catch-img

アンチウィルスだけだとちょっと不充分、EDRはコストが、、そんな課題を解決します!


目次[非表示]

  1. 1.はじめに
  2. 2.標的型攻撃・ランサムウェアによる被害
  3. 3.従来型アンチウィルスでOK?
  4. 4.EDR検討するも運用コストが。。
  5. 5.未知の脅威に対応して、運用コストも低い製品は?
  6. 6.さいごに

はじめに

夏本番、とても暑いですね。コロナ禍の中で、東京五輪も始まりました。そんな状況の中、出社制限をしていたり、控えている企業様もいらっしゃるかと思います。緊急事態宣言も拡大の方向で数んでいます。政府もテレワーク推奨してるようですが、皆さんの中にもほぼ毎日テレワークしているという方もいらっしゃるのではないでしょうか。(私もそのうちの一人です(笑))


大企業は、コロナ前からテレワーク対応してきたという企業様が多いと思いますが、中堅企業様・小規模な企業様ですと、そこまで準備されているところは少ないのではないでしょうか。社給端末持ち帰りに伴う、セキュリティ対策、皆さんどうされてますでしょうか。


標的型攻撃・ランサムウェアによる被害

標的型攻撃という、特定の企業を狙って情報を搾取しようとする攻撃がこの2、3年とても増えてます。最近ですと、ランサムウェアという身代金目当てのウィルスが多く出回っており、米国の石油関連会社も攻撃され、ウィルスによって電子データを暗号化されてしまい、暗号化解除と引き換えに多額の身代金を攻撃者から要求されました。昨年は日本でも大手自動車メーカーの工場がウィルス攻撃によって停止するなどの被害もありました。

大企業でないから狙われないよと考えている方もいらっしゃるかと思いますが、中小企業でも特殊技術、ノウハウなどを持っているケースも多く、そのような情報を狙われることもあるかもしれません。最近は既存のウィルスから未知のウィルスを誰でも簡単に生成できてしまうそうです。


従来型アンチウィルスでOK?

ほとんどの皆さんのPCに入っているアンチウィルスソフト(以下「従来型アンチウィルス」と呼ばせていただきます)、これはウィルスを止めるためのソフトなのですが、未知の脅威への対策としては実は不十分だということはご存じでしたでしょうか。

新しいウィルス(未知の脅威)が出回ってから、各アンチウィルスソフトメーカーが、そのウィルス情報を認識し、対応パッチをリリースするまで数日程度かかると言われております。その間アンチウィルスソフトを導入していても、その新しいウィルスに対しては未対策、つまり丸腰という状態になります。また、あまり語られていませんが、新しいウィルスも出現してから数か月~数年たつと、それほど世に出回らなくなります。アンチウィルスメーカーはそのような、出回る頻度が少ないウィルスに対応するデータを順次削除していくようです。古いウィルスだからと言って侮れません。


従来型アンチウィルスと未知への脅威


EDR検討するも運用コストが。。

未知への脅威に対しては、近年盛り上がりを見せてきているものが、EDR(Endpoint Detection and Response)と呼ばれる製品です。端末側にコピーされたファイルのうち、不審な動きをするものがないか監視する機能を主としたソフトです。この製品で、従来型のアンチウィルスで取り逃がした未知への脅威(新しいウィルス)を捕獲・隔離します。

非常に良い製品なのですが、課題があります。一つ目は、ウィルスかどうか疑わしいものを見つけるたびにアラート(警報)を多数出します。振る舞いからウィルスかそうでないかを判断することが難しいというジレンマがあり、アラートの中にはウィルスではないものも多数含んでしまいます。二つ目は、一つ目の結果として、多数のアラートをひとつひとつ調査する手間が必要になります。アラートの数が多ければ、この手間も同じ分かかります。

この2つの課題を解決するため、SOC(Security Operation Center)、つまり、専任の運用チームを結成し、日夜、アラートがあがってきた際、本物のウィルスかそうでないか確認し、どのようなウィルスなのか結論付ける人たちが必要になります。このSOCというチームは自社で準備する場合もありますが、高度なセキュリティの知見が必要になるので、セキュリティに詳しい会社が提供しているサービスに一任する場合もあります。いずれにせよ運用コストがかさむことは間違いありません。


未知の脅威に対応して、運用コストも低い製品は?

さてこれまで、

①    従来型アンチウィルス製品だけだと未知への脅威に対応できない。

②    EDRという未知への脅威に対応する製品を活用しようとすると、アラートが多く上がってくるため結果的に対処のため運用コストがかかってしまう。

というお話をしてきました。

実は、この①を満たして、②の運用コストを低減する製品を、当社で取り扱っております。

「Deep Instinct」という製品は未知への脅威にも対応できる新世代型アンチウィルス製品です。「深層学習=Deep Learning」というAIをベースにした製品で、ファイルの中身を見て止めるところは従来型アンチウィルス製品と似ていますが、ウィルスの亜種など、世に出回っていないウィルスも深層学習の知見から止めることが出来る製品です。またEDR製品のように振る舞い検知に機能の主軸を置いていないので、ほとんどアラートを出しません。基本的には水際ですべてを止めてしまおうという製品です。

未知への脅威にも対応するが、運用負荷は従来型アンチウィルス製品と同等ですので、専任のSOCも不要です。

もしご興味ありましたら、以前こちらに掲載した記事にも説明がありますのでご参照ください。

ご参考に、これまで説明してきた従来型アンチウィルス、当社取り扱いのDeepInstinct(いずれもEPP=Endpoint Protection Platform、つまり水際で防御する製品です)、EDRについて、それぞれがどのような位置づけになるのか、簡単に図にしました。


エンドポイントセキュリティ製品のカテゴリ



さいごに

EDRを検討しているが、導入・運用費用がかかりそうで、そこまでやるべきかに二の足を踏んでいる、という方がいらっしゃいましたら、是非一度ご検討いただければと存じます。また、本製品は従来型アンチウィルスからの置き換えを想定しておりますが、従来型アンチウィルス製品からの完全な置き換えが不安なお客様、従来型アンチウィルス製品の契約がまだ残っているお客様については、並行導入も可能です。また、EDRを既に導入済みのお客様についても、本製品を導入することで未知への脅威も含めた多くのウィルスを水際で止められますので、その後工程であるEDRの運用負荷が減ることも想定されます。

本ページ右上の「お問い合わせ」ボタンからお気軽にご連絡ください。


  あの”emotet”も検知!? ディープラーニングがもたらすセキュリティの新たな可能性 これまで従業員のPCは社内ネットワークに接続され業務を行っていましたが、今では自宅のインターネット回線に依存している状況となっています。これは言い換えると、今までのやり方では従業員のPCを管理出来ないということです。この状況は、多くのシステム担当者にとって喫緊の課題となっており、中々テレワークが進まない一旦にもなってしまっています。 ネットワークに頼らずともPCを守ってくれる”何か”をご紹介します! ネットワンパートナーズ株式会社ブログサイト



松本 有広(まつもと ありひろ)

松本 有広(まつもと ありひろ)

2012年7月ネットワンパートナーズ入社。 入社後6年間はネットワーク技術者として従事。2018年10月から現職であるビジネス開発部第2チーム所属。 好きな言葉は:「意志あるところに道は開ける」