“ライフサイクル”で考えて効率化する脅威対策

防御力とレジリエンスを徹底強化

防御、検知、復旧、適応のバランスがとれた脅威対策を

関連資料、資料公開中!

サイバーレジリエンスとは?

サイバー攻撃はつねに巧妙化・高度化し続けており、未知のマルウェアは指数関数的に増加しています。このような状況下でセキュリティが防御力だけに依存していると、その防御が破られても長期間気づくことができず、下図の赤いラインのように、ビジネスの成長に大きなダメージを与えてしまう傾向があります。

そこで、近年重要視されているのがレジリエンス(回復力)という考え方です。

経済産業省の「サイバーセキュリティ経営ガイドライン」で指摘されているように、脅威を100%防ぐことは非現実的であり、「事案は起きるもの」として認識する必要があります。そのため、万が一脅威の侵入を許してしまったとしても、その予兆や進行を確実に「検知」し、迅速な「一次対応」や「復旧」する仕組みを備えるなど、ビジネスへの被害が深刻化する前に素早く立ち直れる工夫を長期的かつ継続的に強化するようなサイバーレジリエンスを高める取り組みが重要になっているのです。

迅速な検知と一次対応の仕組みを予め組み込みレジリエンス(回復力)を高める

迅速な検知と一次対応の仕組みを予め組み込みレジリエンス(回復力)を高める

ページトップへ戻る

防御力とレジリエンスを兼ね備えた脅威対策の実現へ

100%の防御が難しいとはいえ、防御力を継続的に強化し最大限に活用しなければ、対応の迅速化や被害の最小化はできません。エンドポイントにおける防御力が高くなればなるほど、「検知」や「復旧」に割くことのできるリソースも増え、サイバーレジリエンスの向上を実現することが可能になります。

巧妙化・高度化する脅威に対抗していくためには、シグネチャファイルやブラックリストによる従来型防御では不十分であり、機械学習や動的隔離のような新しい技術を積極的に取り入れていく必要があります。
例えば、McAfee Endpoint Security 10に実装された「Real Protect」は、マルウェア実行前だけでなく、実行後の振る舞いについても機械学習を行い、クラウド上のエンジンと連携しながらリスクが高い動作を停止できます。実際の環境で振る舞いをチェックするため、サンドボックス回避機能を備えたマルウェアも逃しません。同じく「Dynamic Application Containment(DAC)」は、疑わしいファイルを制限付きで実行して様子を見るもので、「一度実行されたら終わり」であるようなランサムウェアも、リスクの高い動作をした時点で停止させることが可能です。

防御力を継続的に強化しながら、マルウェア実行後の検知・復旧の仕組みを充実

防御力を継続的に強化しながら、マルウェア実行後の検知・復旧の仕組みを充実

マルウェアが実行されてしまった後の対応を重視したエンドポイントセキュリティ対策は、EDR(Endpoint Detection and Response)と呼ばれ、新しい製品がいくつも市場に送り出されています。「検知(Detection)」と「対応(Response)」を柱とするEDRは、レジリエンス向上の核となるものと言えます。

エンドポイントがマルウェアに感染したとしても、その兆候や進行を確実に「検知」し、感染ファイルの削除やプロセス停止といった「対応」を迅速に行える仕組みを充実させることによって、事態が深刻になる前に復旧できるサイバーレジリエンスを高めることが可能になります。
マカフィー製品では、未知の脅威をサンドボックスで検出する「McAfee Advanced Threat Defense」(ATD)、得られた情報をいち早く組織内で共有する「McAfee Threat Intelligence Exchange」(TIE)、エンドポイントでの検出・対応を支援する「McAfee Active Response(MAR)」といった製品群が連携し合って、レジリエンスを高める役割を担っています。

実際、マカフィーがこれらのソリューションを活用した結果、未知の脅威を検知してから、影響を受けたエンドポイントを特定し、処置を実行するまでの所要時間を約3 分半に、得られた情報に基づく対応策を組織内の全セキュリティ製品に反映させるまでの時間を約7分に短縮することに成功しています。これまで数時間から数日掛かっていたことを考えれば、エンドポイントにおける検知と復旧を飛躍的にスピード化・効率化できることになります。

未知の脅威の検知から一次対応の実行まで

数時間〜数日 > 約4分

未知の脅威の検知から対応策を組織全体に反映させるまで

数時間〜数日 > 約7分

マカフィーの技術による所要時間の短縮

ページトップへ戻る

対応スピードの向上と運用負荷軽減の両立

しかしここで、私たちは運用上の大きな壁に直面することになります。EDRを含む複数のテクノロジーを組み合わせていた従来のエンドポイント対策は、製品間・組織間の連携が取りにくいため、横断的な脅威情報の確認やナレッジの共有ができません。そのため、個々の製品や対策の効果を活かしきることができず、運用負荷の増大による対応の遅れから被害が拡大していくという負のスパイラルにとらわれているのです。

マカフィーの統合されたアプローチで運用負荷を軽減

マカフィーの統合されたアプローチで運用負荷を軽減

脅威の兆候を把握できるか、調査を迅速に行えるか、素早いアクションを起こせるか、といったサイバーレジリエンスの課題は、被害の大きさに直接影響します。上図右のように、さまざまなテクノロジーを統合できるセキュリティ基盤があれば、運用を効率化できるだけでなく、「エンドポイントの保護」「高度なマルウェア検出」「脅威情報の共有」「エンドポイントでの対応自動化」といった機能を連携させながら、高度なサイバー攻撃に対応するために必要な対策を短時間で展開し、被害を最小化することができます。

ページトップへ戻る

資料のご紹介

脅威対策ライフサイクルについて、より理解を深め、さまざまな事例や活用のヒントを知っていただくために、資料をご用意しました。

詳しくはこちら