ここ数年のOA環境のセキュリティ対策を振り返ってみると、「ゼロトラスト」概念の浸透、働き方改革や「コロナショック」によるテレワーク、世の中のコンプライアンス強化の要請等を背景として、EDRを始めとしたセキュリティ対策やSOC/CSIRTの構築は大手企業を中心として既に導入(構築)済み、ないし、検討・導入(構築)中となっています。弊社で実施した情報セキュリティに関する取り組みの実態調査「NRI Secure Insight 2022」においては次の結果が得られました。
一方で、ゼロトラストセキュリティの採用割合はゼロトラストを実装・検討している企業を合わせて5割に留まっており、従来の境界(ペリメータ)防御からゼロトラストセキュリティへのセキュリティ・モデルの転換はまだ道半ばと考えられます。本稿では、セキュリティログ監視に焦点を当て従来型のセキュリティ対策を補完するEDRの利点と課題、その課題を補う対応について考察します。
伝統的なセキュリティログ監視の考え方の一つにペリメータ(境界)での監視・防御が挙げられます。自組織と外部との境界にファイアウォールや不正侵入検知・遮断システム(IDS/IPS)等のセキュリティ機器を配置し、インターネット等の外部ネットワークからの攻撃を検知・防御するというものです。近年の端末やネットワークの利用方法の変化により、現在では必ずしも境界型の監視・防御が有効ではない場面が増えてきたことは事実ですが、セキュリティ監視の基本として押さえておくべき考え方であることは間違いありません。従来、OA環境においてはインターネット境界ファイアウォールやプロキシ、メールサーバといったインターネット境界に位置する機器のログをSIEMの監視対象とするのが一般的でした。
| 項番 | 分類 | 監視対象機器 | 監視対象ログの例 |
|
1 |
ネットワーク機器 | インターネット境界ファイアウォール | トラフィックログ |
|
2 |
次世代ファイアウォール・UTM |
トラフィックログ 脅威検知・防御ログ ウェブフィルタログ マルウェア対策検知ログ |
|
| 3 | VPN装置 | 認証ログ、トラフィックログ | |
| 4 | プロキシ・メールサーバ | ウェブフィルタ | アクセスログ |
| 5 | メールフィルタ・スパム対策製品 |
メールログ マルウェア・スパム検知ログ |
|
| 6 | セキュリティ専用装置 | インターネット境界・DMZ設置のIDS・IPS | 検知ログ |
| 7 | サンドボックス型マルウェア対策製品 | 検知ログ |
このような伝統的な監視モデルにおいて脅威を早期に認知し対処するためには、脅威が自組織内に侵入する際に境界で検知・防御する必要があります。言いかえれば、セキュリティ対策で検知のすり抜けが発生したり、そもそもマルウェアや攻撃者の挙動がネットワーク挙動として現れず原理的に検知しようがなかったりした場合においては、攻撃フェーズが進むまで進行中の攻撃の兆候をつかむことができない可能性をはらんでいます。
例えば、猛威を振るったマルウェア「Emotet」の攻撃再開がちょうど1年前に話題になりましたが、巧妙に細工されたフィッシングメールがスパムフィルタをすり抜けた場合、ユーザが不審メールを開封し添付ファイルを閲覧してしまうかもしれません。エンドポイントの監視が不十分な場合、ユーザが不審なオフィス・ドキュメントを開くことで悪意のあるマクロを実行してしまったとしてもSIEMのIoC(Emotetの通信先ドメイン・IPアドレス≒ブラックリスト)と合致しなければ検知をすり抜け、感染が進んだ段階でようやく気付くことになる可能性も考えられます。
もちろん、従来のパターンマッチング型のマルウェア対策であってもマルウェアや攻撃者が実行する情報収集・攻撃ツールの実行を検知することが可能な場合がありますが、原理上パターンに依存するため、特定組織を狙った攻撃やファイルレスの場合は端末内部の詳細挙動を分析するEDRでなければ検知をすり抜けてしまうことは十分あるでしょう。
このような従来型の監視モデルの課題に対してはEDRを導入し可視性を高めることが有効です。EDRでは、マクロ実行に伴う不審なPowerShellスクリプトの実行、感染プロセス進行時のマルウェアバイナリダウンロード等の不審挙動そのものを検知することができます。EDRの管理コンソールではエンドポイントでの挙動(プロセス、ファイルアクセス、レジストリ関連)の詳細を確認できるため、伝統的なペリメータ監視の弱点(検知のすり抜けやネットワーク挙動に現れない挙動は検知不可)を補うことにつながります。
また、一般に端末がマルウェアに感染し攻撃者に掌握された後、攻撃者は横展開を試みます。横展開では、ADサーバやファイルサーバ等OA環境で重要な情報資産(アセット)を掌握するため、ping/ホストスキャン/ポートスキャンやnetコマンド等による組織内ネットワーク、OA基盤の情報収集、クレデンシャル・ダンピングによる認証情報窃取、権限昇格や他端末への感染拡大等が行われます。
こうした挙動はペリメータで稼働している機器には到達しないことが多く、組織内での感染拡大に気付く頃には既に手遅れということも十分起こり得ます。EDRを導入していればこのような横展開挙動の検知が期待できるため、たとえマルウェア感染の入り口での検知・防御に失敗したとしても感染が拡大する前の攻撃フェーズのどこかでは事象を認知することができる可能性が高いと考えられます。
このように伝統的なペリメータでの監視に対してEDRによるエンドポイントの監視強化は有効な打ち手であり、冒頭でご紹介したように多くの企業で導入が進んでいます。一方で、次のような課題も見えてきています。
先述のような効果を得るためには組織内で利用している端末を把握し、漏れなくEDRを導入することが前提です。しかしながら、予算の都合上(限定的に利用する端末のためEDR導入が過剰なセキュリティ対策になってしまう等)EDRの導入が難しい、古いOSやアプリケーションを継続利用しておりEDRエージェントが導入できないといったケースもあり、なかなか隈なくEDRを導入することは難しいのが実情です。
EDRでは製品の性質上エンドポイントへのエージェント導入が必須ですが、アプリケーションの変更や他のセキュリティ対策製品との相性、性能劣化からは逃れられず、サポートコストの増加は避けられません。
攻撃者はクライアントとなる端末のみを狙って横展開を行うとは限らないため、当然ながら組織内で端末が通信を行う認証基盤(Active Directory等)、ファイルサーバ、社内システム等のサーバにもEDRを導入することが望ましいと考えられます。筆者の肌感覚にはなりますが、大手企業を中心にサーバへのEDR導入は既に当たり前になりつつあります。一方で、システム担当者目線では既に稼働中のサーバに対してEDRのエージェントを導入する障壁が高いのも事実です。
社内システムの停止は即ユーザの業務に影響するため、セキュリティ優先で導入を強行しサーバ上で稼働するアプリケーションの性能劣化やシステムトラブルに発展すれば本末転倒です。また、OA環境を構成するシステム毎に管理者や担当ベンダが異なる、OSや稼働しているアプリケーションがまちまちであることも多く、同一スペック、OS・アプリケーション構成の端末を金太郎あめ式に展開するクライアントと異なり、EDR導入の検証コストもかさみがちです。
先述のようにEDRはエンドポイントの可視性を大いに高めることができますが、ネットワークや周辺基盤に対する挙動の分析にはEDRのみでは情報が不足する場合があります。例えば、攻撃者がマルウェアに感染した端末から他端末にログイン(横展開)を試みた場合、EDR製品によってはログイン試行を記録することができますが、単なるユーザのパスワード忘れやタイプミスによるログイン失敗なのか、不正に入手したクレデンシャルを悪用したログイン試行なのか、一段深い分析のためには認証基盤(Active Directory)の認証ログを文脈・背景を意識して分析する必要があります。
また、EDRではネットワーク挙動の有無を確認することができますが、IDS/IPSやプロキシ等とは異なり、通信のペイロードまで可視化する仕組みは備えていません。EDRのイベントを分析していく中で不審な通信の痕跡を発見した場合、ネットワーク機器等のログも併せて調査する必要があります。
これらの課題に対しては次のような対策が考えられます。
| 項番 | 課題 | 対策・緩和策の例 |
| 1 | 導入範囲拡大の難しさ |
|
| 2 | 端末のサポートコスト上昇 |
|
| 3 | サーバへの導入障壁 |
|
| 4 | 内部ネットワークや周辺OA基盤との相関分析 |
|
端末を利用する上で攻撃経路をゼロにすることはできない以上、先述のようなEDR導入によるセキュリティログ監視上のメリットが上記デメリットを上回るものであり、EDRの特性を踏まえながら展開を進めていくことが重要と考えられます。
また、EDRを補完し更なるセキュリティ強化を図るためには次のような対策が考えられます。
マルウェア感染後の横展開において、攻撃者は目的を達成するために認証情報を窃取することが一般的です。多くの組織では認証基盤としてActive Directory(AD)が利用されているため、ADの認証ログをSIEMで監視することで不審な認証試行やADに対する攻撃を検知することができます。多くのSIEM製品やSOCサービスがADの認証ログの監視に対応しているため、既存のSIEM監視の対応範囲を拡大するだけでよく、比較的導入しやすいと考えられます。
直接認証ログを監視することに加え、アイデンティティの悪用を検知・防御することに特化したソリューションであるITDR(Identity Threat Detection and Response)の導入も考えられます。ADサーバに専用エージェントを導入することで不審な認証試行やADに対する不審挙動を検知することができます。
攻撃者は横展開を効率よく進めるため、組織内ネットワークの情報収集を行うことがあります。内部ファイアウォールのトラフィックログやスイッチのフローをSIEMで監視することで、ホストスキャン(スイープ)によるアセットやポートスキャンによるオープンポートの探索挙動、不許可通信の多発、また、内部IDS/IPSの検知ログを監視対象とすることで社内システムへのエクスプロイト、ネットワーク経由の認証失敗の多発といった不審挙動を検知することができます。
SIEMの監視対象を拡大する以外には、ネットワークの可視化と分析に特化したソリューションであるNDR(Network Detection and Response)の導入も選択肢の一つです。IDSのように内部ネットワークのスイッチからミラーしたパケットをセンサで分析し、管理サーバで脅威を検出します。一般に内部ネットワーク機器はログ量が大きいことが多く、それはそのままSIEMやSOCサービスの運用コスト(基盤維持費用、サービス利用料金等)に跳ねるため、内部ネットワーク機器のログを直接監視する代わりにNDRを活用することも考えられます。
本稿では従来型のセキュリティログ監視(伝統的なペリメータ・セキュリティ)の弱点に対してEDRによるエンドポイントのセキュリティ強化は有効な打ち手である一方、EDRが全ての弱点を解消するわけではなく課題も顕在化している点を指摘しました。また、EDRを補完するセキュリティ対策を行うことで更なるセキュリティの強化が期待できることが分かりました。EDRの導入が進んできた今、この機会にOA環境のセキュリティの見直しや強化について検討してみてはいかがでしょうか。
筆者がセキュリティログ監視サービスの立ち上げ・開発に携わっていた2015年、2016年頃と比較するともはやSIEMによるセキュリティログ監視は当たり前のものとなり、隔世の感があります。EDRも人口に膾炙し、特別なセキュリティ・ソリューションというよりはOA環境のセキュリティを考える際に必須のパーツとなりつつあるのではないでしょうか。弊社ではセキュリティログ監視サービス(SIEMによるセキュリティログ監視)以外にもマネージドEDRサービス、マネージドITDRサービスをご提供していますので、OA環境のセキュリティについてお困りのことがありましたら、お気軽にご相談いただけますと幸いです。