2019年2月、トレンドマイクロが発表した法人向け総合エンドポイントセキュリティ製品「Trend Micro Apex One™(以降、Apex One)」は、「ウイルスバスター コーポレートエディション」の後継となる、新たな機能を盛り込んだ製品です。
その最大の特徴は、以前SecurityBaseでも取材したとおり、「事前予防(EPP)と事後処理(EDR)のシームレスな融合」です。

企業に対する攻撃、特にランサムウェアによる被害はとどまることを知らず、いまや「被害を受けた場合にはどうしたらいいのか」を織り込んだセキュリティポリシーが必要となる時代を迎えています。
その時代にトレンドマイクロから発表されたApex Oneの機能とは、一体どのようなものになっているのでしょうか?

本稿では、トレンドマイクロが実施したApex Oneの導入に関するセミナーの取材内容をまとめました。
目新しいセキュリティインシデントの紹介とともに、「セキュリティ対策に待ったなし」の、新しい時代の法人向けセキュリティの基準を考えましょう。

企業を標的とした攻撃はいまだに減っていない

セミナーの冒頭で提供された昨今の情報セキュリティ環境を表すデータのひとつに、「企業向けのランサムウェア被害はいまだに減っていない」というものがありました。

世界的に見ると、ランサムウェア被害は2016年に10億件を超えたのをピークに、2017年は6億件超、2018年には5,500万件程度と下がってきています。しかし、2019年には再び増加に転じており、集計で判明している2019年の1~3月期ではすでに3,700万件を超える攻撃が確認されていました。
さらに、標的型攻撃だけではなく「ばらまき型」と呼ばれる攻撃が日本国内で再開されており、これまでターゲットとなっていなかった企業でも攻撃が確認されるようになってきたようです。

標的型攻撃でのランサムウェアの被害も変わらず確認されており、ノルウェーの大手製造業やアメリカの製造会社でも攻撃が確認されています。

ノルウェーの攻撃では米国セキュリティ情報共有組織のMS-ISACにより詳細情報が公開されています。
そちらによると、ノルウェーのアルミニウム製造大手Norsk Hydroやフランスのコンサルティング企業Altran、米化学企業のHexionなどで相次いでLockerGogaといわれるランサムウェアによって被害が拡散したそうです。

中でもNorsk Hydroは、工場のラインが一時的に手動製造に切り替える事態に追い込まれ、最初の1週間(3月25日時点)で3億~3億5,000万ノルウェークローネ(4,000万ドル相当)にのぼる金額の被害が発生したという発表があります。

国内の被害では、実際の攻撃概要図も紹介されました。
そこではエクセルマクロを経由した攻撃によって遠隔操作が確立され、そこからランサムウェアがネットワークを経由して拡散していく様子が紹介されており、国内外にかかわらず、いまだにランサムウェアの脅威が存在するということを表しています。

「正規」を隠れ蓑にした攻撃の恐怖

ランサムウェア以外にも、「正規サービスが攻撃の隠れ蓑に使用されている」という脅威を紹介されました。
たとえば、ITサービスやソフトウェア開発に携わるものであればご存じの方も多いであろう「GitHub」や、企業のコミュニケーションツールとして台頭している「Slack」など、日本でも定着しつつあるサービスを経由した攻撃が発生しているということです。

台湾のIT企業の被害の実例で考えてみましょう。
こちらは筆者の調査とあわせて紹介させていただきますが、台湾の有名PCメーカーであるASUSが攻撃を受けたという情報が、2019年3月に公開されました。

ASUSのコンピュータのBIOSやデバイスドライバなどを更新・公開しているサーバが攻撃者によってハッキングされ、バックドアソフトが導入されたツールが公開・配信・インストールされてしまったのです。

この攻撃の最大のポイントは、「正規サイト」から「正規の証明書」を利用して「正規ソフト」として攻撃が実施されたという点です。
ユーザはセキュリティポリシーによって「正しいもの」の選択を実施しているわけですが、それらをすべて証明する情報によって悪意のあるツールがインストールされてしまうわけですから、回避手段は非常に限られるでしょう。

情報セキュリティは、もはや「正規のものを正規だからと盲信してはいけない」ことを念頭に置いてツールを利用しなければならない時代にあるのです。

急増中の攻撃手段、ファイルレス攻撃

ファイルレス攻撃とは、標的型メール攻撃などでこれまで用いられてきた、不正ツールを添付しての攻撃に代わって発生し始めた攻撃で、現在急増傾向にあると紹介されました。

攻撃の全容は、メールの本文内などに貼られたリンクをクリックすることで、不正ツールの取得を含んだコマンドが実行され、その不正ツールによる攻撃が発生するというものです。

この仕組みはフィッシング攻撃に近いのですが、このファイルレス攻撃と、前項で紹介した「正規サイトを使用した攻撃」と組み合わせることによって、攻撃の成功率が高まってしまいます。
「実行ファィルを防御する」という基本的なセキュリティ対策だけでは通用しないということを、セキュリティ担当者は意識せざるを得ない情報だったのではないでしょうか。

トレンドマイクロは、こういった情報セキュリティ環境から、いま、セキュリティ担当者やセキュリティ対策ソフトに求められているのは「巧妙な攻撃への対策(EPP : 防御力強化)」と「侵入前提の対策(EDR)」だと結論付けています。

Apex Oneができること

巧妙化する攻撃に対する対策は「いかにして防御力を強化するか」だけでなく、「何か起きた後でも対処可能な状況を作る」ことの二本立てでなければなりません。
Apex Oneは「Apex(頂)」の名前の通り、まさにセキュリティ環境の頂に立ち、全方位的に見渡し、対応する製品群をひとつのパッケージにまとめたものとなっています。

Apex Oneの特徴は3点ありますが、

1.巧妙な脅威に対する「防御力」をさらに強化
2.簡単かつ迅速なインシデント対応の実現
3.事前予防(EPP)と事後対処(EDR)をシームレスに統合

本稿は、この中でも筆者が大きな強みだと感じた、1と3を中心に紹介します。

機械学習とAIとで実現した「防御力の強化」

まず、最新の攻撃である「ファイルレス攻撃」に対する解決策として用意されたのが、「メモリスキャンの向上」です。
悪意のあるコードがコンピュータ上のメモリに展開されるタイミングで、これまでに実施されていた「挙動監視」に加えて、「メモリ検索技術」を強化し、防御力を高めているようです。

さらに、フェイルレス攻撃だけに留まらず、防御力の重要なキーワードとなっているのが「機械学習」です。
進化したAI技術によって「ファイルの特徴」と「ふるまいの特徴」を学習し、その2種の内容を組み合わせる、つまり「ファイル」×「ふるまい」のハイブリッド学習モデルをも組み込むことができるようになり、より早く未知の脅威を検知できるようになっているのだそうです。

この防御力を支えているともいえるのが「Trend Micro Smart Protection Network™」です。
その最新情報では、検知した新たな脅威は60億件以上、ブロックした脅威の総数は650億以上、さらに処理したクエリ数に至っては3兆件以上と、多大な情報量を処理しているとのことでした。

事前予防(EPP)と事後対応(EDR)をシームレスに統合

ここからは、Apex Oneの最大の特徴である「EPPとEDRの統合」についてです。

そもそもEPPとはEndpoint Protection Platformの略称であり、個別のコンピュータ自身の防御のことを示しています。
一方のEDRはEndpoint Detection and Responseの略称で、個別のコンピュータでの攻撃の可視化(検知)と対応策支援を指します。
この2つを統合したというのが最大のポイントで、1つのエージェントと単一の管理コンソールによって、防御力の強化とトラブルの切り分けを可能にさせるのです。

これまでEDRとEPPは別々のソフトウェアで提供されることが多く、個別のコンピュータに導入する際にはインストール作業などの手間がかかっていました。
しかしその2つの機能が統合されたことにより、インストール後のトラブルが起きにくいなどの大きな改善が見込めます。
その他にも、エージェントが1つになってことによって様々な機能が追加・提供されています。
その中でも筆者が特に画期的に感じたポイントが「事後対処から事前予防へのフィードバック」です。

EDR側で調査した内容がEPPにフィードバックされることで、次回からの事前予防の防御力が大きく向上するといえますが、EDRとEPPとが統合されているということは、そのフィードバックを自社の環境下で行えるようになるため、セキュリティ担当者を悩ませていた「いつ、セキュリティ情報がアップデートされるのか」という懸念に対する解決策のひとつとなることでしょう。

さらに、EDRが自社内で出来ることのメリットはそれだけではありません。
昨今企業が考えねばならない、GDPR(EUの一般データ保護規則)の報告対応の手間が大きく簡略化されることとなります。
GDPRが適用される企業は、セキュリティインシデントの発生時、その報告を72時間以内に実施しなければなりませんが、その際にEDRが自社で実施できれば、報告内容にも大きく違いが出てきます。
その後の補償対応においても、最初の報告クオリティがもたらす貢献度は想像に難くありません。

まとめ 防御だけではない、知識と対策を身につける時代が来ている

EPPとEDRを包括したApex Oneは、間違いなく次世代のセキュリティスイートとして多くの企業で活躍していくものだと思われます。

これは筆者の個人的意見ですが、EDRは高度で専門的な内容であることが多く、またEDRを導入したとしても専門的な知識を学習しなければ、なかなか実用に耐えるものでありませんでした。
今回のApex Oneは、兼任セキュリティ担当者のレベルでも十分に理解できる「わかりやすいコンソール」と「防御力の強化」・「状況の一括把握」が取り込まれており、ユーザのセキュリティ理解に対するレベルを引き上げる学習ツールとしての一面をも感じます。

多様化するサイバーリスクに対して、セキュリティ担当者が学習しなければならない現実を見据え、そのためのツールを提供しているという方向性はひとつのトレンドマイクロの解答なのかもしれません。