サイバー攻撃の多様化と高度化は進むばかりだ。事業活動に大きな影響を受けた事例も報道された。「これさえやれば自社のサイバーセキュリティを100%確保できる」と言える対策がないだけに、企業のセキュリティ担当者は頭を抱えている。そもそもセキュリティ担当者に任せておけば良いという考え方が時代遅れになろうとしている。
「セキュリティはプラットフォームで守る必要がある」と指摘するセキュリティベンダーがクラウドストライクだ。同社は、デバイスの異常なふるまいを検知して被害の拡散防止や復旧を図る「EDR」(Endpoint Detection and Response)製品のグローバルにおけるリーダーであり、日本でも主要ベンダーとして知られている。
クラウドストライクは、企業におけるサイバーリスクの重要な領域を保護するクラウドネイティブプラットフォームで新たなセキュリティを定義し、提供している。なぜEDRの企業が「プラットフォーム」という言葉を持ち出すのか。
集合知で「サイバー攻撃者の群れを蹴散らす」
クラウドストライク 尾羽沢 功氏クラウドストライクの尾羽沢 功氏(ジャパン・カントリー・マネージャー)は、「当社はEDRベンダーとして日本でも認知が広がっていますが、それだけではありません。会社の成り立ちをぜひ知っていただきたい」と話す。
同社は、現CEO(最高経営責任者)のジョージ・カーツ氏(元マカフィーCTO)が2011年に設立した。洗練された攻撃は、既存のマルウェアベースの対策では防御できない。カーツ氏は、最先端の保護と専門家のインテリジェンスを組み合わせ、単にマルウェアを阻止するだけでなく侵害をも阻止し、攻撃を仕掛けている敵を特定するという全く新しいアプローチが必要だと実感した。
攻撃者を中心に置き、侵害を阻止することに焦点を当てるという新しい方法がクラウドストライク設立の背後にある。社名の「クラウド」はCloud(雲)ではなくCrowd(群衆)だ。サイバー攻撃が高度化する中でバラバラに守るには限界がある。守る側も集まって知見やノウハウを共有し、共に戦うという意味が込められている。
創業当時、クラウドストライクがまず提供したのが「脅威インテリジェンス」サービスだった。同社のインテリジェンスは単なる情報提供ではない。攻撃側の情報と被害組織での攻撃者の動きを掛け合わせ、攻撃者の特定と防御のための知見を提供するものだ。
その後EDRの提供も始めた。当初からクラウドサービスとしてクラウドネイティブで設計され、世界中のユーザーからテレメトリ情報を一元的に集約して分析することでリアルタイムに的確な知見を提供し、それらを製品での検知・防御にも即反映することができた。
その上でNGAV(次世代アンチウイルス)や脆弱(ぜいじゃく)性管理などの機能を追加していった。しかし今日、顧客が購入しているのはインテリジェンスによって強化されたクラウドストライクの知見だ。それはクラウドストライクのセキュリティプラットフォームとも言える。
サイバー攻撃のトレンドはどんどん変化する
企業がプラットフォームを活用すべき理由とは何か。クラウドストライクの鵜沢裕一氏(プリンシパルコンサルタント)は、サイバー攻撃の状況が変わってきていると指摘する。
クラウドストライク 鵜沢裕一氏「クラウドストライクのグローバル脅威レポートで発表していますが、『CrowdStrike Security Cloud』によって脅威とインデックス付けされた全ての検知のうち、62%はマルウェアを使用していませんでした。攻撃者はマルウェアを使用する代わりに正規の認証情報やOSに組み込まれているツールを利用します。従来の対策では検知できなくなっています」
どのような企業でも攻撃対象になり得る。国家支援型の攻撃者グループも存在し、目的を果たすためならコストも手間も惜しまない。
楽に大金を奪えるようになったことも変化の一つに挙げられる。金銭目的のサイバー犯罪をクラウドストライクは「eCrime」(イークライム)と呼んでいるが、ランサムウェア攻撃ではビッグゲームハンティングが増えている。「ランサムウェアの身代金として考えられないような金額を取れるようになりました。攻撃の費用対効果が非常に高くなっています」(鵜沢氏)
鵜沢氏は、サイバー脅威の実態と対応の可能性を2つの事例で説明する。
事例1:自社だけで対処するのは難しい
日本に本社があるグローバル企業で、海外拠点が攻撃を受けて侵害されたサーバから国内拠点へも探索行為が行われたことを検知した。攻撃内容の自社検証では探索行為のみで侵害はされていないと判断した。念のためクラウドストライクに調査を依頼したところ、以下のようなことが分かった。
- 攻撃検知の1年以上前から攻撃者グループによる攻撃を受けていて、国内のサーバに対する侵害もあった
- 自社検証では探索行為のみとの判断だったが、実際には機密情報にアクセスしていた
攻撃者の技術はどんどん進歩している。専門家ではない事業会社が自分たちだけで対処するのは無理がある。
事例2:同業種への攻撃は対岸の火事ではない
ある企業の侵害調査を実施中、同じ業界の欧州企業が同様の手法で攻撃を受けた。その少し後で同業種の他の日本企業が同様の手法で攻撃を受けたことも分かった。
鵜沢氏は「同じ業界の企業が攻撃を受けたなら、対岸の火事ではなく自社も狙われる危険性があると考えるべきです」と指摘する。脅威の状況を真に理解するにはグローバルな視点が必要であり、それは強力な脅威インテリジェンスチームに依存する。
ほとんどの組織にグローバルレベルで脅威インテリジェンスを管理する能力はない。自社が攻撃を受けていないかどうかを詳しく調査し、攻撃されていなかったとしても有事の際に対応できる体制が必要だ。
クラウドストライクが提唱する「プラットフォーム」の中身
攻撃手法の高度化に対して守る側にも工夫が必要になっている。クラウドストライクの鈴木 滋氏(SEチーム マネージャー)は「2つの観点が重要だ」と言う。集合知と1つのプラットフォームだ。
集合知を実現するクラウドネイティブなサービス
クラウドストライクのサービスは、ワークステーションやサーバ、モバイル、IoTデバイスなどに軽量のエージェントをインストールすると、デバイスやサーバの振る舞いがリアルタイムでクラウドにアップロードされる。世界176カ国、約1万6000社のデバイス上の軽量なエージェントを介してテレメトリデータが集まり、それを分析することで今どのような攻撃が起きているかを監視している。
クラウドストライク 鈴木 滋氏「多数の攻撃者グループのモチベーションやツール、手法を監視しています。これと全世界から集めた振る舞いログをリアルタイムで付き合わせることで、『この攻撃は特定国の攻撃者が製造業に向かって攻撃する場合のパターンで、製造業である貴社を攻撃しているようです』といったことが分かります」(鈴木氏)
新しい攻撃が発見されれば検知ルールを追加する。地球の裏側で初めて発見された攻撃でも即座に検知できるようになる。システムで検知できなかったかもしれない1%をも漏らさぬよう、クラウドストライクの専門家が24時間365日の態勢で脅威ハンティングもしている。
1つのセキュリティプラットフォームで複数機能を提供
セキュリティは多様な機能が必要だが、個別に専門装置を導入すると運用が複雑になることが課題だ。
クラウドストライクの場合は、1つのエージェントでEDR、NGAV、資産管理、脆弱性管理、USBデバイス制御、ホストファイアウォール管理、アイデンティティ保護、FIM(ファイル整合性監視)などを提供する。「これら全てを単一エージェントと単一コンソールで提供するセキュリティプラットフォームなので、自社に必要な機能だけを有効にして保護できるのです」(鈴木氏)
クラウドストライク製品の特徴(出典:クラウドストライク提供資料)「中堅・中小企業にとっても必須」という認識を
中堅・中小企業の一部からは「セキュリティにコストをかける余裕はない」という声も聞く。しかし攻撃は企業規模とは関係ない。使用中のソフトウェアに存在する脆弱性を攻撃者は悪用するに過ぎない。自社では認識していないが攻撃者にとって欲しい知的財産が存在するのかもしれない。サプライチェーン攻撃のようにセキュリティが脆弱なポイントとして大企業攻略の糸口として狙われることもある。
「中堅・中小規模の企業では、自社でSOC(セキュリティオペレーションセンター)を持つところは少ないでしょう。セキュリティ対策をシステムインテグレーターにすべて任せていることが多いことは承知しています。そういった企業にはMSPモデルならばパートナーからのサービスとして利用する方法もあります」(尾羽沢氏)
セキュリティは「今後の拡張性、運用性」を視野に入れる
クラウドストライクのプラットフォームは、多くのユーザー企業から高い評価を受けている。
- 「単一機能だけで選択せず、将来を考えてプラットフォームを選択した。Windowsだけでなく、MacやLinuxといったプラットフォームにも幅広く対応できる」(大企業)
- 「クラウドネイティブで、管理サーバのアップデートやウイルス対策のシグネチャ更新などが不要になり、運用・保守の負荷が削減できた」(中堅中小企業)
- 「デバイスやサーバのふるまいの情報が詳細に見えるようになったため、インシデントがあった際、非常に詳細な調査ができるようになった。もはや『CrowdStrike Falcon』がないと、何が起きているのかという可視化もインシデントの調査もできない」(大企業)
クラウドストライクのエージェントは、カーネルモードで非常に詳細なログを取っている。国内だけで導入していた企業が、その有用性から海外拠点の全デバイスにもインストールしたという例がある。高度な検知・防御に加えて柔軟な管理ができることも高評価の一因だ。複数拠点の状況を1つのコンソールで統合管理することもできるし、国ごとや地区ごとに管理を分けることもできる。
「クラウドストライクは、パーパス(存在意義)を持った会社です。日本では2022年1月末までの前月比で顧客ベースを71%、従業員を66%、契約センサー数を56%、パートナー数を105%増加させました。この成長は全て私たちが『We Stop Breaches』、侵害を止めるというミッションを共有して信念を持ってまい進しているからこそです」(尾羽沢氏)
関連リンク
からの記事と詳細 ( いまセキュリティにプラットフォームが必要な理由 - ITmedia エンタープライズ )
https://ift.tt/2RNiMFn
No comments:
Post a Comment