2019年で創業31年を数えるトレンドマイクロ社が、この度「Trend Micro Apex One」という新たなセキュリティ製品を7月以降にリリースすると発表しました。
※以下「Trend Micro Apex One」を「Apex One」と省略

Apex Oneは、これまで同社から企業向けセキュリティスイートとして提供されてきた「ウイルスバスター コーポレートエディション」の後継モデルにあたります。
従来のバージョンであるウイルスバスター コーポレートエディションからどのような進化を遂げたのか、「Apex(頂)」の言葉にはどのような意味が込められているのか。

情報セキュリティEXPO 2019春のトレンドマイクロ社ブースにて行われたセッションを基に、Apex Oneの全貌をご紹介します。

ウイルスバスター コーポレートエディションの後継モデル「Apex One」

「悪意」として検知されにくくなっている近年のサイバー攻撃

トレンドマイクロ社によると、近年のサイバー攻撃における脅威の傾向は2つ挙げられるようです。

(1)”正規”を装ったサイバー攻撃の台頭
正規の通信に不正なプログラムを紛れ込ませたり、Windowsに標準装備されている機能を悪用したりして、セキュリティ製品にサイバー攻撃だと検知させないような攻撃のこと

(2)サイバー攻撃の”見えない化”
マルウェアがコンピュータ内に侵入する際の侵入経路のHTTPS化や、サイバー攻撃にファイルを使用しないファイルレス攻撃など、攻撃の全容が掴みにくい攻撃のこと

これらの特徴は、いずれも「悪意」そのものを検知させにくくするものであり、このような水面下に潜む悪意にどう対処していくかは、避けては通れない問題だと言えます。

さらに企業のインターネットセキュリティを取り巻く環境的課題として、GDPRやサイバーセキュリティ経営ガイドラインなどへの適応や、専門知識を持った人材の確保、テレワークの増加や多様化する業種特有環境などを挙げ、脅威の傾向に対応するだけでなく、企業を取り巻く環境の改善もまた、急務だといえます。

検知されづらくなってきたサイバー攻撃への対応は?Apex Oneの3つの特徴

今まで多くの企業から信頼され利用されてきたウイルスバスター コーポレートエディションですが、その後継モデルであるApex Oneには、3つの特徴があるようです。

(1)巧妙な脅威に対する「防御力」の更なる強化
Apex Oneでは、「サイバー攻撃の”見えない化”」で挙げたファイルレス攻撃への対策として、メモリスキャンや挙動監視の精度が向上されているそうです。
さらに、パターン化されていないマルウェアに対しても対応できるよう、プログラム実行前の「ファイルの特徴」と実行後の「ふるまい(挙動)の特徴」から悪意のある行動を検知する、機械学習型検索も搭載されています。

これらのことから、セキュリティ製品として第一に求められる「防御力」はさらに強化されているといえるでしょう。

(2)迅速かつ簡単なインシデント対応の実現
マルウェアを検知して駆除するだけでは不十分である、ということはご存知でしょうか。
ウイルスを駆除できたからひと安心、で終わらせずに、そもそも自社のセキュリティがどのような攻撃によって破られ、どの範囲に被害を受けたのかの特定や、感染拡大や二次被害を防ぐための処置を素早く講じる必要があります。

こうした措置を行う場合、多くのセキュリティソフトでは、セキュリティのスペシャリストが膨大なログの中から該当のログを探し出すことで特定を進めるため、多大な時間、コストがかかります。
また、セキュリティ担当者がいない事業所でインシデントが発生した場合、対応のために現地に赴く必要も出てくるかもしれません。
その間、事業所のネットワーク機能を停止しなければいけないとなった際、業務に影響が出ることも予想され、かなりの痛手となるでしょう。

しかしApex Oneは、インシデントの予防や対処だけでなく、スレッドインテリジェンスを活用した侵入プロセスの可視化機能や、テレワークや他事業所などでインシデントが発生した際に遠隔で対処・調査ができるリモート管理機能を搭載しています。
これらの機能から、スムースなセキュリティインシデント対応を実現できる可能性を筆者は感じました。

(3)事前予防(EPP)と事後処理(EDR)をシームレスに融合
セッションを通して伺ったApex Oneの特徴のなかで、筆者が最も秀逸に感じたのがこの部分です。
Apex Oneは、パターンマッチング、機械学習型検索、脆弱性対策などの事前予防(EPP)から、インシデント発生後の調査や分析といった事後処理(EDR)までのトータルなインシデント対応を、シームレスに統合しているそうです。

セキュリティインシデントが発生したら通常、脅威の対象を取り除くだけでなく、「どこから侵入を許したのか」「どのようなプログラムだったのか」を明らかにする事後処理が欠かせません。
最近ではGDPRがインシデント発生後の調査報告を義務付けたことで話題になりましたが、リソース不足などから大半の企業ではこの事後処理が行われていないのが現状です。
このような状況の中、事後処理に必要とされるリソースを大幅に削減できるApex Oneは、これからの企業のセキュリティ環境を大きく変えていく力があるように感じました。

「Apex One」は包括的に、統合的にセキュリティを担保

Apex Oneが「Apex(頂)」の名を冠する理由とは

ここでセッションの内容は、Apex Oneという名前の由来へと移ります。
本稿の初めに紹介した通り、ウイルスバスター コーポレートエディションは、トレンドマイクロ社が最初に展開した法人向けサービスです。
そのような歴史と実績のある名前を受け継がせることなく、なぜこの新製品をApex Oneと名付けたのでしょうか?

その理由は、Apex Oneの「Apex」という単語にありました。
Apexは英語で「頂(いただき)」という意味がありますが、Apex Oneは現在のインターネットセキュリティの肝であるEPPからEDRまでを、包括的かつ統合的に手掛ける存在です。
企業のセキュリティ環境のまさに“頂点”に立ち、俯瞰的に全方位へ対応するという意味で、「Apex」の名称がふさわしいといえるでしょう。
トレンドマイクロがApex Oneを宣伝する際に使用する「シングルエージェントが導く、エンドポイントセキュリティの頂。」というコピーも、特徴を知った後だとしっくりくるものがあるのではないでしょうか?

「うちにはサイバー攻撃なんて仕掛けられるはずがない」?その甘えが企業の命取り

セキュリティインシデント発生時に必要なリソースの不足をApex Oneが補う

多くの経営者やセキュリティ担当者は、まさか自社がサイバー攻撃の被害に遭うなどとは考えていないと思われます。
そのため、セキュリティインシデントが発生した際にいったいどのような作業が必要になるのか、ほとんど理解できていないセキュリティ担当者も少なくないのが現状なのではないでしょうか。
また、仮に何をするべきなのかが分かっていたとしても、リソース不足などから確実に実行するのは難しいという現場からの声も、多く聞かれると思います。

トレンドマイクロ社によるセッションでは、インシデント発生時に必要になる作業の中で、多くの企業の担当者の抱えている悩みの紹介と、その作業に対してApex Oneがどのような役割を果たすのかの説明もなされました。

作業1.被害範囲の特定
これは、会社にあるすべてのコンピュータのうち何台が被害に遭っているのかを特定する作業です。
Apex Oneは、1台のコンピュータがマルウェアに感染した時点で、同一ネットワークに存在しているコンピュータの中から類似した挙動をしているものがないかを検索し、被害範囲を特定することができます。
自社のPCを1台1台みてまわらなくて済むので、一秒でも早い対応が求められるインシデント発生時において、Apex Oneは強力な味方となるでしょう。

作業2.OSのリストア
感染したマルウェアの駆除にあたり、セキュリティソフトでは難しいと思われる場合に行われるのが、OSのリストアです。
OSのリフレッシュとも呼ばれ、簡単にいえばOSの初期化と引き換えにマルウェアを消去する行為です。
しかし、一度侵入を許してしまったということは、残念ながら現在使用しているセキュリティソフトではそのマルウェアに対処できないということを示します。
つまりOSをリストアしたところで、また同じような手口に引っ掛かり、同様の被害に遭う可能性があるのです。

その点、Apex OneはEPPとEDRの機能をシームレスに展開させられる製品なので、事後処理の過程で判明したマルウェアの特徴をすぐさまEPP機能にフィードバックし、事前予防を自社の環境に合わせて成長させ、適宜強化していくことが可能です。
「せっかくOSをリストアしたのにまた同じマルウェアに感染してしまった…」といった不毛な事態を防ぐことができるでしょう。

作業3.感染端末の回収
サイバー攻撃を受けた際、報告書や今後の予防策を作成するため、感染端末を回収して調査をする必要があります。
感染したコンピュータがセキュリティ部門と同じオフィスにあれば端末の回収は容易ですが、もし、感染したのが北海道でセキュリティ部門が東京にある場合は、そう簡単にはいきません。
また、ネットワークからの隔離や状況の保全など、マルウェア感染が疑われるときにとるべき行動が正しく実行されない、実行できない恐れもあります。

こういった不安も、Apex Oneを導入しているコンピュータであれば管理サーバでの一元管理が可能なので、被害端末の特定から被害端末の論理隔離、そして通信ログの解析まで、わざわざ現地に行き端末を回収してから行う必要がなくなります。
現場にもセキュリティ部門にも余計な手間をかけることない、安定的なセキュリティ運用が可能になるでしょう。

作業4.侵入経路を特定するフォレンジック解析
マルウェアに感染した際は、被害状況の特定や侵入経路を明らかにするためにフォレンジック解析が求められることがあります。
しかしフォレンジック解析には、コンピュータ内にある断片的な電子データや大量の通信ログを読み解ける専門的な知識を持った人材リソースが必要になります。

トレンドマイクロ社によれば、インシデント発生後に必要となる作業の中でも、特にこのフォレンジック解析は、リソース不足が原因で正しく行えている企業は少ないとのことでした。
しかし(なんと)、Apex Oneにはフォレンジック解析機能がパッケージングされています。
社内のリソースだけで不正な通信が発生した箇所や発生元のプロセスを特定するだけでなく、わかりやすく図で示されるのです。

※個人名が含まれるため、画像の一部を加工しています。

フォレンジック解析は専門知識が必要な作業であり、そのハードルが高い代わりに見返りも大きく、人材リソースさえ確保できれば、今後のセキュリティ環境の構築に生かせる情報が手に入ります。
また、GDPRに適合しなければいけない企業にとっては、フォレンジック解析による調査は不可欠な要素です。
Apex Oneの導入は、人材リソースを確保できない企業にもフォレンジック解析を可能にし、その調査を通して「今回の被害は何が原因で、次にどのような一手を打ち出すべきなのか」を理解しやすくなる、魅力的な選択肢といえるでしょう。

企業のセキュリティ担当者がApex Oneを選ぶ理由

本稿で紹介したインシデント発生後に必要となる作業は、本来はセキュリティ担当者が行うべき業務内容です。
しかしその全てを把握し、一つ一つに的確な処置が下せる人材はそう多くありません。
また、中堅・中小企業に見受けられるような、他業務との兼任セキュリティ担当者の場合は、知識や技術はあっても単純に時間が足りずにそこまで手が回らないということもあるでしょう。

このような企業を取り巻く状況・環境の中で、強力な助っ人となるのが、Apex Oneなのです。

セキュリティソフトはこれまで、未知のウイルスが出現したらそれに向けて対策をする、というサイクルで進化を続けてきました。
しかし、今回のウイルスバスター コーポレートエディションからApex Oneへの進化は、少々様相が異なります。
Apex Oneへの進化は、特定の攻撃手法への対策ではなく、どのような攻撃手法にも対応しうるものへの進化だからです。
そういった意味では、セキュリティ意識を常に高く保ち続けることを目指している企業であれば、どのような業種、業態であっても、Apex Oneはセキュリティの担保に力を貸してくれることでしょう。

実力は未知数。7月以降から順次アップデートが配信開始

EPP機能とEDR機能を統合させ、さらに今まではスペシャリストがいなければできなかったフォレンジック解析をより一般化させようとするトレンドマイクロ社の取り組みには驚きましたが、まだリリース前の製品であるため、本当の実力はまだわかりません。

その評価は、今後実際にセキュリティ担当者が使用を重ねていく中で、徐々にはっきりとしてくることでしょう。
Apex Oneというトレンドマイクロ社の意欲作が、企業のセキュリティ担当者にとってどれほどのサポートとなるのか、7月以降のリリースに期待しましょう。