<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

【セキュリティ担当者向け】マルウェアの脅威に対抗するEDR製品でCortex XDRを選ぶ理由

columntitle-1.png

目次

  1. セキュリティインシデントとトレンドについて
  2. セキュリティリスクを少なくするためには
  3. エンドポイント製品の比較
  4. 「Cortex XDR Pro」とは
  5. 構築から運用までをお任せください

1.セキュリティインシデントとトレンドについて

ランサムウェアによる被害

かねてよりマルウェアによる被害はご認識のとおりですが、特にマルウェアの中でもランサムウェアによる被害が2018年頃より世界中で拡大の一途をたどっています。

日本も例外ではなく、2021年6月に入り某カメラ会社におけるランサムウェア感染からの不正アクセス被害、某ファストフード店でのランサムウェア感染からのデータ流出、海外ではアメリカのパイプライン会社で5日間の操業停止になるという被害がありました。また、このサイバー攻撃においてはサイバー犯罪集団「ダークサイド」が関与を認めており、「私たちの目的は金銭であり、社会で問題を起こすことではない」とし、「地政学には関わらないし、私たちの動機は(中略)どこの国の政府とも関係ない」との声明が発表されている事から、本サイバー攻撃は組織化、且つ計画的にビジネスとして行われている事が認識できる事件となりました。

また、毎年更新されるサイバー脅威のランク付けをおこなっている、IPA独立行政法人情報処理推進機構の10大脅威においても、ランサムウェアによる被害は2018年よりトップ10入りをしており、2021年には1位となっています。

テレワークにおける弊害

コロナ禍においてはテレワークが推奨され、多くの従業員は自宅で業務を行っております。


今まであまり意識された事は無いと思いますが、社内であれば社内とインターネットの境界にファイアウォールやプロキシ、サンドボックス等の多くのセキュリティ対策が施されたネットワーク環境、いわゆる「企業の傘」で守られた状態で働いておりました。


しかしながら、テレワーク環境は「企業の傘」の外での業務を余儀なくされ、多くの端末は直接インターネットに接続せざるを得なくなってしまったことで、エンドポイントがサイバー攻撃の脅威に晒されやすくなってしまった為、冒頭でご紹介したIPA10大脅威の第3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインする程セキュリティリスクは高まっています。

テレワーク環境のセキュリティ対策

テレワーク環境のセキュリティリスクが高いことはお話しましたが、では具体的にどのような対処を行う必要があるのでしょうか。

マルウェアの感染経路はほとんどが「メール」や「Web」を経由してクライアント端末に入ってきます。いままでの社内ネットワークだと自動的に危険URLやマルウェアファイルが添付されたメールの多くがファイアウォール等でブロックされ、危険なサイトへのアクセスもブロックされていました。

テレワーク環境になるとこれらのセキュリティ機能が無いためクライアント自体にマルウェアを検知、ブロックするAV機能を持った製品や、マルウェアに感染してもすぐに検知、調査を行うことが可能なEDR製品を導入するなどの対策が必要になってきます。

2.セキュリティリスクを少なくするためには

こういったマルウェア感染のセキュリティリスクを少なくするため、企業はこれまで利用していたエンドポイントに導入する「パターンマッチング型」のセキュリティソフトではなく、「振る舞い検知型※1」のソフトウェアが選ばれる傾向にあり、対策は進んでいるように見えます。

しかしながら、それでも被害が拡大しており、最新のセキュリティソフトを利用しても完全にマルウェアを防御することはできず、最近では侵入される事を前提とし、感染経路や原因を特定し、正確な被害の状況を把握することで、その後の対策を検討する必要が出てきました。

こういった感染後の調査はEDR(Endpoint Detection & Response)機能を持った製品が必要になります。

ただし、日本企業で「EDR機能」まで持っている製品の導入率は21%※2と言われており、高い数字ではありません。

3.エンドポイント製品の比較

現在、NGAV機能とEDR機能を持った製品は数多くリリースされており、製品選定において、どの製品が良いのか迷う方も多いかと思います。

そこで、このNGAV機能とEDR機能、2つの機能が製品ごとにどれだけ違うのかをJBサービスで検証しました。

検証のポイントとしては以下3点を見ていきます。

  • 検証用に用意したマルウェアを検知、防御できるのか。
  • EDR機能で調査できる情報はどこまで精密なのか。
  • 調査に必要な機能が備わっているのか。

検証結果

弊社にて3種類の製品において、主に上の表について機能検証を実施し、製品機能ではB社製品とCortexXDRがほとんどの要件を満たしていましたが、EDR製品に重要な「調査ログの情報量」が優秀な「Cortex XDR」を今回ご提案します。

4.「Cortex XDR Pro」とは

「Cortex XDR Pro」という製品は、「NGAV機能」と「EDR機能」両方の機能を持ったエンドポイントセキュリティ製品です。特徴としては「Wild Fire」というクラウドサンドボックスで検知、および解析された情報を素早く世界各地のPalo Alto製品であるPAやCortex XDRに共有することで、既知の脅威として対応が可能です。

また、「XDR」とは"Xross layered (階層間)"や"Extended Detection and Response"等複数の解釈があり、「Xross layered」は複数の製品セキュリティレイヤーからデータを組み合わせるという意味、「Extended」はエンドポイントを超えたその先まで対象範囲とするといった意味があります。

Cortex XDR Proの検知機能について

ここからは実際に「Cortex XDR Pro」の機能について見ていきましょう。

製品を使用するにはクライアントに「Cortex XDRエージェント」というソフトウェアを導入する必要があります。

このエージェントソフトが入っている端末でマルウェアを検知、ブロックすると以下のようなポップアップが表示されマルウェアをブロックしたことが通知されます。

ブロックポップアップ

危険なマルウェアのブロック検証

Cortex XDRを導入した場合、どのようなファイルがブロック可能かを検証してみました。一例となりますが、ブロックでしたマルウェアの一部を以下の図に記載しました。

流行りの「ランサムウェア」や昔からの「トロイの木馬」等をブロックすることができました。

EDR機能と調査について

次にEDR機能、およびインシデントを検知した際にCortex XDRの管理ポータルでどんな情報が確認できるのかを見ていきましょう。

Cortex XDRのEDR機能について

Cortex XDRのEDR機能はクライアントに導入されたエージェントからのログを収集し、インシデントが発生した際にこのログからクライアントで何があったのか調査できます。

管理ポータルと調査について

EDR機能での調査は、ウェブの管理ポータルからログやプロセス情報を見て調査します。

管理ポータルがどのようなもので、どんな画面で調査するのか、実際の画面を見てみましょう。(調査に使用する画面の一例です。)

ダッシュボード

管理ポータルにログインするとダッシュボードの画面が表示されます。

ダッシュボード画面図※3

  • 全体のインシデント発生率や直近に発生したインシデント概要等のサマリ情報を確認することが可能です。
  • ダッシュボードに表示できる項目はカスタマイズすることが可能です。

インシデントの詳細 プロセスツリー

こちらの画面では以下の情報を取得することが可能です。

  • 発生したインシデント全体のプロセスツリー情報。
  • 各プロセスの情報。

クライアント端末の動作を確認

こちらの画面では以下の情報を取得することが可能です。

  • クライアントの操作履歴。
  • 何時にどんな操作をしたのか。

これらは調査に使用する画面の一例です。

自動的に吐出されるアラート情報を取得後、管理ポータル画面と分析レポートからマルウェアによる新たなファイルの作成や外部との通信の履歴、各プロセスの動作が確認できます。または社内での横歩き感染の有無等を確認、場合によっては整合性を確認する為にネットワーク機器のログと照合等を行い、インシデント全体から見たネットワークの細かい内容を把握します。また、クライアント側の操作ログを調査する事で、マルウェアの感染や侵入した原因も確認することが可能です。

これら情報はすべてCortex XDRで読み取る事が可能ですが、インシデント全体の内容を複合的に確認する事は困難であり、さらにその後、適切な対応が必要となる事を考えると、専門的な知見を持った者の判断が不可欠であると言えます。

分析レポートの一部※4

また、社内での事例になりますが、毎日同じ時間に発生するインシデントがありました。詳細な調査をしたところ「プロセスの細かい動き」と「毎日同じ時間に発生する事」「端末の動作ログ」からバックアップの動作を検知していると判断し、過検知としてホワイトリストに入れたという事例もありました。このような判断もインシデント調査には必要になってきます。

このように膨大な情報の中から情報をまとめ、一つのインシデントがどのような被害や影響を及ぼすのかという事については、セキュリティの専門知識を有しない情報システム担当者では困難であり、長年インシデント調査を担当してきた専門的な知識を持っている人員が必要になります。

そこで、これらの専門的な知識や運用実績をお持ちでないお客様のために、JBサービスは「Cortex XDR」の運用サービスである「XDRマネジメントサービス」を用意しております。

5.構築から運用までをお任せください

エンドポイントセキュリティ製品の導入後で一番大事なことは「導入後も状況に応じて設定を変える事」「有事の際に情報を整理し適切な対処を行う事」の2点です。

JBサービスは「Cortex XDR」を構築から運用、有事の際の調査を一括してご提供します。

「Cortex XDR」製品や「XDRマネジメントサービス」に興味を持ち、エンドポイント対策でEDR機能を含め対策したいというご要望がありましたらJBサービスまでご相談ください。

おすすめサービス

XDRマネジメントサービス

XDRマネジメントサービスは、パロアルトネットワークス社のCortex XDRの日常運用を代行し、重要アラート発生時にはお客様に緊急の連絡及び対処をご支援します。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »

参考

※1「振る舞い検知型」は「Next Generation Antivirus(NGAV)」とも呼ばれています。

※2タニウム合同会社の調査結果「国内EDR実態調査」

※3画像の項目はデフォルト項目です。管理ポータルは日本語化対応していません。一部画面の情報をマスキングしております。

※4分析レポートはすべて英語となります

関連サービス
Cortex XDR Prevent & Cortex XDR Pro(旧Traps)| 次世代型エンドポイントセキュリティ対策

Cortex XDR Prevent & Cortex XDR Pro(旧Traps)| 次世代型エンドポイントセキュリティ対策

Cortex XDR(旧Traps)とは、日々巧妙化する既知・未知問わないマルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、万が一マルウェア感染してしまったとしても検知と対処(EDR)機能も持ったエンドポイントセキュリティ製品です。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »