テレワークで重要性が増すエンドポイントの保護

　テレワーク移行で社外での業務端末の利用が広がったことで、セキュリティ対策の見直しが企業に求められている。優先すべきはエンドポイントセキュリティの強化、さらに脅威を常時監視して対策の見直しにつなげるプロセスの確立である。だが、両者ともに一筋縄ではいかない課題が存在する。ニューノーマルを見据えた対策を今、講じる必要がある。

テレワークのセキュリティには課題が山積

　新型コロナウイルス感染症対策としてテレワークが拡大するに伴い、社内で厳格に管理されてきた業務端末が社外で広く利用されるようになった。IT担当者にはこの変化への対応、具体的には情報セキュリティの確保に向けた新たな対策が急務となっている。

　ただし、それが意外と厄介だ。その背景には、テレワークが外で仕事をする営業担当や育児・介護などで在宅勤務する社員など、一部の社員の例外的な働き方として扱われてきた経緯がある。社内ネットワークに接続され、多層防御で守られている業務端末に対し、テレワークで使用する業務端末はエンドポイントの防御のみになってしまう。そのため、社内ネットワークに接続した際に検疫を行う、アクセスできる社内リソースを制限するといった対処により、企業では何とかセキュリティレベルを確保しようとしてきた。

　ところが、新型コロナウイルス感染拡大防止に向けた取り組みのため、テレワークの対象は社員全体に広がり、テレワークで使用する業務端末のセキュリティレベルを従来の社内で使用する業務端末と同等に引き上げる必要性が出てきた。テレワークでの利用を前提としてエンドポイントセキュリティのあり方を再考することになるが、検討対象は業務端末からデータをやり取りするネットワーク、クラウドなどの接続先までと広範であり、その中でのコストバランスや利便性まで加味した適切な見極めは決して簡単ではない。

　また、せっかくセキュリティ対策を見直しても適切に運用されなければ意味がない。業務端末の利用場所が物理的に会社から離れることで、管理や監査も格段に難度を増す。関連して、テレワークを機に働き方が多様化し、従来のような一律のルール適用が困難となったことも大きな問題だ。

　これらの事情が相まって、現状のテレワークのセキュリティ対策は、混沌とした状況に陥っており、対策を難しくさせているのである。

エンドポイントセキュリティ強化が必須だが機能面の課題も……

　では、テレワークのセキュリティ対策をどう進めてゆけばよいのか。確実に言えるのが、エンドポイントとなる業務端末におけるマルウェア対策の強化を最優先すべきということだ。

　理由の1つが、テレワークが増加し、エンドポイントへのセキュリティ対策が手薄になっているからである。実際、2020年春の緊急事態宣言後には、テレワーク環境への外部攻撃が急増した。それは裏を返せば、既存環境よりもテレワーク環境のほうが攻略しやすいと攻撃側が判断したということでもある。

　また、業務端末でのマルウェア対策は、セキュリティ対策の最終防衛ラインであるということも理由の1つだ。ほかの対策としてファイアウォールや接続先認証などもあるが、業務端末にマルウェアなどの侵入を許せば、保護すべき情報やパスワードなどが攻撃側に筒抜けとなり、対策の意味をなさない。

　ただし、一般的なマルウェア対策製品には大きな弱点が存在する。それは、シグネチャをもとにした従来からのマルウェア検出手法だ。この手法では、検出性能の維持・向上のためにシグネチャの継続的な更新が不可欠となる。

　その徹底が困難なことは、テレワークにより管理・監査などの目が行き届きにくくなることからも理解できるだろう。人為的なミスだけでなく、通信トラブルなどもシグネチャの更新が徹底できない原因となる。加えて、シグネチャによるマッチング型のマルウェア対策製品ではシグネチャのない未知のマルウェアへの対応が困難だ。

　このように、従来型のマルウェア対策製品がその有効性を失いつつある中、注目を集めているのが、シグネチャ不要のAIベースのマルウェア検出と、このアプローチの先駆者である、「BlackBerry🄬 Protect（旧名称：CylancePROTECT🄬）」なのである。

膨大な特徴から未知のマルウェア検出も実現

　BlackBerry ProtectのAIは極めて優秀だ。マルウェア検出率で99％以上（2018年4月NSS Labs調べ）、また検出率を高めると副作用として増加しがちな誤検出率も0.0001％（BlackBerry社調べ）とほぼ無視できるレベルである。

　この高精度な検出を実現しているのが、マルウェアおよび正常なファイルの“特徴点”の学習による独自のAIモデルである。特徴点とは、ファイルの名前、ファイルサイズ、ファイルの構造といったもので、BlackBerry Protectでは10億ファイルの分析結果を数理モデルに落とし込んでいる。

　その仕組みから、BlackBerry Protectは、“予測”ベースで未知のマルウェアも検出可能だ（図1）。新種のマルウェアが相次ぐ中、BlackBerry Protectで利用する特徴点は最大700万にもおよび、その網羅性が未知のマルウェアへの幅広い対応も実現可能である。現に、2017年に世界規模で猛威を振るったWannaCryを、BlackBerry Protectはその20カ月前に作成された数理モデルで検出できている。

図1：BlackBerry Protectの予測防御の仕組み

EDRに必要な作業を包括的に提供し、セキュリティ人材の不足に対応

　ただし、BlackBerry Protectであってもマルウェアを見逃すリスクはゼロではない。そこで併せて必要とされるのが、攻撃を継続的に監視し、そこで得られる傾向などにもとづく事前対策や、万一の際の早期発見・早期対応を可能とする仕組み作りだ。そうした仕組みを一般に「EDR（Endpoint Detection and Response）」と呼ぶが、BlackBerry ProtectにはオプションとしてEDR機能「BlackBerry🄬 Optics」がある。これを活用することで、業務端末から収集した脅威情報をクラウド上に格納し、解析や調査を行うことができる。そこから、インシデント対応などにつなげることで、セキュリティ強度をさらに底上げできる。

　もっとも、BlackBerry Opticsの運用にあたって問題となるのがセキュリティ人材の慢性的な不足だ。限られた人材で何とか業務を回しているようなところに、新たにEDRを採用しても十分な効果を期待しにくいことは想像に難くない。

　この運用面での悩みに正面から応えるため、日立ソリューションズでは、BlackBerry Protect/BlackBerry Opticsの導入から、「監視」「初動対応」「調査」「インシデント対応」までを丸ごと引き受けるサービスを提供している（図2）。

図2：サービス概要

　まず、「監視」で用意されているのが、24時間365日体制でBlackBerry Opticsが検出した脅威イベントを監視する「脅威イベント監視」と、検出したイベントと実施した作業内容を月次レポートとして提出する「定期報告」だ。BlackBerry Protectでの同様のサービスもオプションとして用意されている。

　次の「初動対応」で鍵を握るサービスが「端末隔離」。これは、クライアントが脅威の被害に遭った際にネットワークからの切り離しを支援するもので、重大アラート発生時の自動隔離にも対応可能だ。

　続く「調査」で利用できるのが、「侵入経路調査」「影響範囲調査」だ。それらでは、リスク顕在時に脅威の侵入経路と潜伏範囲をそれぞれ探索する。

セキュリティエキスパートの知識やノウハウでEDRを高度化

　そして最後の「インシデント対応」で提供されるのが、「対応方針策定支援」「コンピュータフォレンジック」だ。双方とも、経験豊富なセキュリティエキスパートがインシデント発生時の企業の判断を後押しする。前者ではオンサイトで脅威確認に立ち合い助言や提案などを行う。後者では、被害にあったクライアントや内蔵HDD/SSDを預かり、その痕跡を辿ることでマルウェアや不正アクセス、情報流出などに関しても調査し、状況把握を支援する。

　日立ソリューションズは、国内を代表する情報漏洩防止ソリューション“秘文”などの開発と提供を長らく手がけることで、セキュリティ技術とノウハウを培ってきた。本稿で紹介したサービスは、その力をもとに企業のEDR活用レベルを引き上げるサービスとも言える。

　BlackBerry Protect/BlackBerry Opticsとそれらの運用を支援するサービスの組み合わせは、テレワーク時代のエンドポイントセキュリティのめざすべき姿と言えそうだ。