ランサムウェア対策としてのEDRとセグメンテーション
EDR の役割
2000年ごろ、対ウィルスの代表的なセキュリティ製品は EPP (Endpoint Protection Platform) でした。この頃はまだ EPP という名前ではなく、AV (Anti-Virus) などと呼ばれ、ウィルスの侵入を防ぐこと (Protection) に特化したセキュリティ製品でした。EPPでのウィルスの検知方法は、予めウィルスファイルのデータの並びの特徴をパターンとし、検査対象のファイルにパターンが存在するかを探すものであり、実行前にウィルスファイルを発見することが主な機能でした。攻撃者は、このパターンを迂回できるように亜種と呼ばれるパターンに一致しないウィルスを大量に作成することで、パターンでの検索を無意味なものにしてしまいました。
その後2015年ごろ、EPP の代替として出てきたセキュリティ製品が、EDR (Endpoint Detection and Response) です。困難になった実行前の発見を諦め、EDR は、実行後 (感染後)のウィルスが行う似通った振舞いに着眼し、その振舞いのパターンを検知 (Detection) し、封じ込める (Response) 方法に舵を切りました。EDRでは感染することが前提になりますが、感染端末を封じ込めることで二次被害対策となりました。
ところがEDRが発売され、しばらくしてウィルスがマルウェアやランサムウェアと呼ばれはじめる頃、攻撃者はより技術力や攻撃力を高めました。その結果、振舞い検知を逃れる高度なランサムウェアが登場し始め、EDR は以前ほど有効な対策ではなくなってきています。
図1. ランサムウェア対策の対応フェーズと対応製品
もちろん、EDR は今も有効な手段ですがそれだけでは不十分になってきているため、原点に戻り感染防止と併用して対策を取ることが主流の流れになっています。現在感染予防対策には、EPP以外にも様々なセキュリティ製品がありますが、中でも注目されているのはセグメンテーションの手法です。セグメンテーションが何故注目を浴びているのでしょうか。次の章で説明します。
感染対策の三原則
そもそもどのようにして感染は起こるのでしょうか。感染を引き起こす条件には3つあり、その条件が重なった時、ランサムウェアに感染します。理想的な予防対策はこの3つの条件に合わせた対策をそれぞれで実施することです。それでは順番に3つの条件について説明します。
図2. 感染対策の三原則
1つ目は「感染源」です。ここで言う感染源とはランサムウェアや攻撃者になります。この感染源を環境に持ち込まないというのが先ず最初に必要な対策です。
主な対策は以下のようなものがあります。
- ランサムウェアの除去 (メールセキュリティ、Web セキュリティ、IPS)
- C&Cサーバとの遮断 (Web セキュリティ、DNS セキュリティ)
- 早期発見 (SIEM、NDR、XDR)
2つ目は「感染経路」です。勘違いされやすいですが、これは外からの侵入経路だけを指すのではなく、内部のネットワークでの経路も指します。一旦感染源の侵入を許した場合、どうなるでしょうか? 感染経路対策をしていなければ、ランサムウェアは自由に攻撃ができ簡単に感染を広げます。
一部では閉域網についての神話的な安心を持たれている方もいます。また、 EDR に非常に信頼をおいている方もいます。残念ながら感染源の侵入を完全に排除できるというのは夢物語と考えた方が良いでしょう。どんな環境でもメンテナンスやストレージなど、なんらかの手段でデータのやりとりは発生します。このような閉域網を有効な対策と考えている環境は、感染経路やアセットへの対策が脆弱であることが多く、一度侵入されると簡単に感染が拡大させられます。
対策としては不必要な通信経路を排除することです。許可する通信経路を IP アドレス、ポートで厳密に管理することです。現在の対策はファイアウォール (FW) をメインに実施することが多く、スイッチと併用する場合もありますが、多くは守る範囲の粒度が粗く、統一的、統合的な管理はほぼ絶望的です。
感染経路の主な対策は以下のようなものがあります。
- 通信可能な経路と業務で実際に利用されている経路の把握
- 不必要な経路の破棄
- FW やスイッチなど様々な製品での制御
3つ目の「アセット」は、サーバーやクライアントなど機器全般を指し、それらの健康状態の維持や抵抗力の向上が求められます。健康状態の維持にあたるのが OS のパッチ適用や使用ソフトの更新です。OS のパッチ適用はよく行われますが、使用ソフトの更新は忘れがちです。使用ソフトに脆弱性があれば簡単に感染してしまうので、使用ソフトの更新も適宜行ってください。抵抗力の向上については、EPP やOSファイアウォールの利用が手段の1つとなりますが、補助的な意味で EDR も有効であると言えます。
主な目的、対策のまとめです。
- パッチの適用
- ソフトの更新
- EPP、OSファイアウォール の利用
一般的に、1の感染源、3のアセット の対策は十分に行われています。一方で、2 の感染経路については古いやり方のままで、不十分な状況がしばしば見受けられます。1、3 中心の対策だけで感染確率を十分に下げるのは困難です (図2. 感染対策の三原則内の 
対策の順番としては、1. 感染源の排除、2. 感染経路の遮断、3. アセットの抵抗力の向上と進め、回していくのが良いと考えられています。
アタックサーフェス マネージメント (Attack Surface Management)
アタックサーフェスとは、攻撃者がアセットへの攻撃点や攻撃経路となるシステム上の領域や境界線を指します。このアタックサーフェスには、アセット、サービス、経路、構成されるソフトなどが含まれます。アタックサーフェスマネージメント (ASM) とは、攻撃者の視点からサイバー攻撃が行われる可能性のある組織のアタックサーフェスを把握し、セキュリティを強化する取り組みや技術のことを意味します。
つまり、「アセット、サービス、経路の存在の把握と内容の理解」をして、そして「セキュリティ対策を実施」することが目的になります。アタックサーフェスマネージメントは、感染経路対策として有効な手段です。
エージェント型セグメンテーション
Akamai Guardicore Segmentation は OS にエージェントをインストールすることで IPアドレスに依存しないアセットの特定、OS 内の情報の収集、通信の可視化と制御ができるようになります。
導入時の流れについて順に説明します。
導入前
0. 初期
導入前はどこにアセットがあるのか、どのようなサービスがあるのか、ないのか不明な部分がありました。
正しく状況を把握できなければ、正しいセキュリティ対策は行えません。
エージェントのインストール
1. アセットの把握
エージェントをインストールすることで、インストールされたアセット (管理アセット) が把握できます。エージェントの入っていないアセット (非管理アセット) は、管理アセットと通信すると可視化されます。
2. 通信経路の把握
エージェントは管理アセット、非管理アセット関係なく、どこと通信を発生しているかの情報を収集し、通信マップとして可視化できるようになります。
3. サービスの把握
エージェントは通信の情報と同時にその通信を発生させているソフトウェアやユーザーを特定し、ログとして保存します。
エージェントを導入することで「アセット、サービス、経路の存在の把握と内容の理解」、つまり、アタックサーフェス を把握できます。
セグメント化とポリシーの適用
4. セグメント化
用途や対策の目的に合わせてグルーピング (セグメント化) します。これがアタックサーフェスとなります。Guardicore では1つのアセットが複数のグループに所属できるので柔軟な対策が取れます。
5. ポリシー適用
セグメント化されたアタックサーフェスに合わせて適切なルール/ポリシーを策定し、適用することで安全な通信経路が確保され、不必要な通信経路が遮断できます。
アタックサーフェスが把握できましたら「セキュリティ対策を実施」では必要に合わせたセグメント化をし、ポリシーを適用することでアタックサーフェスマネージメントが実施できます。
従来のセグメント化では1つのアセットは1つのセグメントにしか所属できませんでした。現在の複雑な環境や条件下での運用は非常に負担になります。このセグメント化についてはまた別の機会で紹介したいと思います。
このようにして、効率的に「アセット、サービス、経路の存在の把握と内容の理解」ができ、「セキュリティ対策を実施」が可能となりました。
XDR、NDR の位置づけ
EDR と並んでよく挙がる製品に NDR (Network Detection and Response) があります。NDR はネットワーク機器と連携することが多く、通信情報を取得し、状況 (振舞い) を分析し、異常を検知します。つまり、監視が主な役割となり、通信制御は別途手段が必要になる傾向です。この検知は侵入時や2次感染拡大時の早期発見に有効です。根本的には感染後の対策に位置づけられますが、感染対策としては、「感染源」での早期発見に役立つと考えられます。
最近よく聞くXDR (Extended Detection and Response) 、この場合はどう考えるべきでしょうか。XDR は EDR の進化系と言われていますが、登場した背景は EPP→EDR の流れとは違います。XDRは統合監視管理のためのツールであるSIEM (Security information and event management) と SOAR (Security orchestration) から派生しました。そのため、管理者が監視しなければいけないポイントは、エンドポイント、ネットワーク、サービスなど数多くあります。EDRでインシデントが上がったとしても様々なポイントで相関を追う必要があります。これらのテレメトリと呼ばれる情報を収集、分析、対応することは現場にとって非常に負担が大きいです。この分析や対応を行う機能を含んだのがXDRになります。そのため、EDR と比較すると、ネットワークベースも対応でき、ログを収集して分析でき、制限はありますがインシデント発生時、自動対応できる製品も多くあります。非常に魅力的な製品ではありますが、やはり攻撃者やウィルスの動きの検知が主眼となりますので、EDR や NDRと同様、感染予防というよりは感染後の対策のための製品と言えます。
まとめ
EDR とマイクロセグメンテーションの違いは何だったでしょうか? 先ず、ランサムウェア対策においては、セグメンテーションは事前対策に位置し、EDR は事後対策に位置します。また、セグメンテーションは感染予防では重要な感染経路の遮断に有効ですが、EDR はそれほど有効ではありません。一方、EDR は感染後の対策として有効です。もちろん、セグメンテーション、EDR でもお互いのカバーしている機能を持つ場合もありますが、主機能ではなく補助的な意味合いが強いため、代替とするのは十分ではないと言えます。
重要なことはそれぞれの目的が違うことを理解し、セキュリティ的に抜けや低いレベルをつくらないことです。全体のセキュリティレベルはもっとも低いところになってしまうからです。もし、対策が不十分な箇所があれば、そこを攻撃され感染してしまうでしょう。
現在導入している製品の目的を整理し、重複した製品の整理と抜けている機能を見つける1つの目安として資料を使用して頂ければ幸いです。
関連Link
