脆弱性、どんな脅威でもお任せ! Acronisだから実現できるセキュリティ対策 ~ニューノーマル時代の統合データプロテクションとは?
これまでのサイバーセキュリティ対策といえば、企業の境界にファイアウォールやIPS/IDSなどを導入して、サーバーやPCを守る境界防御型が主流であった。しかしコロナ禍によってテレワークが進み、個人のデバイスが脅威にさらされるリスクが高まり、新たなセキュリティ対策が必要になっている。このような時代に、いかに企業はセキュリティ対策を講じていけばよいのだろうか? アクロニス・ジャパン ソリューションエンジニアリング統括部 主管技師 後藤匡貴氏が、5つのセキュリティ対策のポイントと、同社のセキュリティ対策サービス「Acronis Cyber Protect Cloud」について解説した。
環境変化による境界セキュリティの限界と、ランサムウェア被害の急伸
コロナ禍のパンデミックでサイバー犯罪も増えている。FBIの調査では、この混乱に乗じて、サイバー攻撃が400%も増加したというから驚きだ。エンタープライズでは1日1回はサイバー攻撃にさらされ、ランサムウェアによる身代金の要求だけでなく、1000以上の企業がダークサイトなどにデータを漏洩されている。また企業の39%がビデオ会議でも攻撃を受けているそうだ。
一方、IPAによる国内調査によると、今年のサイバー攻撃の第一位は、やはりランサムウェアで81%となっており、その被害も首位になっている。しかも以前のような場当たり的な攻撃ではなく、大規模な組織をターゲットとした猛獣狩りと呼ばれる「BGH」(Big Game Hunting)のスタイルにシフトしてきた。ほかにも詐欺メールがきっかけの標的型攻撃による情報窃取、VPNやRPDの脆弱性を利用した攻撃も増えている。
特にランサムウェア市場だけをみると、昨年より規模が倍も大きくなり、20億円ドルに急成長している。では、なぜこんなにランサムウェアが流行っているのだろうか? 実は複数の理由があるという。
まずビジネスとして「RaaS」(Ransomeware as a Service)のようなサービスが立ち上がり、手軽に攻撃できる材料が増えたからだ。ハッカーがランサムウェアをサービスとして提供しているため、技術がなくても誰もが簡単に攻撃を仕掛けられる状況なった。
また身代金もBitcoinなどの仮想通貨が利用され、被害者から身代金を取りやすくなり、しかも追跡が困難なので足が付かないことも要因だ。そしてシンプルに儲けられる。標的型攻撃と比べ費用対効果が高く、短時間に目標を達成できるといったことが挙げられる。
最近ではサプライチェーン攻撃も増えている。たとえば、MSP事業者で管理されるサーバーが乗っ取られ、そのサービスを利用しているエンドユーザーにマルウェアが芋づる式に仕込まれるような攻撃だ。これは大企業でも同様に起こる。グループ企業や取引先など、サプライチェーンが端緒になるので、もはや自社だけに対策を施せばよいという話ではなくなっている。
大企業だけでなく、中堅・中小企業も十分にターゲットになる可能性
もちろんサイバー攻撃の標的は大企業だけとは限らない。最近では中堅・中小企業が狙われるケースが多くなっているのだ。以前までは「うちのような小さな会社はハッカーには狙われない」と高をくくっていた経営者も6割以上いたが、いまや企業規模が小さいから安心というわけでは決してないのだ。
というのも、最も狙われるのは取引のある企業へのアクセスだからだ。前出のサプライチェーンも同様だが、まずハッカーは中堅・中小企業に攻撃を仕掛け、そこから親会社や取引会社のアクセス情報を窃取する。そして本命となるターゲットの大企業にランサムウェアを送り、身代金を要求するという形だ。
ランサムウェアの侵入経路を見ると、主にメールから偽サイトに誘導されるフィッシングと、RDPやVPNの脆弱性を突く攻撃が多い。大企業ではソフトウェアやRDPなどの脆弱性から攻撃され、一方で中堅・中小企業はメールからのフィッシングが多い。企業規模によって攻撃の手口も変わってくるわけだ。
こういった攻撃から身を守るためには、攻撃者の行動を分解した「サイバーキルチェーン」で考えるとよいだろう。
攻撃者は、まず攻撃する端末を見つけて偵察を行い、マルウェアをメールで配信する。そして脆弱性を突いてエクスプロイトを実行する。次に端末にマルウェアをインストールしたあとで、コマンド&コントロールでサーバーを制御し、最終的に組織内の感染領域を広げるラテラムルムーブメントを起こすという流れだ。 したがって、このサイバーキルチェーンのどこかをセキュリティ・ソリューションによって検知・防御することが大切だ。たとえば配信のところで、URLフィルタリングで悪意のあるサイトへの誘導を防いだり、Eメールセキュリティソフトで詐欺メールを送らせないようにしたり、次世代アンチウイルスソフトでエクスプロイトやインストールの実行を防止するといった対策が取れる。ただしセキュリティ対策ソリューションを導入しても、現状では100%の防御は不可能なので、多層防御の仕組みが必要になってくるだろう。
サイバー保護を強化する! アクロニスが提唱する5つのステップとは?
では、アクロニスはどんな考え方でセキュリティの保護・強化を図ろうとしているのだろうか。以下、5つのステップがあるという。
実は、同社はバックアップ機能と、次世代の人工知能ベースのマルウェア対策やウイルス対策、エンドポイント保護管理を統合したクラウドサービス「Acronis Cyber Protect Cloud」(以下、Acronis)を提供している。このAcronisによって、5つのステップで対策を打てられるのだ。個々に見ていこう。
①重要データは定期的にバックアップする
マルウェアを仕込むハッカーは、あらかじめターゲット企業のNASやテープなどに保存されたバックアップファイルを削除し、ファイル復旧の手立てをなくしてから、データを暗号化して脅迫を行う。したがって、たとえファイルが欠損した場合でも、いつでもリストアできるような状態にしておくことが肝要だ。
そのためにAcronisでは、「遠隔地バックアップ」「バックアップスキャン」「自己防衛」という主機能を備えている。遠隔地バックアップによって、端末と物理的に距離を取って感染の拡大を防ぐ。またバックアップしたファイルを定期的にスキャンして、内在する脅威を排除したうえで、安心してリストアすることが可能だ。攻撃者がバックアップファイルを削除しようとした場合でも、Acronisには自己防衛機能があり守ってくれる。
②OSとアプリケーションを更新する
エンドポイントの衛生管理を徹底する「サイバーハイジーン」を実施すると、標的型攻撃の85%を予防できるという調査結果が出ている。そのためOSとアプリケーションを常に最新の状態にして、セキュリティホールを埋めておくことが大切だ。
とはいえバージョンなどに違いにより、脆弱性が1年間だけで2万以上も報告されており、管理者側で漸弱性診断やパッチ管理を実施するのは現実的には大変だ。Acronisでは、脅威データベースから端末ごとに脆弱性を可視化し、コンソールでアプリケーションやバージョンに適したパッチを提示してくれるので、管理者の負担も軽減される。
③疑わしいメール、リンク、添付ファイルは開かない(開かせない)
もともとサイバー攻撃のうち94%がメールからの経路で、そのうち80%のインシデントがフィッシング攻撃、80%以上がゼロデイアタックによるものだ。したがってメールからの攻撃から守る必要がある。
基本的な対策は、疑わしいメールを開かせないようにすることだ。Acronis Email Securityには、アンチスパムやアンチフィッシング、高度な攻撃に対する次世代動的検出機能などが搭載されている。これにより安全なメールだけをエンドユーザーに到達させるようにしているという。
④最新のウイルス対策を実施する
現在はゼロティアタックやATPなど高度な攻撃手法が登場しており、以前のシグネチャマッチングといった手法だけでは不十分なので、次世代型エンドポイント対策が求められる。
たとえばAcronisは、統合された複数防御により、マルウェア対策スキャン、振る舞い検出、エクスプロイト防止、AIベースの静的アナライザーなど、多くのエンジンが搭載されており、ランサムウェアにさらされてもブロックできるし、万が一被害が広がったとしても、バックアップが保護されているのでデータの自動復元が可能だ。
⑤単一のソリューションで防御を統合
複雑化・巧妙化する攻撃に対しては、さまざまなセキュリティ対策ツールが必要だ。しかしシステムがサイロ化してくると複数のツールが乱立し、数多くのアラートが発生して情報を精査できなくなる。また業務の急速な変化やレギュレーション対応も追い付かなくなる。そして、いざ有事の際にはトップの意思決定が遅れてしまう。
こういった状況を避けるために、Acronisでは多くの機能を1つの統合された単一のインターフェースとコンソールで統一している。これにより管理者の運用負荷を低減できる。さらにエージェントも単一なのでバッティングがないという特徴もある。
Acronis自体は、競合他社と同等レベルの脅威検知能力を有しつつも、単一プラットフォームで多くの機能を提供できるので、運用負荷の圧倒的な低減が見込めるだろう。国内では有名なサービスプロバイダーやSIer、販社で実績があり、各ブランドでデータ保護サービスとして提供しているという。
