アンチウイルスとEDR機能を融合

国産のEDR製品を提供しているのはソリトンシステムズだ。ソリトンシステムズ ITセキュリティ事業部 マーケティング部 エバンジェリスト 荒木粧子氏は、「最近のサイバー攻撃に対しては、侵入前の状態ではNGAV((Next Genaration AntiVirus:次世代型アンチウイルス)で最大限の防御を行い、侵入されてしまった後には、EDRによって検知と全容把握を実施して初動対応を行える環境を整えるべきです」と警鐘を鳴らす。NGAVは従来のパターンファイルに依存したアンチウイルスではなく、機械学習や振る舞い検知などの新しい技術を採用したアンチウイルス製品を指す。もちろんこうした製品でも完全に防御することはできないのでEDR製品が必要となる。

ソリトンシステムズが提供しているEDR製品は「InfoTrace Mark II for Cyber」だ。「検知」「対応」「防御」の三つの機能を有している。検知では、クライアント端末におけるファイルアクセスやプロセスの通信先、レジストリ変更、プロセスの親子関係、ハッシュ値に加えて、複数の工程で実行されるマルウェアの一連の動作を記録する。侵入のきっかけとなった、ユーザー操作の追跡も可能だ。

「InfoTrace Mark II for Cyberではリスクの高い挙動を記録して通知します。例えば、プロセスが自分自身をコピーしたり、未署名の実行可能ファイルを生成したり、Windowsフォルダーに隠しファイルを生成するなどした場合です。通知を受けられるため、クライアント端末をネットワークから隔離したり当該プロセスを禁止するなどの初動対応が可能になります」(ソリトンシステムズ ITセキュリティ事業部 サイバーセキュリティ 部長 荒木香織氏)

防御面では、脆弱性対策や次世代型アンチウイルス機能も提供する。脆弱性対策は、クライアント端末のプロセスを監視し、脆弱性を利用した攻撃コードの実行そのものを検知・ブロックできる。さまざまなソフトウェアのゼロデイ脆弱性におけるコード実行型攻撃にも対応する。次世代型アンチウイルス機能では、プログラムの構造や振る舞いを解析する四つのエンジンによって、マルウェアの侵入やマルウェアによる攻撃の検知・ブロックを実現している。

EDR機能だけでなく脆弱性対策や次世代型アンチウイルス機能も搭載されたInfoTrace Mark II for Cyberを、ソリトンシステムズは次世代型EDRと称している。「InfoTrace Mark II for Cyberで取得されたログから脅威の度合いを当社が判定する脅威判定サービスなども提供する予定です」(荒木香織氏)

PC操作のログ取得は不可欠に

InfoTrace Mark II for Cyberは非常に高機能であるため、重要インフラなどを運用する機関を中心に導入が進んでいるが、やや高価でもある。そこで、中小企業などに対しては、InfoTrace Mark IIfor Cyberと同等のアンチウイルス機能とPCの操作ログ機能を備えた同社の「Zerona PLUS」というソリューションを提案したい。こちらは利用するクライアント端末数に対するライセンス提供で、中小企業でも気軽に導入できるのが大きな魅力だ。

「インシデントが発生した際にログがなければ何もできません。クライアント端末の操作ログをとっていれば、マルウェアの侵入経路や拡散状況を把握でき、素早い事実関係の確認や初動対応が実現します。侵入を前提とした対策が求められる今、クライアント端末の操作ログを取得できるソリューションの導入は欠かせません」(荒木粧子氏)

Zerona PLUSで取得できる主な操作ログは以下の通り。

■ローカルファイルの参照・削除・名前変更・コピー
■コマンドプロンプトからのファイル操作
■アプリケーションからのファイル操作
■プリンターでの印刷
■リモートデスクトップでのPC操作・接続元IP
■プリントスクリーンの実行
■送信メールの宛先・件名、添付ファイル名

Zerona PLUSで取得できるログはフォレンジックにも使用可能だ。「Zerona PLUSはカーネルレベルでクライアント端末の操作ログを取得します。アプリケーションに依存せず、ユーザーが機能を停止させられない対策も実装しています。これらのログは、サイバー攻撃の状況把握だけでなく、内部不正対策としても利用可能です」(荒木香織氏)

　続きを読む　　ベリタスのデータ保護ソリューションでGDPR対策を