2022.11.08 / トピックス
サイバー攻撃は日々変化し、近年はランサムウェアによる被害が多く見受けられます。
さまざまなセキュリティ対策製品が市場に登場する中で、私たちはいったいどの製品を選び、セキュリティ対策をどのように考えていくべきでしょうか。
多様なセキュリティソリューションを提供するウォッチガード・テクノロジー・ジャパンのエンジニアである相賀 太郎氏に話をお聞きしました。
後編では、エンドポイントセキュリティ製品の「WatchGuard EPDR」について聞きました。(聞き手はコムネットシステム)
ウォッチガード・テクノロジー・ジャパン
システムエンジニア部 プリセールスエンジニア
相賀 太郎氏
相賀氏 現在のウォッチガードの製品ポートフォリオは、ネットワークセキュリティ、エンドポイントセキュリティ、多要素認証、セキュアWi-Fiの4領域で、これらをクラウド上でマネジメントするという形です。
弊社のエンドポイントセキュリティはもともとEPPから始まりましたが、2000年の中頃から、ファイルの実体のない攻撃が増えてきて、取得したデータを相関分析できるように、EDRの機能が取り入れられていきました。
その後マルウェアレス攻撃なども出てきているので、もし入ってきたら迅速に原因特定して封じ込めまで行えるというEDRの製品が必要となります。
しかし、EDRには運用面で課題があります。たくさん上がってくるログを分析できないといけないのですが、セキュリティの人員やナレッジが必要になってくるため、ログ分析ができる企業はなかなか少ないです。
それを補うためにEDRベンダーはマネージドサービスを提供するわけですが、それでは結局コスト増に繋がってしまいます。
そのため、EDR運用の自動化が必要になってきます。ウォッチガードのエンドポイントセキュリティは自動化されている部分がたくさんあるので、お客様の運用負荷を軽減することができます。これが一つの差別化、他のEDR製品にはないメリットだと思います。
私たちはEPPだけの販売も、EDRだけの販売もしていますが、やはり先ほど申し上げたように、EPP/EDRどちらの機能も兼ね備えたEPDRが一番オススメになります。
クラウドネイティブですのでオンプレミスにサーバーを置くような必要もないですし、エージェントは軽量でパフォーマンスに影響を与えることなく動きます。
相賀氏 そうです。クラウドネイティブ、軽量なエージェント、機械学習によるスコアリングといったEPPの特徴と、脅威ハンティング、ゼロトラストアプリケーションといったEDRの特徴、その双方を持ち合わせています。
脅威ハンティングは、EPDRエージェントがセンサーとして動作し、お客様ネットワーク上で悪意のある行動をリアルタイムで監視し、攻撃の兆候(IoA)を検出して早期対応します。
Living-off-the-land(自給自足/環境寄生)型と呼ばれる攻撃に対しても有効で、異常事態時には、影響を受けたシステムのフォレンジック分析や、攻撃の発生源、使用された手法などをお客様に通知します。
ゼロトラストアプリケーションサービスは前編でも申し上げましたが、実行前、実行中、実行後の全てのプロセスを監視します。信頼できると分類したプロセスのみを実行します。分類サービスは標準提供され、お客様に判断を委ねることなく、最大限の保護を提供します。
相賀氏 他社製品との大きな違いは、上がってくるログなどコンテキスト情報の相関分析を自動的に行う点です。
自動的に分析を行った後、それが脅威だと分かれば、削除や駆除などのアクションも自動的に行います。
他社製品ですと、例えば何かあったことをお客様にお知らせを行いますが最終的にはお客様が判断してどうするのかと決めなければなりません。それだとなかなか難しいので、マネージドサービスという契約が別途必要になってくる製品が多いと思います。
相賀氏 EPDRは多層防御モデルを採用しています。そのコアとなる部分、 レイヤー1はシグニチャベースのセキュリティ対策です。EPPの部分ですね。 コレクティブインテリジェンスという集約された脅威情報などを基に、脅威を取り除くことができます。
レイヤー2はコンテキスト情報をベースにした検知です。 端末で起こるイベントの詳細であるとか、どのプロセスがどういう動きをしているかといったコンテキスト情報を集めてきて、検知に繋げます。
その外側にあるレイヤー3がアンチエクスプロイトエンジンです。これは脆弱性を突いた攻撃が何十種類もあるんですけど、そうしたエクスプロイトの手法を監視していてメモリの状態なども監視しています。
レイヤー4がアプリケーションゼロトラストです。これがあるからゼロデイの攻撃などにも対応することができます。
一番外側、レイヤー5が脅威の追跡調査サービスです。脅威ハンティングはセキュリティチームが行う場合もありますし、ディープラーニングのエンジンによる自動的な脅威の発見も行われていて、IoAの検出を行っています。
相賀氏 これはEmotetの攻撃フローに対するWatchGuard EPDRの多層防御例です。
見ていただければ一目瞭然ですが、攻撃のそれぞれのフェーズでEPDRが防御アプローチを行います。
相賀氏 「パッチマネジメント」はEPDRのオプション機能で、パッチが当たっていないアプリケーションの情報をエージェントがインストールされている全端末から引っ張ってきます。
多層防御もそうですし脆弱性を突いた攻撃に遭わないようにするためには、パッチを当てていれば、ほとんどの攻撃は事前に防ぐことができます。
管理コンソールからマネジメントが可能で、パッチが当たっていないアプリケーションのパッチを当てる命令を出すことなどもできます。
一件一件回ってインストールしてくださいと呼びかけたり、インストールしなくても良いため、業務の効率化にも繋がります。これはお客様からもかなり好評いただいています。
相賀氏 次に「アドバンスレポーティングツール」です。 収集した情報がたくさんありますので、それを必要に応じて取り出したい、表示したい形で抽出することができるレポーティングツールです。
実行アプリや帯域幅の可視化や、シャドウアプリ特定など、端末上のアクティビティを詳細に可視化します。 「フルエンクリプション」はディスクの暗号化管理を提供します。BitLockerを一元管理して、暗号化ステータスレポートを表示や、ディスクやリムーバブルストレージ暗号化のポリシー適用や展開、リカバリキーの一元管理などができます。
相賀氏 対応プラットフォームは非常に幅広く、下記の通りです。
相賀氏 あと、Windows XP等のサポートが切れてるようなOSにもインストールして使っていただくことはできます。これも一つのメリットだと思います。
相賀氏 それとこれは付随的なメリットなのですが、資産管理ソフト的な使い方も可能です。
相賀氏 EPDRの管理画面を見ていただけると分かりやすいのですが、管理している端末の一覧と、それぞれの端末の詳細情報、OSやメモリ、ストレージなどや、利用しているアプリケーションなどを見ることができます。
専用の資産管理ツールは高価であったり、導入が面倒、機能が複雑だったりする場合もありますが、EDPRのエージェントをインストールすると端末から自動的に情報を収集しますので手間も掛かりません。簡易的な資産管理ソフトとしても使っていただけます。
相賀氏 SOCチームがあるような大企業や中小企業、ログが上がってきて自分たちで判断したいお客様には、あまりハマらないかもしれませんが、むしろそんなことができる企業はごくわずかです。
しかもIT部門の人員はたいてい少なく、PC管理からセキュリティまでやらなければならないので、他の業務と兼任している担当者の方などには、すべて自動的に行ってくれる製品ですので企業規模を問わずご好評いただいています。
実際日本でも万単位の端末のお客様もいらっしゃいますが、小さな規模のお客様もいらっしゃいます。EPDRのライセンスは1端末から販売可能です。
相賀氏 そうですね。おっしゃる通りだと思います。セキュリティが本業とは全く関係ない、例えば学校さんなら学校のこととか、医療系なら医療のことが本業ですよね。 それが毎日毎日ログを見てなきゃいけないというのは、もう業務と全く関係ない話なので、ある程度自動的にやってくれるのは大変有り難いとおっしゃるお客様も多いです。
それと、EPDRにはフォレンジック機能もオプションとして提供していますが、多くのお客様はフォレンジックに時間を費やせないと言います。
こういうのが見つかりました、それはこういう理由です、このように止めました、というのが分かればそれで良いと。
ですから、あまりセキュリティのことに、時間をかけられないお客様に最適なのかなと思います。
相賀氏 ウォッチガードの目指すところは、EPDRで単体ではなく、多層防御です。
エンドポイントの製品から多要素認証、ネットワークセキュリティ、セキュアWi-Fiまで、全て1ヶ所で管理運営できることを目指してきました。
それがWatchGuard Cloudというクラウド上の管理基盤に集約されているという形ですね。
もちろんEPDRも一緒に管理できます。
セキュリティ対策の強度を高めていくのは当然ですが、お客様に使いやすいと思っていただける管理機能を提供していきたいですね。
今回ご紹介した製品は、下記からご覧ください。
・ エンドポイントセキュリティ製品
WatchGuard EPDR:詳細ページはこちら
EPP/EDRに関連する記事はこちら
製品に関してやお見積りのご相談など、お気軽にフォームからご連絡ください。
以上