エンタープライズ向けセキュリティ対策! サイバー脅威の検知、対応、予測まで。 ~ESET製品のご紹介~トピックス・イベントレポート
キヤノンITソリューションズ
エンドポイントセキュリティ企画本部
企画部企画一課
石橋 春花 氏
-
※
所属・役職は2018年12月現在のものです。
キヤノンITソリューションズは、2018年末~2019年にかけて、ESETのエンタープライズ向けセキュリティ製品の新製品、および新バージョンを発売していきます。このワークショップでは、エンタープライズユーザーやエンタープライズ向け製品を取り扱う販売店向けに、それらの製品についての紹介が行われました。
ESET社の紹介
ESET製品の開発を行っているのは、スロバキアで1992年に創業したESET社です。同社の創設者であるPeter Paško氏らは、1987年(チェコ・スロバキア時代)にウイルス対策ソフトウエア「NOD」を開発しました。「NOD」は、当初より低スペックなマシンでも利用できるソフトウエアとして開発されており、その考え方は現在の同社の製品にも受け継がれているといえるでしょう。
1992年の創業後に発売したウイルス対策ソフトウエア「ESET NOD32」は、マルウェアの検出を対象にした「VB100アワード」をはじめて受賞するなど世界中で高く評価され、1995年にはESET製品の大きな特徴のひとつである、ヒューリスティック技術とふるまい検知、および最初の機械学習を実装。また、1999年のアメリカでの拠点開設を皮切りに、世界各国にオフィスを設置しています。
キヤノンITソリューションズは、同社の国内販売総代理店として、2003年より日本でのESET製品の販売を開始しました。なお、ESET社とキヤノンITソリューションズは、2018年9月1日に国内市場におけるESET社のプレゼンス向上と、企業や個人への新規ソリューションの提供を目的とした合弁会社である、イーセットジャパン株式会社を設立しています。
ESET社とキヤノンITソリューションズとの連携
ESET製品の日本総販売代理店であるキヤノンITソリューションズは、これまでSIerとしてお客さまにさまざまな製品・サービスを提供してきた経験による提案・サポート力と、ESET製品の高い性能を組み合わせることで、高い顧客満足度を実現してきました。
そんなキヤノンITソリューションズでは、ESETの法人向け製品として、総合セキュリティ製品「ESET Endpoint Protection Advanced」や、ウイルス・スパイウェア対策製品「ESET Endpoint Protection Standard」をはじめとした、さまざまな製品を提供しています。
また、Webサイト「マルウェア情報局」では、セキュリティ関連ニュースやトレンド解説、マルウェアレポートなど、最新のセキュリティ情報を発信中です。
近年のサイバー脅威の状況
続いて、石橋氏は近年の代表的なセキュリティ脅威として、「Lojax(ロージャックス)」「Crime as a Service」「APT」の3つを挙げました。
「Lojax」は、UEFI(注1)に感染する、いわゆるUEFIルートキットです。UEFIが悪用される可能性については、かねてより語られていましたが、UEFIルートキットとしては「Lojax」が世界初となります。
「Lojax」の特徴は、OSが起動する前に(マルウェアとしての)処理が実行されるため、ユーザーが感染に気づきにくいことです。また、いったん感染してしまうと、OSをインストールし直しても消去できず、防止策も最新のチップセットを使用することや、最新のUEFIファームウェアへのアップデートでしかない対処の難しさも、大きな特徴といえます。
(脚注1)
UEFI:Unified Extensible Firmware Interfaceの略で、PCのファームウェア(ハードウェアを制御するためのソフトウエア)とOSとの間をとりもつソフトウエアのことです。従来のBIOS(Basic Input/Output System)を置き換えるものとして登場しており、近年多くのPCで使用されています。
「Crime as a Service」は、ダークウェブ(注2)などで販売されているマルウェアや不正侵入キットなどサイバー犯罪のためのツール、およびそれを利用した攻撃のことです。「SaaS:Software as a Service」のように、サイバー犯罪があたかもサービスのように提供されていることから、こう呼ばれています。
そんな「Crime as a Service」の中でも、石橋氏が特に挙げたのが「RaaS:Ransomware as a Service」(SaaSを「サーズ」と発音するのに倣って、RaaSは「ラーズ」と発音されます)です。ダークウェブでは、ランサムウェアやC&Cサーバ(注3)がサービスとして販売されており、サイバー犯罪者はそれらを購入することで、簡単にランサムウェアによる攻撃を実行できます。必要なツールがすべて販売されているので、専門的な知識を持たない人でも簡単にランサムウェアによる攻撃を実行可能になっているという事実は非常に深刻です。
(脚注2)
ダークウェブ:インターネットには接続されているものの、アクセスするために特定のツールや認証などが必要な、オーバーレイネットワークに存在しているWebサイト群。
(脚注3)
C&Cサーバ:コマンド&コントロールサーバ。ランサムウェアから送信された被害PCの情報(OSの詳細な情報やIPアドレス、ランサムウェアを実行したアカウントのアクセス権限など)の受信や、被害PC上のファイルの暗号化に必要な暗号化鍵の送信を担う、ランサムウェアによる攻撃に欠かせないサーバです。
「APT」は、「Advanced Persistent Threat:高度で持続的な標的型攻撃」の略で、大手企業や外交機関を標的に、機密情報を盗み出すことを目的として行われます。攻撃には、標的に合わせてカスタマイズされたマルウェアが使用され、「Cyber Kill Chain(サイバーキルチェーン)」と呼ばれる複数のフェーズによって構成されているのが特徴です。また、攻撃の巧妙さもあって、被害が発覚するまで数年かかる場合もあります。
ESETのエンタープライズ向けセキュリティ製品
「Lojax」「Crime as a Service」「APT」に代表されるように、近年のサイバー脅威がますます巧妙化・複雑化する中で、石橋氏はこれまで防御がメインだったエンタープライズ向けのセキュリティ対策について、今後は「予測」「対応」「防御」「検知」「総合管理」を提供したい、と語りました。
ESET製品では、「予測」を「ESET Threat Intelligence」が、「対応」を「ESET Enterprise Inspector」が、「防御」を「ESET Endpoint Protection」が、「検知」を「ESET Dynamic Threat Defense」が、「総合管理」を「ESET Security Management Center」が担っています。
「防御」を担う「ESET Endpoint Protection」は、Windows、Windows Server、macOS、Linux(Desktop/Server)、AndroidのマルチOSに対応しており、12月13日に提供が開始された新バージョン(V7)では、新機能としてソフトウエアのふるまいなどからランサムウェアであることを検知する「ランサムウェア保護」や、先に述べた「Lojax」のようなUEFIに感染するマルウェアを検知する「UEFIスキャナー」が追加されたほか、「ボットネット保護」機能がさらに強化されました。
なお、ウイルス・スパイウェア対策ソフトとして、クライアント向けの「ESET Endpoint アンチウイルス」、ファイルサーバ向けの「ESET File Security for Microsoft Windows Server」も用意しています。
「総合管理」を担う「ESET Security Management Center」も、「ESET Endpoint Protection」とともに12月13日に新バージョン(V7)の提供が開始されました。新バージョンでは、名称が従来の「ESET Remote Administrator」から変更されており、ユーザーインターフェースを刷新し、状況をよりわかりやすくすることで、セキュリティ管理者の運用負荷を軽減しています。また、ワンクリックで詳細情報が表示可能なほか、ハードウェア情報の取得にも対応するなど、セキュリティリスクの可視化を支援する機能強化が行われました。
「検知」を担う「ESET Dynamic Threat Defense」は、2019年上半期の提供開始予定です。不審なファイルをクラウドに送って検査でき、不審ファイルは自動/手動での送信に対応しています。
「対応」を担う「ESET Enterprise Inspector」は、2019年内に提供開始予定のEDR(Endpoint Detection & Response)です。検出→可視化→対応の3段階で標的型攻撃やAPTへの対策を実現しており、サーバにデータを送信することでリアルタイムでのイベント収集を可能にしています。
「予測」を担う「ESET Threat Intelligence」は、2019年内の提供開始予定です。自動解析、あらかじめ設定したルールに基づく早期警告、共通のフォーマットでデータを共有するデータフィールドによって、マルウェアの自動解析や脅威情報を提供します。