未知のサイバー攻撃からエンドポイントを守る
「NGAV」「EDR」とは

2022年9月5日掲載

 近年のサイバー攻撃の高度化により、従来の境界型防御によるエンドポイントセキュリティではマルウェアの侵入を100%防御することが難しくなっています。本記事では、サイバー攻撃対策プラットフォーム「Cybereason」を国内向けに提供しているサイバーリーズン合同会社の菊川氏・船山氏にエンドポイントセキュリティの新常識と「NGAV」「EDR」の有効性を伺いました。

目次

サイバーリーズン合同会社 菊川悠一氏

菊川 悠一

サイバーリーズン合同会社
マーケティング本部
プロダクトマーケティングマネージャー

サイバーリーズン合同会社 船山健介氏

船山 健介

サイバーリーズン合同会社
セールス・エンジニアリング本部
パートナー1部
セールスエンジニア

最新のサイバー攻撃の現状

ー最初に、昨今のサイバー攻撃に見られる特徴を教えてください。

菊川氏:未知のマルウェアが新たに出現し続ける状況で、従来のセキュリティソリューションの監視を潜り抜けたり、防御を突破するようなケースが増加しています。マルウェアに感染させるための手口も多様化していて、VPN機器への不正ログインやリモートデスクトッププロトコルの悪用、巧妙で気付きにくいフィッシングメールなど、さまざまな攻撃手法が確認されています。これらのサイバー攻撃で特に狙われているのがPCやサーバなどのエンドポイントで、攻撃者はセキュリティの穴を事細かに調べ上げて侵入してきます。

船山氏:既知のマルウェアだったとしても、手口を一捻りしたような攻撃が増えていて、対策を困難にしています。例えば、近年猛威を振るっているEmotetに関しては、マクロ付きのWord・ExcelファイルやURLリンクをメールで送りつけて感染させる手法が一般的でしたが、最近はショートカットファイル(LNKファイル)を悪用する新たな手口が確認されました。

ー日本国内の被害状況について教えてください。

菊川氏:警視庁が発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」という統計によると、ランサムウェアの攻撃を受けた組織・企業は1年で約4倍に増加しました。また、調査・復旧に1,000万円以上を要したが約半数を占めていて、被害額は増加傾向にあります。ニュースや新聞などのメディアでは、大企業を標的とした攻撃や関連企業へのサプライチェーン攻撃が大きく取り沙汰されますが、実態としては企業規模や業種・業態に関係なく狙われるようになっています。

セキュリティ対策をアップデートすべき理由

ー従来型のセキュリティソリューションでは、なぜ攻撃を防げなくなったのでしょうか。

①従来のアンチウイルスソフトでは検知できない攻撃が増加

菊川氏:例えばアンチウイルスソフトやファイアーウォールは、シグニチャーといわれるマルウェアの指紋のようなものと照らしあわせてブロックするのですが、未知のマルウェアの場合はデータベースにシグニチャーの情報がないので特定できません。かつてはすぐにシグニチャーの情報をアップデートすれば攻撃を防げるケースもありましたが、毎日新しいマルウェアが出現する昨今では情報の更新が追いつかない状況です。

 また、PowerShellのようなWindowsのデフォルト機能を利用したファイルレス攻撃では、正規のプログラムを悪用しているためアンチウイルスソフトでは検知できません。ほかにも、Emotetのような悪意のあるスクリプトを含む文書ファイルや、脆弱性を悪用したエクスプロイト攻撃は、従来のセキュリティを簡単に突破してしまいます。

※エクスプロイト攻撃:OS・ソフトウェア・ハードウェアの脆弱性を利用してPCやスマートフォンで不正なプログラムを実行させる攻撃。

②手口が巧妙になり、注意していても防げない

菊川氏:最近はEmotetなどで使われるフィッシングメールの手口が非常に巧妙になっていて、実際にやり取りしたメールへの返信や本文の引用、実在する社員のメールアドレスが差出人になっているといった事例が確認されています。どの企業でも社員に対して注意喚起を行っていますが、このように違和感のないメールであればうっかり添付ファイルを開いてしまう可能性が高いと思われます。

③リモートワークの増加により境界型防御で守れない

菊川氏:在宅勤務など社外のネットワーク環境で業務を行う機会が増えたことも、サイバー攻撃のリスクを高める一因です。社内にいればファイアウォールやプロキシサーバなどの境界型防御で保護されていますが、リモートワークではそれらの盾を経由せずに直接インターネットに接続してしまいます。また、リモートワークの際にグローバルIPアドレスを割り当てられる場合は、端末を特定されて攻撃される可能性が高まります。

ファイアウォール、メールセキュリティ、アンチウイルスソフトをすり抜ける攻撃が存在

ーより強固なセキュリティ構築のために重要なポイントを教えてください。

船山氏:今も昔もハッカーが狙うのはエンドポイントです。これまでもエンドポイントを守るためにサンドボックスやIPS、最近で言えばゼロトラストといった対策が進められてきましたが、前述の通りこれらの防御では対策できない攻撃が増えました。これからのエンドポイントセキュリティで重要になるのは、未知の攻撃であっても未然に排除できる機能を強化しつつ、侵入された場合の対応と復旧を迅速に行う仕組みを作ることです。

 これを実現する新たなエンドポイントの防御手法として注目されているのが、マルウェアへの感染をより強力に防ぐ「NGAV」(Next Generation Anti-Virus)と感染後の被害を最小限に抑える「EDR」(Endpoint Detection and Response)です。

エンドポイントセキュリティの要「NGAV」「EDR」とは

ーNGAVとEDRは従来のセキュリティ製品とどのように異なるのでしょうか。

菊川氏:NGAVはエンドポイント上のあらゆるプロセスを常に検査していて、未知の攻撃や巧妙な攻撃をアルゴリズムを使って特定・防御します。従来のアンチウイルスソフトとは異なり、「振る舞い検知」や「AI分析」でマルウェア特有の動作を検知するため、シグニチャーとのパターンマッチング方式ではすり抜ける攻撃でも脅威を特定することができます。

 しかし、NGAVでも攻撃を100%防ぐことは難しいため、わずかながらすり抜けてしまう場合があり、対応までの時間が長引くほどダメージが大きくなります。ここで有効なのがEDRです。EDRはエンドポイントの状況や通信内容を監視して、異常や不審な挙動を検知すると管理者に通知します。また、取得されたログをEDRで可視化して分析することで、迅速な対応と復旧、その後のセキュリティ対策の改善が可能になります。EDRが従来のセキュリティソリューションと異なるのは、エンドポイントがサイバー攻撃を受けることを前提としていて、防御ではなくスムーズな初動対応を目的としている点です。

 この2つをセットで運用することで、NGAVが大半の攻撃を未然に排除し、EDRでより脅威度の高い攻撃への対応に注力できるというメリットがあります。また、EDRで攻撃を検知しても対応できる人材がいないという場合、MDR(Managed Detection and Response)というインシデント発生時の対応アウトソーシングを同時に契約する企業が多くなっています。

NGAVとEDRの両輪で攻撃から組織の情報資産を守る

次世代エンドポイントセキュリティ「Cybereason(サイバーリーズン)」

御社が提供するNGAVとEDRの特長を教えてください。

船山氏:当社のエンドポイントセキュリティ「Cybereason」は、EDRにNGAVを統合したサービスで、侵入防止から検知・対応まで全ての攻撃ステージでのセキュリティ対策を実現できます。さらに、当社のセキュリティアナリストが、お客さまの代わりに脅威監視、対応するMDRサービスもご提供しています。

NGAVとEDRの機能を兼ね備えたエンドポイントセキュリティ Cybereason

船山氏:また、MITRE社という米国の第三者機関の調査で、「Cybereason」は最高評価を獲得しました。この調査では疑似的にセキュリティ製品やエンドポイントを攻撃するのですが、当社のNGAVは全ての攻撃をブロックし、EDRでの検知率も100%を達成しました。リアルタイム性の評価では、常時毎秒800万クエリのデータを解析できるため、遅延が発生せず瞬時に脅威を把握可能なことが実証されています。

 管理・運用のしやすさも重要視していて、日本のお客さま向けに管理画面やレポート、サポート体制を最適化しています。1つのエージェントで検知・対応・復旧までカバーできるので、運用負荷が少ないことも特長です。加えて、NGAV・EDR・MDRをセットでご提供できますので、ワンストップでセキュリテを担保できるというメリットがあります。

 ISMAPという政府のセキュリティ評価制度をクリアして登録されているサービスですので、官公庁だけでなく企業のお客さまにも安心してご利用いただけます。

外部機関からの評価も非常に高いサービスなのですね。ありがとうございました。

資料ダウンロード

侵入後のサイバー攻撃対策ができるCybereasonのご紹介

EDRとMDRの機能を備えたCybereasonについて簡潔にご紹介します。

高度なサイバー攻撃も阻止するEDR

サイバー攻撃による被害の拡大を防止することができるEDR。EDRの導入を検討する際のポイントについてご紹介します。

関連サービス

Cybereason

Cybereasonのセキュリティプラットフォームは、エンドポイントのログを収集し、侵入したマルウェアのサイバー攻撃の兆候をリアルタイムに検知することができる、クラウド型のデータ解析プラットフォームです。

導入事例

株式会社ジンズ

「Cybereason」の導入で運用負荷を最小限に抑えながらセキュリティを強化

おすすめの記事

条件に該当するページがございません