第6回 セキュリティを支えるテクノロジー フォーティネットのエキスパートが語る

FortiEDRはレガシーOSにも、ランサムウェアにも効果あり

古いOSを使い続けるのはやめるべきだ──危険な攻撃を防ぐ方法は?

文●大谷イビサ 編集●ASCII 写真●曽根田元

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 Windows 10のサポート切れがいよいよ現実となり、レガシーOSの脆弱性を狙った攻撃が本格化することが予想される。ビジネスを止めてしまうランサムウェア攻撃も猛威を振るっており、情報システム部としてはセキュリティ対策が急務になっている。こんな日本企業を救うかもしれないFortiEDRについて、フォーティネットジャパン システムエンジニアの宮林孝至氏に話を聞いた。

古いWindowsが危ない サポート切れ後の脆弱性対策が急務

 宮林氏は、システムインテグレーターでシステムの運用や開発に携わった後、セキュリティベンダーに転職。エンドポイントやゲートウェイ系のSEとサポートを経験することし、6年前にフォーティネットジャパンに入社。現在はセールスエンジニアとして製品販売を担当しており、特にFortiEDRで高い知見を持つ。

「セキュリティの脅威から、お客さまの環境を守るためには、さまざまな製品を提供することが大事です。FortiGate以外にも幅広い製品ポートフォリオを持つフォーティネットであれば、お客さまにソリューションをトータルで提案でき、自身の経験値も増やせると思いました」と宮林氏は語る。

フォーティネットジャパン システムエンジニア 宮林孝至氏

 そんな宮林氏が指摘するのは、「古いWindowsの脅威」だ。先日、Windows 10のサポート切れが業界で話題になったが、後述するさまざまな理由で、まだ古いWindowsを使わざる得ない企業も多い。「メーカーのサポートが切れてしまうので、脆弱性にパッチがあたらなくなるのが最大の脅威。古いWindowsを使わざるを得ない企業は、脆弱性対策にまずはフォーカスを当てなければなりません」と宮林氏は語る。

 ユーザー企業の担当者と話していても、古いWindowsをまだまだ利用しているケースは多いという。「Windows 10、7、場合によってはXPを利用しているお客さまもちらほらいます」と宮林氏。一番多いのは、アプリケーションの相性の問題で、新しいWindowsに移せないというパターン。予算の関係でアップデートの検証をできないというユーザー企業もあるので、なかなか根深い問題だ。

アップデートできない環境の脆弱性対策にFortiEDRという選択肢

 OSのサポートが終了すると、サードパーティのサポートも終了することになるので、守るための選択肢がどんどん減ってしまう。PCをオフラインで利用したり、USBメモリの利用を禁止したり、インストール可能なアプリだけを限定するホワイトリスト型のセキュリティソフトを使わざるを得ない。しかし、ユーザーのPC利用に不便を強いることになり、運用にも負荷がかかってしまう。

 対策としてはもちろん新しいWindowsを搭載したPCを導入することだが、アップデートが難しい場合は、古いWindows環境の保護が必要になる。フォーティネットの場合、まずはファイアウォールであるFortiGateでのネットワーク保護に加え、エンドポイントセキュリティ製品のFortiEDRが推奨されている。

 EDR(Endpoint Detection and Response)は、PCやスマホ、サーバーなどのエンドポイントに対する攻撃を検知し、被害を最小限に抑えるセキュリティ対策。従来のアンチウイルスソフトがマルウェアの侵入予防を目的にしているのに対し、EDRはマルウェアが侵入されたことを前提にマルウェアの通信や不審な活動を検知するという違いがある。

 事後対策的に被害が拡大しないよう、端末を隔離したり、対策の改善を支援するのがEDRの役割。こうした既存のEDRに新風を巻き込んだのが、リアルタイムでマルウェアの検知・遮断ができるFortiEDRである。

もはや数分単位の検知では遅い 従来型のEDRではモダンなマルウェアに対応できない

 FortiEDRはPCのOSの挙動を常時監視しており、疑わしい通信がなぜ発信に至ったのかを、特許技術で解析する。その上で、疑わしいマルウェアの挙動をルールセットとして数多く用意しており、これらに合致したら、即座に遮断というアクションをとる。もちろん誤検知がゼロなわけではないが、FortiEDRは安全性を重視したポリシーを採用している。

「既存のEDRは疑わしい挙動を検知し、SOCでログを解析した上、危ないと判断されたら遮断するという動作でした。そのため、どうしてもタイムラグが生じます。しかし、FortiEDRは疑わしい挙動を検知したら、リアルタイムに遮断してしまうというポリシーです」と宮林氏は語る。

 なぜリアルタイム性が重要か。そもそもEDRは、組織のネットワークに潜り込んで、数ヶ月・数年単位で継続的に活動するマルウェアの標的型攻撃を封じ込めるために登場した。しかし、最新のモダンマルウェアは侵入後、数分・数秒単位で活動を開始してしまう。そのため、SOCを前提とした既存のEDRの検知・遮断のフローでは、活動に追いつかず、被害が出てしまう。すでにEDR導入済みの大手企業で、マルウェアの被害が多発しているのは、その証左と言える(関連記事:EDRが発したアラートへの対応が遅れ、100GB超の情報漏洩! どうやったら防げた?)。

 その点、マルウェアが活動する前に、リアルタイムで検知・ブロックしてしまうFortiEDRは最新の攻撃対応としてふさわしい。「もはや数分単位の検知では遅いんです。その点、疑わしい通信があれば、すぐに遮断してしまうというFortiEDRのポリシーは、現代のセキュリティの脅威に非常にマッチしていると考えています」と宮林氏。

 情報システム部にとってみると、FortiEDRの運用においてSOCが必須にならないという点が大きい。「今までのEDRだと、ログをSOCに送って、解析して戻すため、タイムラグが生じてしまう。ランサムウェアを発見できたけど、被害は防げなかったということが起こりえます。その点、FortiEDRであれば、まずは遮断して、被害を食い止め、侵入経路も追えます。SOCも必須ではありません」と宮林氏は語る。もちろん、フォーティネットやパートナー経由でSOC運用の支援も行なっているので、ユーザーの規模に応じて選択すればよい。

猛威を振るうランサムウェアの対策としても有効なFortiEDR

 マルウェアの検出や通信の遮断に加え、端末の隔離、プログラムの停止など初期対応まで行なってくれるのがFortiEDRのメリット。OSのみならず、外部に通信する一部アプリケーションの脆弱性も把握できる。ここまで多種多様な防御機能を持ちながら、エージェントのCPU利用率は1~2%で抑えられているため、業務に影響を与えることはないという。

 FortiEDRは、最近のランサムウェアの対策としても十分効果を発揮する。ランサムウェアは、古いWindowsやブラウザの脆弱性を狙ってPCに侵入し、ファイルの暗号化などを行ない、元ファイルの復号を条件に金銭を要求する。FortiEDRでも、こうしたランサムウェアの動作を99%の確率で遮断できるが、すり抜けた不正なリンクをユーザーがクリックしてしまい、ファイルの暗号化に至る場合がある。

 こうしたケースに備え、既存のEDRは事前に取得したバックアップから、イメージをリカバリするという機能を提供する製品もあるが、最近のランサムウェアはまずバックアップの破壊を行なうため、実効性に欠けるという。その点、FortiEDRは特許技術で疑わしいランサムウェアを監視しつつ、ファイルのスナップショットをメモリに保管する。

 具体的にはランサムウェアが暗号化を開始すると、FortiEDRはその活動を遮断しつつ、暗号化されたファイルをメモリ上のオリジナルイメージからリカバリする。このロールバック機能により、万が一ファイルが暗号化されても、迅速に元の環境を復帰させることが可能だ。

Windows XPでも守ってくれる FortiGateとも連携する

 マルウェアやランサムウェアの対策としても大きな効果を発揮するFortiEDRは古いWindowsの防御にも最適だ。なにしろサポートOSはWindows XP SP2以降、Windows Server 2003 SP2以降までさかのぼる。「FortiEDR以外ではサポートされていないのではないかというくらい古いOSでも利用できます」と宮林氏はアピールする。LinuxやMacOSもサポートしており、脆弱性対策として非常に幅広いプラットフォームで利用できる。

 構成としては、FortiEDRを対象のPCに導入し、クラウドにホストされたFortiEDRのサーバー機能を利用する。通信量を削減したかったり、ガバナンスの観点でクラウドを利用できない場合は、オンプレミスでサーバーを運用することも可能だ。「ほとんどがクラウドでの利用ですが、病院や工場などオンプレミスで運用されるお客さまもいらっしゃいます」と宮林氏は語る。

 ファイアウォールのFortiGateとの連携も強み。FortiEDRが不審な通信を検知すると、送信元のIPアドレスをFortiGateに登録して、通信をブロックできる。まさに同一ベンダーならではの連携技だ。連携のための追加ライセンスもなく、設定もWeb GUIから行なえるので、利用も簡単で効果も高い。

 導入に関しても、初期導入支援サービスでFortiEDRの管理コンソールの使い方をきちんとレクチャーしてくれるという。「誤検知したら、対象アプリケーションを安全なホワイトリストに加えればOKです。こうした運用もサポートさせていただきます」と宮林氏は語る。「古いWindowsの課題に直面していたり、ランサムウェア対策を検討している企業」と言えば、もはや該当しない日本企業はないと思われるが、FortiEDRという選択肢は覚えておいた方がよい。

■関連サイト

Fortinet トップへ