Synchronized Security

Firewall
Web
Wireless
Email
Endpoint
Encryption
Mobile
Sophos
Central
Synchronized Security:
革命的な脅威対策
ソフォス ホワイトペーパー 2017年 2月
Server
Synchronized Security:
革命的な脅威対策
セクション 1:サイバーリスクの現状
攻撃の増加、複雑化、高度化
すべての企業は、サイバーリスクが増え続ける状況でビジネスを成功させることを学ばな
ければなりません。攻撃を受ける面の増加や攻撃の複雑化や高度化など多くの理由により
セキュリティリスクは増加しています。
従業員によるモバイルデバイスやクラウドサービスの使用は、ますます増加しており、あ
らゆる規模の企業が仮想化またはクラウド上に IT インフラを展開しています。このため、
「攻撃を受ける面」が劇的に増加しました。
以下の現状をご検討ください。
脅威動向
Mirai Adfraud
トロイの木馬
ダウンローダ
ランサムウェア
IoT Locky
バックドア
キーロガー 銀行
Cerber スパイウェア
Kovter DDoS
ボットネット
ÌÌ デバイス:一般的なデジタル消費者は、約 3台の接続可能なデバイスを持っています。¹
ÌÌ アプリ:従業員は平均で 16のクラウドアプリを会社で使用しています。最も一般的な
アプリは、Box、SalesForce、Microsoft Office 365 です。²
ÌÌ IoT (モノのインターネット):Gartner は、2020年にはおよそ 210億の「モノ」が
インターネットに接続されると予測しています。³
このように攻撃を受ける面が増加すると共に、攻撃数も増加し、データ流出につながるイ
ンシデントも増加しています。
あまり熟練していない攻撃者でも、グレーマーケットやブラックマーケットで商業的にサ
ポートされている高度な攻撃用ツールキットを入手して、より高度な攻撃をより頻繁に実
行することができます。
そしてサイバー犯罪者は、正規の組織によって使用されている、クラウド型ビジネスモデ
ルを模倣しており、返金保証を含む、「Malware as a Service」(例:Ransomware as a
Service など) を提供しています。これによって、サイバー攻撃の実行に IT 知識が必要な
くなる傾向が強まる一方で、ツールは常に改善されています。
結果として、サイバー犯罪者は、たいていの組織が追いついていけないスピードで活動を
続けています。ベライゾン 2016年データ侵害調査報告の結果は次のとおりです。
ÌÌ ハッキングとマルウェアは、データ漏えいの原因のトップ 1 と 2 を占めています。
ÌÌ 攻撃者は、より迅速に対象システムに感染することに成功しています。攻撃から感染
するまでの時間は、たいてい数日以内、場合によっては数分以内のこともあります。
ÌÌ 感染後それが検出されるまでの時間は、ますます増加しており、攻撃の特定にも
より時間がかかっています。
さらにベライゾンの調査によると、このような攻撃の 80% にて、主な動機は金目的であ
ることであることわかっています。中小規模のビジネスは、過大な損失を被る恐れがあり
ます。
攻撃数は増加し、攻撃が複雑化するなか、被害も増加しています。それに対応するには、
新しい保護対策を検討する必要があります。
ソフォス ホワイトペーパー 2017年 2月
2
Synchronized Security:
革命的な脅威対策
少数のチーム、リソース不足、人材不足
増加する攻撃に対応するために、担当者を採用してセキュリティを向上するなど、人材を
増やすことは解決策としての一案です。しかし、中小企業では、ITセキュリティチームは
存在しないか、小規模なため、リソースの拡大や再編成は現実的な選択肢ではありま
せん。
IT セキュリティ担当者
図1 に示すように、大企業とは異なり、中小企業では専任の IT セキュリティチームのサイ
ズとリソースは非常に制限されています。
100~500
従業員数
500~1,000
従業員数
1,000~5,000
従業員数
図1:中堅企業の IT セキュリティ部門は小規模でリソース不足
(出典:US Dept of Homeland Security, 2014)
5,000~20,000
従業員数
20,000以上
従業員数
経営者がセキュリティチームを拡大することを希望する場合でも、深刻な IT セキュリティ
スタッフ不足という新たな難関に直面することになります。Enterprise Strategy Group
による調査では、46% の組織で、サイバーセキュリティの人材不足が問題になっているこ
とが報告されています。⁴ これは、より少ないリソースでより多くの業務を行う必要がある
ため、既存の IT 担当者により多くの負担がかかることを意味しています。
攻撃数の増加と、これまでにない攻撃の高度化や成功率の増加という状況にも関わらず、
専門スタッフの数は不十分です。既存の人材に頼ることによって、企業は許容できないレ
ベルのリスクにさらされています。
ソフォス ホワイトペーパー 2017年 2月
3
Synchronized Security:
革命的な脅威対策
セクション 2:セキュリティ対策の現状
多層防御したが、各層が十分に統合されていない。目先のことしか考えず、セキュリティ
製品を導入し、複雑化してしまった。各セキュリティ製品が単独で動作しているため、イ
ンシデント対応に、各セキュリティ製品が連携したり、最善の対応をとれない。そのセキュ
リティ製品の中でのみ完結する (何が起こっているのかわからない)。これらはすべてセキュ
リティ対策の現状に当てはまります。
その理由は、IT セキュリティ業界がどのように発展したかを考えると理解できます。セキュ
リティ企業は、サイバー脅威に対する全体的なソリューションでなく、攻撃チェーンの特
定のポイントのみを保護する個別の製品の開発に専念してきました。結果として、多数の
異なる製品を統合するという非常に難しい課題が、既に過大な負担がかかっている IT 担当
者に課されてきました。これは、たとえば、自動車製造会社が各部品を製造後、顧客に、
部品を組み立てて、完成車に仕上げる作業を依頼するのと同様の状況といえます。
攻撃者は、各ポイ
ント製品でなく、
企業全体の IT エコ
システムに攻撃を
仕掛けてきます。
IT セキュリティの専門家は、相関エンジン、ビッグデータウェアハウス、SIEM、STIX や
OpenIOC などの新興情報共有スキームや多くの解析者を採用することにより、データソー
ス間の通信の保護を試みてきました。しかし、最も先進的なツールを使用しても、多種多
様な製品からのデータを解析し、迅速に脅威を検出・修復し、データの流出を阻止するこ
とは、非常に難しいことです。
イベントとログの相関関係はビルド、複雑な相関ルールの維持、無限のフィールドマッピ
ング、フィルタの定義、不足している解析者の時間と労力に依存しています。SIEM は、か
なり高額な設備投資と継続的な運用コストを必要とします。情報の共有は確かに将来的な
セキュリティへの鍵ですが、まだ広く普及し簡単に採用できるほど十分成熟していま
せん。
その結果、満足なソリューションがないことから、セキュリティが不十分になります。
データ流出とリスクは継続して増加し、減少する気配はなく、従業員に過剰な負担がか
かっています。最近の Ponemon Institute の報告書によると、侵害の 74%は、6ヶ月以上
発見されないままになります。また、リソースを十分にもっている大企業と比べて中堅企
業における被害が多数発生しています。明らかに、各エンドポイント製品が統合されてい
ない、各製品の管理コンソール、多くの人材を必要とする、または扱いにくい SIEM は解
決策ではありません。これらの対策や製品を使用しても成功しません。より優れた効果的
なアプローチを見つける必要があります。
ソフォス ホワイトペーパー 2017年 2月
4
Synchronized Security:
革命的な脅威対策
セクション 3:IT セキュリティへの新しいアプローチ
何十年もの間、セキュリティ業界は、ネットワークセキュリティ、エンドポイントセキュ
リティ、およびデータセキュリティを全く異なるセキュリティ製品として扱ってきまし
た。これは、ビルの外、ビル内、そして金庫に、それぞれ警備員を 1人ずつ配置し、各警
備員が、互いに連絡を取り合うことをせずに警備するのと同じです。
しかし、脅威がより複雑化し、引き続き IT 部門に過剰な負担がかかるなか、保護レベルを
低下させることなく、従来のアプローチを維持するのは不可能になってきました。
Synchronized Security は他に類を見ないセキュリティシステムで、統合化された製品
が、脅威情報、セキュリティ状態、セキュリティ情報を共有し連動します。その結果、高
度な脅威に対する、より高速で優れた保護対策を実現します。つまり、先ほどの例で、各
警備員がスマートフォンを持ち、お互いに情報を交換して連係することで脅威を阻止する
のと同じことになります。
これは、シンプルでありながら革命的なコンセプトです。Synchronized Security を達成
するには、次の 3つの要素が必要です。
1. 集中型セキュリティシステム
Synchronized Security の中核には、デバイスとデータすべてに関する、脅威とセキュ
リティ情報を管理する集中型セキュリティプラットフォームがあります。使いやすく、
すべての保護機能を単一のコンソールで管理できる必要があります。複数ある管理コン
ソールを行き来する必要がないので、日々の作業で時間と労力を節約できます。
2. 次世代型のテクノロジー
Synchronized Security は、保護レベルを低下させずに実現する必要があります。各
セキュリティコンポーネントに最新の脅威対策テクノロジーを組み込んで、高度な保
護を常に提供できるようにする必要があります。
3. 高度な保護機能
Synchronized Security では、各種のセキュリティテクノロジーを使用して情報を共
有し、レスポンスの自動化を実行する必要があります。感染デバイスをリアルタイム
に隔離することで、データ流出、および企業内の感染拡大を防ぐことができます。そ
の結果、高度で複雑な脅威に対する、他社にはできない保護対策を実現します。
今日の階層化されたセキュリティソリューション
Synchronized Security
脅威中心的、関連するオブジェクトやイベントと
独立して動作する
エコシステム中心的、関連するオブジェクトや
イベントを意識して動作する
各機能だけで完結するポイント製品
各機能が連携される製品
効果を上げるには IT スタッフを増やす必要がある
自動化および革新技術で効果を上げる。
IT スタッフを増やす必要はない
統合されていない暗号化管理
脅威に自動対処する統合型の暗号化対策
複雑
シンプル
図2:今日のソリューションは劇的に変更する必要があります
ソフォス ホワイトペーパー 2017年 2月
5
Synchronized Security:
革命的な脅威対策
セクション 4:ソフォスのアプローチ
ソフォスは、Synchronized Security システムを開発しました。IDG は、「エンドポイン
トとネットワークセキュリティ製品間に、ソフォス製品のような通信方法を提供している
ベンダーは他にはありません。」と評価しています。では、ソフォスはどのような方法を
とっているのでしょうか?
受賞歴を誇るソフォスのセキュリティプラットフォーム、「Sophos Central」を使用する
と、エンドポイント、モバイル、サーバー、Web、メール、ワイヤレス、暗号化、ファイ
アウォールなど、すべてのソフォス製品を単一のコンソールで一元管理できます。そして
Synchronized Security は、集中管理コンソールで提供される機能をさらにレベルアップ
します。Gartner は、Synchronized Security が「ポリシーレベルでの統合化」であるの
に対して、集中管理コンソールは「単一のコンソールによる統合化」にすぎないとしてい
ます。
Firewall
Web
Wireless
Email
Endpoint
Encryption
Mobile
Server
Sophos
Central
図3:ソフォスの Synchronized Security
ソフォス製品には次世代型テクノロジーが組み込まれており、すべてのデバイスとデータ
を、常に最新のランサムウェア対策、エクスプロイト対策、マルウェア対策、ATP 機能で
保護します。最新の業界のアワードやアナリストによる評価は次のとおりです。
ÌÌ Gartner Magic Quadrants for Endpoint Protection Platforms 分野と UTM 分野で
「Leader」企業に評価された唯一の企業。
ÌÌ Computing で「Best Firewall 2016」に指定
ÌÌ Forrester Encryption Wave 2016 で「Breakout Star」に指定
ÌÌ SC Magazine で「Excellence Award for Encryption and Network Firewall」に指定
ÌÌ AV Test で「Best Android Security 2016」に指定
Synchronized Security は、特許取得済みの Security Heartbeat™ によって実現されま
す。これは、ソフォス製品間で安全な通信を可能にし、脅威、セキュリティ状態、セキュ
リティ情報の共有と、インシデント対応の自動化を可能にする技術です。数十種類のテク
ノロジーを連動させることで、最適化された攻撃に対して最高レベルの保護を提供できま
す。Sophos Security Heartbeat は、通常、数時間、数日、または数週間かかるインシデ
ントの検出、保護、対応をわずか数秒で成し遂げます。
ソフォス ホワイトペーパー 2017年 2月
6
Synchronized Security:
革命的な脅威対策
セクション 5:Synchronized Security:
最新脅威のブロック
Synchronized Security の有効性をよりわかりやすく説明するために、現在最も流布してい
る脅威の例として、ボットネットとランサムウェアの実環境での動作を見てみましょう。
ボットネット
ホットネットは、最適化された攻撃をしかける目的で、ハッカーが制御したネットワーク
上の端末です。現在、グローバルセキュリティ脅威でトップ 5 に数えられています。次の
ようなさまざまな攻撃で使用されます。
ÌÌ 仮想通貨の生成: 採掘して新しい仮想通貨を発行
ÌÌ データ流出: Target 社で発生した、POS 端末経由のデータ流出など
ÌÌ DDoS 攻撃や DNS アンプ攻撃: 世界中の Web サイトをダウンさせた Mirai ボット
ネットなど
ÌÌ パスワードの総当り攻撃やスパム攻撃
セキュリティ状態とボットネットの脅威情報は、Security Heartbeat 経由で Sophos XG
Firewall に送信されます。Sophos XG Firewall はネットワークアクセスをブロックする
ことで、感染デバイスを自動隔離します。これによって、ボットネットが C&C サーバーと
通信して、次の指示を受信することを阻止できます。また、はじめに感染したデバイスか
ら、これ以上感染が拡大することも阻止できます。
Security Heartbeat は、この情報を Sophos Encryption とも共有します。問題が解決す
るまで、感染マシン上の暗号鍵は無効になり、データ窃取を防止します。
検出から隔離、鍵の無効化までのこの処理は瞬時にかつ自動的に行われ、インシデントレ
スポンス時間を数時間から数秒に短縮します。
感染マシンすべてが隔離され、ボットネットによって使用不可になったら、ボットネット
は、ソフォスのエンドポイント保護製品によって自動削除されます。
システムが感染前の状態に戻ったら、IT 管理者は、エンドポイントのセキュリティ状態
を「緑色」(正常) に戻すことができます。このセキュリティ状態の変更は、Security
Heartbeat 経由で他のシステムに瞬時に共有されます。XG Firewall はデバイスのネット
ワークアクセスを復元し、暗号鍵は再有効化されます。これで、ネットワークからボット
ネットがクリーンアップされました。
ソフォス ホワイトペーパー 2017年 2月
7
Synchronized Security:
革命的な脅威対策
ランサムウェア
ランサムウェアは犯罪者にとって大きなビジネスです。全世界の IT 脅威の 35% を占め、毎月
40万米ドルを稼ぐ攻撃者もいます。
ランサムウェアは通常メールで届きます。何も疑わないユーザーが、メールを開いてランサム
ウェアを起動すると、デスクトップ PC、モバイル PC、サーバーでは、Sophos Intercept X の
ランサムウェア対策テクノロジーが攻撃を阻止します。一方、モバイルデバイスでは Sophos
Mobile Security が保護を提供します。
Synchronized Security は、感染の恐れのあるデバイスのセキュリティ状態を、Sophos
Central で「赤色」に変更します。更新されたセキュリティ状態と関連する脅威情報は、
Security Heartbeat 経由で Sophos XG Firewall に送信されます。Sophos XG Firewall はネッ
トワークアクセスをブロックすることで、感染デバイスを自動隔離します。これによって、ラ
ンサムウェアが C&C サーバーと通信することを防止できるので、感染の拡大を阻止できます。
Security Heartbeat は、同時に Sophos Encryption とも通信し、問題が解決するまで、感染マ
シン上の暗号鍵は無効になります。ボットネットの対処と同様に、検出から隔離、鍵の無効化ま
でのこの処理は瞬時に行われ、インシデントレスポンス時間を数時間から数秒に短縮します。
クリーンアップがすべて完了したら、IT 管理者はエンドポイントのセキュリティ状態を「緑
色」に戻すことができます。これは、Security Heartbeat 経由で、瞬時にセキュリティシステ
ム全体と共有されます。XG Firewall はデバイスのネットワークアクセスを復元し、暗号鍵は
再有効化されます。そして、ユーザーは作業を再開することができます。
これはすべて瞬時に自動で実行されます。管理者による操作は一切不要です。
概要
複雑かつ最適化された攻撃が増加するなか、たいていの組織は、十分な保護を提供しきれてい
ないのが現状です。過剰な管理負荷がかかっている IT 部門は、IT インフラが拡大し続ける環
境で、迅速に脅威に対応することに困難を感じています。
異なる多数のセキュリティ製品を管理しようとすると、ビジネスへのリスクが増加します。IT
セキュリティへのアプローチに対する画期的な変化がない限り、今後、この状態は悪化するば
かりです。
Synchronized Security は他に類を見ないセキュリティシステムで、統合化された製品が、脅
威情報、セキュリティ状態、セキュリティ情報を共有し連動します。これによって、高度な脅
威に対する、より高速で優れた保護を提供できます。使いやすさと他製品を凌ぐ保護機能で、
今日の IT 部門の負荷を軽減することができます。
詳細情報および Synchronized Security の試用は、次のサイトを参照してください。
sophos.com/ja-jp/lp/security-heartbeat.aspx
ソフォス ホワイトペーパー 2017年 2月
8
Synchronized Security:
革命的な脅威対策
¹ Global Web Index, February 18 2016
² UK Business Insider, August 2015
³ CNBC, February 2016
⁴ ESG Brief, Cybersecurity Skills Shortage: A State of Emergency, February 2016
Synchronized Security
詳細はこちら sophos.com/ja-jp/heartbeat
ソフォス株式会社営業部
Tel: 03-3568-7550
Email: [email protected]
© Copyright 2016-17.Sophos Ltd. All rights reserved.
Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK
Sophos は、Sophos Ltd. の登録商標です。その他すべての製品および会社名は、それぞれの所有者に帰属する商標または
登録商標です。
17-02-15 WPJA (DD-2560)