AIの活用や仮想化環境への対応で進化するエンドポイント／サーバーセキュリティ

　マルウェアやウイルスなどは、最終的にはサーバーやPCなどのコンピュータ上で不正なコードを実行することで悪意ある挙動を引き起こす。その前の段階で侵入を遮断できればそれに越したことはないが、ネットワークの防御を突破されてしまった場合でも、最終的にエンドポイント上でのコード実行を阻止できれば被害を防ぐことは可能だ。

　以前から活用されている「パターンファイル」「シグネチャ」といった情報を使用する、いわゆるアンチウイルスの動作は、端的に言えば既知のマルウェアの特徴を登録したデータベース（これがパターンファイルやシグネチャだと考えれば良い）に基づき、エンドポイントに到達したファイルを照合し、特徴が一致したらマルウェアとみなす、というものだ。この方法で対応できるのは既知のマルウェアであり、未知のマルウェアは検知をすり抜けてしまう可能性が高い。ただし、既知の攻撃を止めるうえでは有効なので、現在でも広く使われる手法だ。

　パターンファイル方式の弱点はセキュリティベンダー各社とも認識しているので、弱点を補完する別の検出手法（NGAV：Next Generation AntiVirus、次世代アンチウイルス）を組み合わせることが一般的になってきている。典型的な手法としては、隔離された領域を作ってコードを実行して挙動を観察する“サンドボックス”、個々のマルウェアではなくマルウェア全般に共通するパターンを見つけ出す“AI ／機械学習”、また、アンチウイルスとは方向性が異なるが、ログなどからシステム稼働状況の解析を行なうことで攻撃やマルウェア侵入をいち早く察知して被害拡大の前に対処しようとする“EDR”などもエンドポイント保護として利用が拡大しつつある。

　現在のセキュリティ対策では“多層防御”が主流となりつつあり、ネットワークでの防御とエンドポイントでの保護を組み合わせるとか、あるいはエンドポイント内でもAV／NGAV／EDRを併用するなど、複数の保護手法を組み合わせて穴を塞ぐという考え方が常識化している。さらに、最近は働き方改革に注目が集まった影響でモバイルワーク／テレワークが増加傾向にあるようだが、こうした環境ではネットワークでの防御が十分ではないことも多く、エンドポイントでの対応が重要となる。

AI/機械学習を活用するNGAV（Next Generation AntiVirus）

　では、具体的に“NGAV”を標榜する製品を具体的に見てみよう。

　このジャンルで近年、採用を広げている製品としては、AI ／機械学習技術を活用した「パターンファイルに頼らないマルウェア検知」という技術の有用性を広く周知させることに成功した、サイランスの「CylancePROTECT」が挙げられる。

　CylancePROTECTでは、マルウェア／非マルウェアのサンプルを膨大に収集し、機械学習によって隠れた「特徴点」を見つけ出すことで、マルウェアと非マルウェアを見分けることを可能にした（図1）。既知／未知を問わずに検出可能で、2017年5月に世界的大流行を引き起こしたランサムウェア“WanncaCry”の際にも、同社のユーザーには被害がなかったという。エンドポイント上で稼働する“評価関数”は、従来のパターンファイル／シグニチャの照合に比べると軽負荷でサイズも小さいため、パフォーマンスの劣化などもほぼないという。同社の成功以後、セキュリティベンダー各社ともAIの活用をアピールしており、その意味でも時代を切り拓いた製品と評価できるだろう。

図1：CylancePROTECT のマルウェアファイル判定に用いる「特徴点」のイメージ。AI/ 機械学習により実行ファイルからマルウェアの特徴点を見つけ出し、判定に用いる（出典：Cylance Japan）

　マカフィーの「McAfee Endpoint Security」（図2）は、さまざまな防御手法を組み合わせ、「単一製品で多層防御」というコンセプトを体現するような製品になっている。最新バージョンでは機械学習（AI）機能もさらに強化を行なっており、他にもサンドボックス機能やEDR（Endpoint Detection and Response）機能も含まれるなど、現在メジャーな防御手法が網羅的に組み込まれた製品となっている。最近では、運用管理面の負担増を避ける意味からも「ポイントソリューションを複数組み合わせて総合的な防御体制を組み上げる」というやり方は避けたいと考えるユーザーが増えているが、そうしたトレンドにも合致したコンセプトになっている。

図2：McAfee Endpoint Security のホーム画面（出典：マカフィー）

　現在のエンドポイントセキュリティ製品は、防御対象となる攻撃手法がはるかに多彩になっており、単一製品であっても「総合的なセキュリティソリューションパッケージ」とも言うべき形態に進化している。さらに、エンドポイントごとに独立しているのではなく、IT部門／セキュリティ担当者が運用する管理コンソールからリモートで一括管理ができる製品が主流だ。

　EDR機能などでは、各エンドポイントごとに収集されたデータを解析し、侵入の予兆や痕跡をいち早くつかむことが狙いなので、当然ながらスタンドアロン的な運用では意味がない。さまざまなベンダーの製品が混在するような環境では充分な機能が発揮できない可能性もあるので、慎重な検討が求められる。

　また、台数が多くなりがちなエンタープライズ／データセンターのエンドポイント保護では、運用管理の省力化も重要なテーマになってくる。ITでは、最初にきちんとシステムを造り込めば、以後は自動化／省力化が実現できるという例も多いが、セキュリティに関してはそうはいかず、刻々と変化する脅威状況への即応が求められることになることから、運用管理者の負担は重い。そうであればこそ、日常的な運用管理の局面での作業効率化が実現できているかどうかが、いざ重大インシデントが発生した際の対応余力を大きく左右することになる。

物理／仮想環境を包括的に保護するサーバーセキュリティ

　エンドポイント保護という点で共通する部分もあるが、サーバー特有の要件も多いため、一般的にはサーバー用のセキュリティ製品はクライアントPC用とは別のものを導入するのが一般的だ。

　かつてのWindows ServerなどではクライアントPCのWindows向けのセキュリティ製品をそのまま使うことも可能だったが、現在のサーバー環境は大規模化／複雑化しており、クライアントPC向けのエンドポイントセキュリティ製品でカバーするのは難しくなっている。

　また、クライアントとは異なるポイントとしては、仮想化の普及が挙げられるだろう。現在のサーバーでは仮想化技術の活用が一般化しているため、エンドポイント保護という観点からも、物理サーバー／ハイパーバイザーのレベルで保護するのか、個々の仮想サーバーのレベルで保護するのか、という違いが生じる。さらに、現在では仮想サーバーよりもさらに軽量なコンテナを活用する例も増えてきているため、コンテナ化されたアプリケーションをどう保護するか、という点についても考える必要があるだろう。サーバーの運用管理担当者にとっては、ウイルスやマルウェアといった問題よりも、可用性を担保するためのハイアベイラビリティクラスタの構成や、データ保護のためのバックアップ／リストアなどがまず重要な取り組みとなる可能性もあるが、これら全てを包括するような総合的な対応が必要になるものと考えておくべきだろう。

　ソフォスの「Sophos Intercept X for Server」（図3）は2018年7月に発表された最新製品で、「予測型ディープラーニング技術を実装した次世代サーバーセキュリティ保護製品」を謳う。既存のエンドポントセキュリティ製品「Sophos Intercept X」のサーバー版という位置付けで、ディープラーニング技術を利用した未知の脅威からの保護機能を特色とする。Windows Serverを対象とした製品で、物理サーバー／仮想サーバーのいずれにも対応可能。運用管理面での支援機能として、「根本原因解析（RCA）」を備える。これは、詳細なフォレンジック分析を含むインシデントレスポンスの機能で、各攻撃に対して、「誰が、何を、いつ、どこで、どうやって」という情報を提供する。この情報に基づき、セキュリティ担当者が対策の改善を行なうことができる。「サーバーロックダウン」機能では、アプリケーションをホワイトリスト化し、既知および信頼出来るアプリケーションの実行ファイルのみを実行可能とすることで、マルウェアなどの悪意あるコードの実行を防止する。

図3：Sophos Intercept X for Serverはディープラーニング技術を用いて包括的なサーバー保護を行う（出典：ソフォス）

　シマンテックの「Symantec Data Center Security」（図4） は、「プライベートクラウドとオンプレミスにある物理的なデータセンター環境で、包括的なサーバー保護、監視、ワークロードのマイクロセグメンテーションを実現する」と謳う製品。エージェントレスのDockerコンテナ保護機能が実装されているほか、「アプリケーションのホワイトリスト作成」「きめ細かな侵入防止」「リアルタイムのファイル整合性監視（RT-FIM）」といった機能を備え、ゼロデイ攻撃を阻止する。モニタリング機能では、「OpenStack、VMware、Dockerコンテナ環境を含むあらゆるインフラを監視」できるとしており、最新のサーバーインフラの構成を踏まえて必要とされる機能を迅速に実装しているという印象だ。サーバーの保護に関しては、「仮想サーバーに対するエージェントレスのマルウェア対策と脅威防止」機能を備えるほか、「VMware NSXやVMware vShieldとの統合により、Data Center Securiy Serverと他社製品との間でセキュリティポリシーをシームレスに統合」するなど、実際にデータセンター環境で導入されることの多いインフラ構成をサポートし、運用管理担当者のニーズに応えている。

図4：Symantec Data Center Security は物理／仮想サーバーやコンテナを包括的に保護する（出典：シマンテック）

　サーバーのセキュリティに関しては、環境が大規模かつ複雑になることから、対応にも相応の知識や経験が必要となってくる。クライアントPCであれば「適切な製品をインストールしておけば基本的なセキュリティレベルは維持できる」という考え方も成立するだろうが、サーバーの場合は、そもそもそのサーバーがどのような構成になっており、どのような役割を果たしているのかによって“適切な製品”がまるで違うものになってしまう難しさがある。仮想化技術の活用が当たり前になっている現在のサーバー環境では、性格の異なる複数のワークロードが並列動作しているため、それぞれのワークロードにあったセキュリティ対策を的確に実装するだけでも簡単なことではなくなってくる。

　なお、データの破壊や情報漏えいといった深刻な被害をもたらすわけではないものの、“コインマイナー”と呼ばれるマルウェアも流行しつつある。これは、仮想通貨のマイニング（発掘）を行なうソフトウェアで、処理に膨大なCPUリソースを消費することから、他者のサーバーなどにコードを感染させて実行させることで「CPUリソースを盗んで成果を手に入れる」という利得を狙ったものだ。セキュリティ担当者としては、こうした「脅威／攻撃手法の流行や変遷」にも注意を払っておく必要があるだろう。

侵入後の被害を防ぎ、復旧を支援するEDR

　EDR（Endpoint Detection and Response）とは、直訳すれば「エンドポイントでの検出と対応」という意味になる。エンドポイントの監視を強化し、不審な挙動などを検出して対応を促す製品だ。アンチウイルスなどのソフトウェアがマルウェアの侵入阻止を目的とした、いわば“門番”的な機能を果たすのに対し、EDRは直接的な侵入阻止は行なわないものの、後からの情報把握を容易にするための情報収集／保存を行なう、いわば“監視カメラ”に相当する機能だと言って良いかも知れない。

　サイバーセキュリティが重要性を増している現在、考えるべきは事業継続性であり、仮に何らかのインシデントが発生した場合でも可能な限り被害発生を抑え、どうしてもダメージが避けられない場合でも、迅速に立ち直れるよう準備しておくことが重要だ。EDRは直接的な防御策ではないものの、万一のインシデントの際に有用な情報を提供してくれることで回復を支援してくれるだろう。

　EDRには「被害を受けることを前提に事後処理のために導入するソリューション」というイメージもあり、まず万全の防御体制を構築する方が優先度が高いのではないか、という考え方で後回しにされてしまう場合もあるようだ。しかしながら、現在のサイバー攻撃は黎明期の“腕自慢の悪戯者の悪ふざけ”などではなく、プロの犯罪集団が最高レベルの手段で仕掛けてくるモノなのだと考えるべきで、「備えておきさえすれば完全に防御できるはず」という想定は捨てるべき時期に来ていると言えるだろう。

　シマンテックの「Symantec EDR Cloud」は、EDRの導入障壁を下げることを意図し、エージェントレスでクラウドサービスとして利用できるEDRソリューションだ。同社ではエンドポイントセキュリティ製品「Symantec Endpoint Protection（SEP）」にEDR機能を組み込んでいるため、SEPの導入企業はそのままでEDR機能を活用できる。一方、Symantec EDR Cloudでは、必ずしもSEPを必要とせず、Active Directory配下のWindows端末については専用エージェントソフトのインストールなしに利用できる。

　SEPをEDRエージェントとして機能することで、より詳細な情報の取得が可能となるが、全社規模でSEPを導入するとなるとそれなりのコストや作業負荷が発生することから、SEPの導入までは踏み切れないが、手軽に導入できるEDRがあれば、という声に応えるサービスと言えるだろう。サービスはパートナー企業からの提供となる。日立システムズとセキュアブレインからは“マネージドEDRサービス”の提供も発表されており（図5）、セキュリティ対策に多大なリソースを割くことを避けたい中堅／中小企業にとっては魅力的だ。

図5：日立システムズとセキュアブレインでは、Symantec EDR Cloudを利用したマネージドEDRを提供している（出典：日立システムズ）

　カスペルスキーの「Kaspersky Endpoint Detection and Response（KEDR）」（図6）も、機械学習の活用を特徴とするソリューションとなっている。KEDRは、エンドポイントの動作情報を収集する「エンドポイントセンサー」、収集した情報を分析する「セントラルノード」、より高度な分析を実行する「アドバンスドサンドボックス」の3つのコンポーネントで構成され、機械学習を用いた「標的型攻撃アナライザー」「アンチマルウェアエンジン」といった機能を実現している。セントラルノードによる情報分析には、カスペルスキーがクラウドベースで提供する脅威情報基盤「Kaspersky Security Network（KSN）」から提供される情報も活用される。KEDRのエンドポイントセンサーは情報収集専門のモジュールで、ローカルでの分析は行なわないため負荷が軽く、既存のエンドポイントセキュリティ製品との併用も可能だ。

図6：Kaspersky Endpoint Detection and Response（KEDR）の基本構成（出典：カスペルスキー）

　また、同社の法人向けエンドポイントセキュリティ製品「Kaspersky Endpoint Security 11 for Windows」をKEDRのエンドポイントセンサーとして利用することもできる。なお、KEDRでは事後対策としての情報分析はもちろん、標的型攻撃アナライザーに見られるとおり、エンドポイントで不審な挙動が見られた際には即座に警告を発することで、被害を未然に防ぐことも可能としている。

　マカフィーでは、高度なセキュリティ分析製品を各種揃えており、さまざまなニーズに対応できる体制を整えている。「McAfee Active Response」は一般的なEDRに相当するソリューションで、エンドポイントでの脅威の検出／対応機能を備える。継続的なモニタリングと強力なインサイトにより、異常な振る舞いを識別して侵害を早期に検出する。

　また、高度な分析能力を持つセキュリティ・アナリスト向けには「McAfee Investigator」（図7）が用意されている。このツールでは必要なデータを収集してエビデンスを解釈し、分析結果を表示すると言った一連の調査タスクを効率的に支援する機能が実装される。なお、マカフィーでは現在新たな製品ブランドとして“MVISION”を打ち出しており、製品ラインアップの刷新を行なっている。現時点では「McAfee MVISION EDR」を2019年の早い時期にリリースする予定としており、既存製品の機能を統合した製品になる可能性が考えられる。

図7：McAfee Investigator の画面例。分析情報を収集してグラフィカルに表示する（出典：マカフィー）