2017年は大規模な情報漏洩がいくつも起きた年でした。Equifax、Uber、Forever 21、OneLogin、ベライゾン、アービーズなどの企業の情報漏洩がトップニュースになりました。技術が進歩し、境界ベースのセキュリティ保護プラットフォームが広く普及しているにもかかわらず、企業は今もなおサイバー犯罪の標的にされています。
というのも、境界ベースのソリューションは必要ではあるものの、最新の巧妙なサイバー攻撃から100%身を守ることはできないからです。さらに、セキュリティ上の重要な決定を人間が担っている限り、ヒューマンエラーのせいでしばしば脆弱性を招くことになります。
2017年に起きた大規模な情報漏洩の中には、パッチが当てられていないアプリケーション、クラウドサービスの設定ミス、サードパーティーによる漏洩が直接の原因となったものがありました。進化する脅威に加えて、標準的なセキュリティのベストプラクティスの運用に失敗することで、情報漏洩を招いています。
「セキュリティ侵害は続いている」という心構えを持つ
それでは、このような既知あるいは未知のリスクを抑え、セキュリティインシデントが本格的な情報漏洩につながる可能性を減らすには、何が必要でしょうか。
そのアプローチの1つが、「セキュリティ侵害が常に継続している」という考え方に立ったインシデント対策チームを立ち上げることです。しっかりとしたトレーニングと設備を得ているだけでなく、「既に侵入されている」というメンタリティを備えたインシデント対策チームであれば、常時監視、事前の脅威探索、定期的な侵入テストの実施をうまく行うことができるでしょう。
それは既に組織のネットワークに脅威が潜んでいるという事実を受け入れることであり、その目的は、敵に機会を与えないようにする一方で、分析担当者がこのような脅威を迅速に見つけることです。Endpoint Detection and Response(エンドポイントでの検出と対応: EDR)ソリューションなどのインシデント対策ツールに加えて、この「セキュリティ侵害は続いている」というメンタリティを持つことが、疑わしい行動とデータ流出の違いを決定付ける可能性があります。
エンドポイントは一定のまま
ガートナーリサーチはまず2013年7月のブログ記事で、「Endpoint Threat Detection and Response(エンドポイントでの脅威検出と対応: ETDR、後にEDRと短縮)」カテゴリーを定義しました。ネットワークに対しては「ホストとエンドポイント」、シグネチャーベースのマルウェアに対しては「未知の脅威」、保護に対しては「対策」にと、それぞれ焦点を置いたセキュリティを区別するためにこの分類が作られました。
EDRツールは、インシデント対策担当がさまざまな形態の内外からの脅威を検出し、サイバー攻撃を封じ込めて修復し、セキュリティと法規制面のリスクを軽減するための手段を意味するようになっていきます。
エンドポイントセキュリティの重要性は、進化するデジタルトランスフォーメーションから生じています。デジタルトランスフォーメーションにより、ネットワーク、情報処理、ストレージ、ワークフローがますます視覚化され、サードパーティーに管理されたりクラウドに置かれたりしています。すべての企業内で一定で、それでもなお非常に脆弱な攻撃対象であるエンドポイントにEDRは対処します。
今日では、従来のシグネチャーベースのアンチウィルスツールが、巧妙なAPT攻撃や、特に従来のアンチウィルス製品による検知を回避するように設計された侵入攻撃などの高度な攻撃手法には有効ではなくなっていることが、マーケットに広く認識されています。
しかしEDRツールは、システムイベント、ユーザーコミュニケーション、ネットワークアクティビティ、脅威の痕跡(IOC)などの重要なアーチファクトや遠隔測定データを収集して保存し、その後にフォレンジック機能や分析機能を使って異常を調べるように作られています。
EDRソリューションは従来のシグネチャーベースのツールを補い、セキュリティ情報イベント管理(SIEM)システムと統合することも、スタンドアロン製品として利用することもできます。
脅威の検出に不可欠なコンポーネント
情報漏洩を防止する簡単な解決策はありません。そのためEDRが、すべての企業のサイバーセキュリティ防御に極めて重要なコンポーネントになる必要があります。
「セキュリティ侵害は続いている」という心構えを持ちEDRを装備したチームを持つことは、回避不可能なサイバー攻撃の後に、その脅威を迅速に検出して脆弱性を修復するためのあらゆる企業にとっての最良の策であり、それによって、監督官庁の要求に対応できる方法を提供し、サードパーティー・ベンダーの懸念をやわらげ、取締役会レベルの問い合わせに対応できるようになります。
まとめ
EnCase Endpoint SecurityなどのEDRソリューションがあれば、コストや複雑な業務を大幅に削減し、根本原因の調査にかかる時間を抑え、既知および未知のリスクを軽減でき、情報漏洩でトップニュースになる可能性は少なくなるでしょう。
さらに詳しくはOpenTextの情報セキュリティソリューションの概要をお読みください。
人気資料ランキング
人気記事ランキング
新着記事
