが、お客さまの課題として実際にあるかなと思っています。

なので、EDRやNDRを運用できる人材の確保ですね。スキルを持った人を採用する、アウトソースで獲得する、あるいは育てるというところに出てくるかなと思います。

100％でなくても「防げるものは防ぐ」ことに着目すべき

ただ1つ、こういった流れの中で1つ気になることがあります。どうしても防げないからというところで、「侵入を前提に対策を考える」という考え方はその通りです。100パーセント防御できるものはないです。

けれども、「『防げるものは防ぐ』というところにもう少し着目してみたらどうでしょうか？　むしろなぜ着目しないんですか？」といったところが非常に疑問に思うところであります。

そんな中で、今回は「他人に踊らされないサイバーセキュリティ対策の考え方」というタイトルを書いたんですけども。どうしても昨今の脅威や世の中の流れとして、EDRを入れましょうという話が出てきがちなんですけれども、単純に入れればいいというわけではありません。そういった、踊らされない考え方について、これからお話ししたいと思います。

少し歴史を振り返ってみますと、このようなかたちになります。最初はウイルス対策というところで、端末やサーバーに対してウイルス対策ソフトを入れていきましょうと。インターネットが普及したところで、ファイアウォールやメールセキュリティ、Webセキュリティを入れていきましょうと。2000年代前半はそのようなかたちでした。

ところがそれをすり抜けてくる攻撃が増え、標的型攻撃対策というソリューションが出てきたのかなと思います。これがだいたい2010年代から2015年ぐらいですね。

その頃に、原点回帰ではないんですけども、結局攻撃のターゲットとなるのは被害組織の端末やサーバーだという流れになってきました。そこでいったんエンドポイントセキュリティの見直しというか、機能追加がありました。

そして、そこからさらに脅威をいち早く見つけましょう、あるいはツールを使った攻撃といった予兆をちゃんと捉えられるように、EDRを入れましょうというかたちになります。そのEDR運用の課題を解決するために、マネージドサービスを入れる。サイバー攻撃に対する対策強化の歴史は、こういった流れかなと思います。

ホームセキュリティとセキュリティ対策の共通点

すごくシンプルに考えた時に、こんなセキュリティ対策ステップができるのではないかなということで、スライドを用意してきました。当たり前ですけれども、考え方としては「そもそも侵入させなければ被害に遭わない」です。

これをサイバーセキュリティで考えた時に、わかりやすくしたのがこちらの表になります。最初にやることは、「予防する」と「意識向上」「運用強化」、あと「検知機能強化」があります。最終的には「自動化」があるんですけども。

今回注目するところとして、まず強化するには予防しますよねというところがあるのかなと思います。その後、検知する機能を入れていきましょうと。こういったステップに対して、オフィスセキュリティ、ホームセキュリティで考えた時に、同じような流れを通っていますというところで下に矢印を設けました。

それが何かと申しますと、最初は「みなさん、家の鍵をかけますよね。窓に鍵をかけますよね」というところ。その後に「鍵をなくしたらいけないよ」「鍵はここに置きましょう」と運用や意識向上をした上で、「監視カメラを入れましょう」とか。

さらに、監視カメラで不審者を見つけた時に誰か対応してほしいので、「サービスで頼もう」といったステップを踏んでいるんですよね。これとサイバーセキュリティ対策って一緒に見えませんか？ というのが、今回のタイトルに入れた背景です。

ふだんの生活でも風邪をひかないように、手洗い、うがい、マスクをするのと一緒ですよね。予防ができれば、その後の対応は少なくて済むと。

マスクをせずに「風邪をひいたら薬を飲めばいい」「風邪の予兆を確認したら対処できればいい」というよりも、「そもそもかからなければ」という方向性のほうが、みなさんも楽だとイメージしやすいかなと思います。

サイバーセキュリティにおいても、きちんと対策を行って抑え込めば、監視項目は少なくて済むんですよね。なので、仕事が増えないというところもありますし、もし何か起こった時に、調査する対象範囲を非常に絞り込んで対応できるところが、非常に効率的でかつ効果的かなと考えられますよね。

「防げる脅威は防ぐ」ためにできること

対策として、みなさんにここで強く推したいのは「防げる脅威は防ぐ」という考え方です。「Prevention First」といった考えで、エンドポイントソリューションを考えていただく。その上で、その後の対策強化に進むと非常にわかりやすく、社内でも説明がしやすいのではないかなと思います。

そういった中で、ソフォスからのご提案ということで、ここからは実際のソリューションについてご紹介したいと思います。先ほどのサイバーセキュリティ強化ステップの中で、「エンドポイントに焦点を当てると、こんなかたちになりますよ」というところです。

キーワードとしては「予防（保護）」「検知」「対応」のステップで考えていただければと思っています。先ほどのオフィスの防犯対策で考えますと「鍵をかけましょう」。そこから「不審な動きがないかを見ましょう」とか、「監視カメラを入れましょう」「監視センサーを入れましょう」という話になりますよね。

ただ、監視カメラを自分たちでずっと見ているわけにもいかないとか、何かあった時に対応する人材が欲しいというところで、「セキュリティサービスに委ねましょう」というところがあるかと思います。

このような考え方と同じであるとお伝えしているのが今回のスライドです。サイバーセキュリティ強化ステップで申し上げると、エンドポイント対策をしましょう。その後にEDRのセンサーを入れましょう。そして、それを運用監視するサービスを入れましょうと。

そのようなかたちを取ることによって、「侵入さえ許さなければそもそも被害に遭わない」という原則に基づいた対策強化ができます。この中で、エンドポイントにフォーカスした場合に関しては、先ほどの「予防（保護）」「検知」「対応」の3つというところで、ソフォスとしてはライセンスで分けています。

まず保護だけしておきたいというのであれば一番左。保護プラス、検知機能まで入れたいのであれば真ん中。さらにサービスまでと考えたら一番右のサービスというかたちで、お客さまの対策、保護強化に応じたラインナップでご紹介しております。

鍵の強化であるのか、あるいは監視カメラをまず入れましょうということなのか。お客さまのほうで確認される場合は真ん中です。今回は一番左と一番右、最後の「対応」というところのMDRサービスについてご紹介したいと思います。

多層防御を実現するエンドポイントセキュリティ

エンドポイントに関しましては、中身を説明するだけで1時間ぐらいかかってしまいますので、すごく簡単に1枚で表現した内容にしております。ソフォス自体は1985年創業の、いわゆる老舗のセキュリティ対策ベンダーになります。

そこで培ったエンドポイントの基本機能。ウイルスパターンファイルやWebフィルタリング、デバイスコントロールといったものを、「主な保護機能」というところで少しまとめて書いております。

それにプラスして、いわゆる次世代型エンドポイントによく搭載されるAI型のものであるとか。あとはファイルレス攻撃、あるいはパターンファイルを使わない検出、防御というかたちで提供しているエクスプロイト対策、あるいはランサムウェア対策といった、いわゆる多層防御でご提供しているエンドポイント製品です。

こちらは少しイメージできるようにサイバーキルチェーンでご説明をしていきますと、キルチェーンの中の対応範囲としては、実際にマルウェアがお客さまの組織に届いてから実際最後に攻撃するまでのチェーンに対して、多層防御で守っていく。

デリバリーフェーズで止めてしまうことがほとんどか、あるいはエクスプロイトのところで実施することが多いんですけども、各フェーズにいっても保護する機能がありますよといったところが、みなさまにお伝えしたいところです。

多層防御ですので、ファイルレス攻撃やパターンファイルに依存しない保護対策の機能を入れるとか、あるいはAIであるとか。そもそものところでパターンファイルといった基本的な機能、Webサイトへのフィルタリング、C&Cサーバーといった、HTTPとかWebサイトへの悪意あるアクセスをブロックするソリューションになっております。

世界1.8万社が利用するEDRサービス「Sophos MDR」

そして、真ん中の「検知」の部分をまるっと監視し、何か起こった時には火消しのように対応してくれるサービス「Sophos MDR」についてご紹介します。

現在、ソフォスのMDRユーザーは、全世界で1万8,000社を超えています。まもなく2万社に達する勢いでユーザーさんが増えております。実際は24時間365日のうち、特にEDRで検知した内容に対する監視と調査と対応というところになっております。

繰り返しになるんですけれども、MDRサービスの考え方は「ほぼ防御前提」という話ですね。まず、極力最前線で止めるというところで、「侵入されなければいい」「悪意ある攻撃をそもそも止めてしまえば、侵害されることがないですよね」という考え方があります。

その上で入ってくるもの。例えば設定ミス、あるいはすでにアカウントを取られていましたといった、最初のステップの侵入を許してしまった場合も、そういった行動自体の範囲をすごく絞って監視できますので。

そこで起こった事象に対して、MITRE ATT&CKフレームワークや、後で出てくるようなサードパーティですね。ソフォス以外の製品のテレメトリ情報を使うなどして、脅威かどうかを判断できるようになっています。そして、「これは脅威だ」と判断しましたら素早く対応します。

あと、実際に起こった事象がお客さまにとって、侵入されたけれどもまだ実害はないのか、実害に近いところで起きたのかというところで、対応するリソース、あるいは対応の考え方として違った動きができるようなかたちになっているのが「Sophos MDR」です。

一言で申し上げますと、「お客さまのニーズによって、ソフォスのMDRサービスを柔軟に使えますよ」といったところがお伝えしたいところです。全部ソフォスのソリューションを使って、マネージドサービスまで使った監視もできますし、ソフォスの製品と他の会社の製品をうまく組み合わせた監視体制も取れます。

監視対象を広げて、顧客を「面で守る」仕組み

「じゃあ他のメーカーの製品ってどこだ？」というところに関して、こちらの表の製品群は、すでにソフォスのMDRサービスで対応しています。各社のイベントログ、あるいはアラートをMDRに送付していただければ監視して、それをトリガーにして調査する体制がすでにできています。

これができると何がうれしいのかと申し上げますと、「お客さまの環境を面で守る」ことが実現できます。例えばEDRのマネジメントサービスの対象は、EDRが入っている端末やサーバーだけなんですよね。

でも、この絵にある通り、「他のシステムやサーバー、あるいはIoTみたいなEDRが入らないようなものもありますよね」といった場合に、どうすればいいのか。例えばファイアウォールのログ、そのファイアウォールもソフォス製品なのかソフォス製品ではないのか。

あるいはエージェントには入らないけど、外部からの攻撃は必ず通信から行いますので、NDRのセンサーを仕掛けて、そのパケットをずっと監視すると。そういったものを全部、MDRのほうの監視として情報を送付することで、全体の可視化ができるようになります。

最初はEDRからスタートして、徐々に監視対象のポイントを増やして、お客さまの組織全体を可視化していける。柔軟性や拡張性の高さが我々のMDRサービスの特長です。

そういった内容が書いてあるんですけれども、いわゆる過検知が多いという話は、EDRが検知したものをすべて脅威といったかたちで書いてしまうと、そういった判断になりがちです。ただ先ほど申し上げた通り、（EDRの機能は）あくまでも気づきだけなんですよね。

なので、その情報を用いて、さらに他のテレメトリ情報を合わせて、本当に脅威なのか、本当に調査すべき内容かどうかを、ソフォスのほうで全部仕組みとして自動化しています。その結果をもって人が調査・対応を行っていまして、対応時間は平均38分です。

「Sophos MDR」サービスのもう1個の特長として、柔軟性が挙げられます。例えば、MicrosoftさんのM365（Microsoft 365）のE5やE3を使っているお客さまに対して、Microsoftさん提供のサービスから吐き出されるセキュリティのイベントソースを、Sophos MDRと連携させてくださいと。

そうすることで、既存のセキュリティ対策への投資を無駄にせず、予防の最適化と検知と対応時間を最小化できるという、いいとこ取りが実現できるかたちになっています。

侵入者の排除や原因究明、侵害補償にも対応

そして、ソフォスのサービス内容で少しだけご紹介したいところがあります。お客さまのニーズとして、内部に侵入してきたものをまずは駆除してほしい、あるいはちゃんと除去してほしいという要望に対しては、「Sophos MDR Essentials」をご紹介しております。

そうではなくて、全体的な可視化をするので、お客さまの組織全体に対して脅威がないことまで確認する。そして何か起こった時は、すべからく原因を調べられるようにするという要望がある場合は、「Sophos MDR Complete」をご紹介しております。「Complete」は、セキュリティ侵害補償が入っているのが少し補足説明になります。

こちらの2つの封じ込めとフルスケールのインシデント対応の違いをご紹介します。いわゆる「脅威対応」が、みなさまが一番イメージしやすいところですね。例えばすり抜けた攻撃を見つけて止めてほしいというところですね。こういったニーズですと、一番左の「脅威対応」の部分なんですよね。

そうではなくて、実害があったり、あるいは実害が本当に起こる直前。そういった場合は、全体的なところを把握しないと怖くて夜も寝られないですね。そういったところまで見たい、そこまでやってほしいといったところで、サービスとしては2種類あります。

例えば、泥棒がちょうどガラスを割って入ろうとする時と、実際に内部に入ってきて、いろいろと巧みなことを言って鍵も開けて、最後にお金を盗もうとする。「インシデント」という大きな言葉の中に、「スレット対応（Threat Response）」と「インシデント対応（Incident Responase）」の2つがあるのかなと思っています。

すごく平たく言うと、実害が起こる前に止めてしまう対応が「Essentials」が一番得意とするところです。「Complete」は、スレット対応も当然なんですけれども、さらに内部に忍び込まれて最後の最後の攻撃をしようとするところや、まさに攻撃中のところを見つけて、本当にバチバチと対応していくようなかたちですね。

攻撃を止めにかかるとか、防ぎにいくような、インシデント対応の範囲まで含まれているのが「Complete」になっています。こういったサービスラインナップを用意しております。

「侵入を前提に」しつつ、保護対策を怠らないために

最後にまとめです。シンプルに「守り方としてどんなことをすればいいのかな？」というご紹介をしました。最初はサイバーセキュリティ対策とホームセキュリティ対策の考え方は同じですよねというところを、なんとなく理解していただければ幸いです。

そして「侵入を前提に」という言葉は間違っていないと思います。ただ、それに踊らされず、保護対策にもう一回着目したほうが楽ですよといったところをお伝えできればなと思います。

全部可視化したほうが、何が起きているかは当然わかりやすいですよね。そして、本当に何か脅威が起こっていたら、それを除去する、あるいは再発防止策も組めますといった3点をご理解いただければなと思います。

我々ソフォスのソリューションは、お客さまのセキュリティ強化ステップに適応したものとなっておりますので、どんなお客さまでも利用が可能です。ぜひともお客さまのサイバーセキュリティ対策強化の中で、ソフォスがどう当てはまるのかご興味がありましたら、アンケート等々に書いていただければと思っております。

私からのセッションは以上です。ご清聴ありがとうございました。