標的型サイバー攻撃は日々巧妙化する一方です。標的型サイバー攻撃による、企業からの個人情報漏洩の報道を目にする機会も増えてきました。
侵入された多くのケースでは、侵入からかなりの時間がたって気づく場合が多くみられます。当社で対応したインシデントの統計では、最初に侵入されてから侵入の確認がされるまでに、平均すると約5カ月以上もたっていることが明らかになっています(*1)。
このような「気づきにくい脅威」に対しては、事前に侵入を防ぐ入口対策だけではなく、出口・内部対策といった企業のネットワークに侵入されることを前提とした対策の重要性も提唱されています。
そのような背景の中で、昨今、新しい対策が注目されています。端末を調査することで、サイバー攻撃の侵入原因・経路・被害状況の可視化を行い、インシデントレスポンスを支援するエンドポイント対策です。本連載では、この新しい対策の考え方「EDR(Endpoint Detection and Response)」について、解説します。
現在主流の対策には課題がある
まずは、現在実施されている標的型サイバー攻撃への対策はどのようなものか、みていきましょう。図1は、現在主流となっている標的型サイバー攻撃対策のイメージを示しています。侵入の出入口でメールやWebの通信、ファイルのやりとりを監視し、不正プログラムを発見した際には防御します。
さらに怪しいファイルについては「サンドボックス」と呼ばれる仮想化技術を用いて解析する手法が多く利用されています。サンドボックスは、仮想的なクライアントパソコン環境を構築し、その中で怪しいプログラムを実際に実行稼働させる仕組みです。
その挙動により「黒」と判明した際には、そのプログラムを脅威情報としてゲートウエイ対策製品やIPS製品と共有し、同じ攻撃を止める、といった対策をするわけです。
