ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

数万台のエンドポイントの情報をわずか十数秒で取得 EDR+資産管理ツール「Tanium」が実現する侵入を前提としたエンドポイントセキュリティの独自性

数万台のエンドポイントの情報をわずか十数秒で取得 EDR+資産管理ツール「Tanium」が実現する侵入を前提としたエンドポイントセキュリティの独自性

標的型サイバー攻撃の件数は年々増加し、その手口も巧妙化している中で、ゲートウェイでの対策ではマルウェアの侵入を“完全に”防ぐことは困難であり、侵入されることを前提に対策を考えることが必要になっています。そこで注目されているのが、PC端末やサーバなどのエンドポイントにおける標的型サイバー攻撃対策です。

エンドポイントでの対策が注目を集めるなか、米国で数多くの企業へ導入されているEDR(Endpoint Threat Detection and Response)ツールが、マクニカネットワークスが2015年8月に代理店契約を締結した米国タニウム社の「Tanium Platform」です。なぜ、「Tanium Platform」が注目を集めるのか、そのテクノロジーの独自性をご紹介します。

Kill Chainの多くのステップでEDRが有効

最近の標的型サイバー攻撃では、取引先や同僚などを巧妙に騙り、何度かメールなどをやり取りする過程でマルウェアに感染させるといった手段や、攻撃自体を検知させにくく隠蔽するテクニックなどが増え、ゲートウェイでの対策で侵入を“完全”に防ぐことは困難であると言えます。

そのため、従来通り防御は行いつつも、マルウェアに感染して「侵入される」ことを前提に対策を考えることが必要となっています。

侵入され、実際に攻撃が行われている最終的な場所は、社員の使用するPC端末やサーバなどの「エンドポイント」といわれるエリアです。今後考えるべき重要なポイントは、そのエンドポイントにおける以下です。

  • 侵入された事実の迅速な把握
  • マルウェア感染によって情報流出などの被害があるか否かの確認
  • 被害がある場合の影響分析
  • 被害箇所に対する迅速な対処
  • 被害を最小限度に食い止めるための対策

エンドポイントでの対策がなぜ重要になるのか、それは以下のような多くのメリットが得られると考えられるためです。

  • 今まで気づくことができなかった攻撃を検知することができる
  • 感染後のマルウェアの行動を迅速かつ正確に把握し、被害を最小限に食い止めることができる
  • これまで標的型サイバー攻撃対策で実施してきた作業工数や時間・コスト削減の可能性がある

そこで注目されているのが、「EDR(ETDR)」と呼ばれるエンドポイントにおける標的型サイバー攻撃対策ツールの活用です。

攻撃のシークエンスを示す軍事用語を基にした「Kill Chain」に照らしてみると、攻撃者は、「偵察」→「配送」→「エクスプロイト(攻撃)」→「インストール」→「遠隔操作」→「侵入拡大」→「目的実行」という7段階で攻撃が深化していくといわれています。その中のエクスプロイト~目的実行までの各ステップでEDRがブロック、検知、フォレンジックなどに有効と考えられます。

Kill Chainにおける標的型サイバー攻撃対策のEDRカバー範囲

図1. Kill Chainにおける標的型サイバー攻撃対策のEDRカバー範囲

このEDR市場でいま注目を集めているのが、今回ご紹介する「Tanium Platform」です。

Fortune 100の約半数の企業がTanium製品を採用

Tanium Platformを開発したタニウム社は、IBMのTivoliに製品を提供していたBigFixという会社のメンバーが2007年2月に設立した企業で、カリフォルニア州エメリービルに本社を置くソフトウェアメーカーです。IBMの「リアルタイムにシステム管理が可能な製品を提供して欲しい」という要望に対し、当時のメンバーが「現在の設計思想、アーキテクチャーでは困難」と判断したことで、新たに製品を開発する会社を設立したのがタニウム社です。

会社設立後5年間は開発に専念し、ベータ版の製品を世に出すことはしませんでした。そして2012年末、満を持して完成度を高めたTanium Platformの提供を開始しました。EDRに資産管理機能を組み合わせてリアルタイムにエンドポイントセキュリティを実現するタニウム社の技術は、標的型サイバー攻撃の脅威や日々のアセット管理と向き合うIT部門の担当者に幅広く受け入れられました。

現在では、Fortune 100の約半数の企業がTanium Platformを採用しており、毎年前年比500%もの成長を遂げています。また、世界トップ10の金融機関の5社、世界トップ10の流通業の4社などがTanium Platformを採用していることからも、信頼性、有効性が認められていると言えます。日本ではマクニカネットワークスが2015年8月から提供を開始しましたが、大手自動車メーカーをはじめ、外資系金融機関や官公庁などに導入・評価をしていただいています。

サードパーティと柔軟に連携することで多彩な情報解析やアクションを実施

前置きが長くなりましたが、Tanium Platformが注目を集めている、その理由であるタニウム社独自のテクノロジーについてご紹介します。

一般にセキュリティ強化に必要とされる対策とは、①検知(マルウェア感染を見つける)、②調査(検知した攻撃の影響範囲を特定する)、③対処(調査した端末のネットワークを遮断しマルウェアを駆除する)、④予防(攻撃に対して免疫をつけ感染しにくくする)の4段階が考えられますが、Tanium Platformは主に②調査~③対処~④予防の3段階をリアルタイムに実施可能です。

セキュリティ強化の4ステップ

図2. セキュリティ強化の4ステップ

Tanium Platformは検知機能を備えていませんが、サードパーティのゲートウェイ製品やSIEMなどと柔軟に連携させるコネクターを豊富に持ち、検知の基準を取り込むことができます。これにより、多彩な情報解析や対処が可能です。

Tanium Platformはサードパーティ製品と連携した情報解析やアクション実施が可能

図3. Tanium Platformはサードパーティ製品と連携した情報解析やアクション実施が可能

例えば、CrowdStrike社の次世代エンドポイント型標的型サイバー攻撃対策製品「Falcon Host」の強力な検知機能と連携させる活用方法や、マシンデータ分析プラットフォーム「Splunk Enterprise」によるTaniumからの膨大なログデータの迅速な相関分析・可視化などがあります。

P2P通信でネットワーク負荷を分散し数万台のエンドポイント情報を十数秒で取得

Tanium Platformの最大の強みはリアルタイムの情報収集機能です。一般的なEDR製品はクライアント/サーバ型のネットワークトポロジーを使って、1台1台のエンドポイントがセントラルサーバに対してツリー型、もしくはハブ&スポーク型の通信を行い、そこから必要な情報を収集するケースが多いのですが、エンドポイントが個々に中継サーバへ通信を行うため、管理台数が増えるに従ってネットワークに負荷がかかり、サーバの処理時間も遅くなります。

一方、Tanium Platformはエージェント(Taniumでは“センサー”と呼んでいます)がインストールされたエンドポイント同士がP2P(ピア・ツー・ピア)に似た技術で自動的にコミュニケーションを実行する「インテリジェント・リング・トポロジー技術」を採用しています。設定不要のままサブネット内でリング・トポロジーを自発的に構成し、リーダー格のエンドポイントが隣のエンドポイントとP2P通信でファイルを横展開することでネットワークパフォーマンスを自動的に最適化して負荷が分散され、数万台規模のエンドポイントでもわずか十数秒で情報を取得することができます。

一般的な通信フローとTanium Platformの通信フローの違い

図4. 一般的な通信フローとTanium Platformの通信フローの違い

Taniumサーバと、データベース用サーバ、機能拡張モジュールやサードパーティとの統合を独立して行うTaniumモジュールサーバ(TMS)の3つをセットで用意することが基本となりますが、1台のTaniumサーバで最大50万台のエンドポイントをサポートできるため、サーバの台数も必要最小限で済み、管理者はメンテナンスする必要もありません。

基本的にはプライベートのネットワークを対象に管理するのが一般的ですが、持ち出しのPCや外出先で利用する端末をカバーする機能もあるため、企業に属するWindows、MacOS 、Linux、UNIXのエンドポイントを全てリアルタイムに管理できます。また、Windows PowerShellやCommand PromptなどCLIで可能な操作は全てできるようになっています。

リアルタイムの可視化でインシデントレスポンスに大きく貢献

ロバスト性(堅牢性)も大きな強みです。ネットワーク内に低速なシステムや、ファイアーウォール、NATなどがあれば別の経路へ自律的に迂回します。オフラインのシステムやリブートしている場合でもオンラインになれば対処可能です。

Taniumコンソールに表示するデータは、データベースに蓄積した数日前のデータではなく、リアルタイムにエンドポイントから収集したデータを可視化します。標的型サイバー攻撃のように深く静かに侵入し、マルウェアの感染から時間が経てば経つほど侵入が拡大して情報窃取の範囲も拡大する手口に対して、リアルタイムの可視化はインシデントレスポンスに大きく貢献すると言えます。

さらに、リアルタイムではない過去の情報もTaniumで取得することができるため、いつ、どのエンドポイントで、何が起きていたのかという証跡からのフォレンジック分析にも大いに役立ちます。

Googleライクなシンプルな操作性とパッチ配布時のWAN回線負荷低減を実現

Tanium Platformの検索窓に検索ワードを入力すれば、それに最も近いクエリーをいくつか表示してくれます。その中から必要なクエリーを選択すれば、エンドポイントの情報を順次取得していきます。要件定義で頻繁に使うクエリーを“お気に入り”のように登録することもでき、登録すれば、ログインしてすぐに見ることも可能です。

例えば「Windowsの最新セキュリティパッチが当たっていない全ての端末」や、「許可されていないアプリケーションをインストールしている端末」、「有料アプリケーションをあまり使用していない端末」といったリスト化のリクエストをすぐに出すことができ、必要に応じてアプリケーションのアンインストールや端末の隔離を行うことが可能です。管理者は日々の管理・監視業務が格段に容易になります。

Tanium Platformはエンドポイント同士でファイルを受け取る方法で帯域を圧迫することがないため、夜のうちにパッチを配布する操作をしても、朝の出勤直後に社員が端末を立ち上げた瞬間に管理サーバにアクセスが集中してWAN回線に負荷が高まるログインストームを回避することができます。

配布したパッチは各エンドポイントに64kbyte単位の小ピースに分割保存しておいて、新しい端末がネットワークに加わった時に横の端末からファイルを収集する仕組みを持っているため、サーバにリクエストを出す必要はなく、ここでもネットワーク負荷の低減が期待できるのです。



パッチ配布時にもWAN回線負荷を低減

図5. パッチ配布時にもWAN回線負荷を低減

エンドポイントからの情報取得や、エンドポイントへのアクションの実施は、Tanium Platformがあらかじめ用意した豊富なプログラムで実現可能です。また、そのプログラムでも物足りない場合はスクリプトで自由にカスタマイズも可能なので、ユーザ自身が自社に合わせて設定するか、もしくはマクニカネットワークスにリクエストをいただければ細やかな要望にも対応可能です。

Tanium Platformの画面イメージ

図6. Tanium Platformの画面イメージ

検知情報を取り込むことで、ファイル削除や端末隔離の対処が可能に

最後にTanium Platformを活用いただいている事例をご紹介します。

ある官公庁では、標的型サイバー攻撃によってどのような被害が起こっていたのかを認識できないことが問題とされていました。そこでTanium Platformを導入し、アンチウイルスの検知情報を元にHashから履歴を検索し過去に遡って検体を追跡した結果、エンドポイントの被害履歴を精緻に確認することができ、今後は被害履歴をリアルタイムに確認するなど次の対策への重要な手がかりとなりました。

また、ある準政府機関では、検知型セキュリティの検知後のアクションが不十分だったため、Tanium Platformに検知情報を展開し、ファイル削除や端末隔離のスクリプトを実行することで、脅威を検知した後の対処が可能になりました。

Tanium Platformはセキュリティのみならず、リアルタイムのアセットマネジメントにも活用されています。ある製造業の企業ではたびたび標的型サイバー攻撃に晒されていました。しかし、Tanium Platform導入によって十数秒で情報を収集できるようになり、脆弱性のある社内システムを特定して即座に対処することが可能になりました。

また、別の製造業の企業では、許可されていないクラウドサービスの無断利用など、従業員のセキュリティポリシー違反を把握できていない状況でした。しかし、Tanium Platformを活用することで無許可のシステム利用の検出をリアルタイムに実現し、即座に警告あるいは強制アンインストールなどの施策を実施することができるようになったといいます。

このように、Tanium Platformによりエンドポイントの情報をリアルタイムに収集することで、これまで実現が難しかった標的型サイバー攻撃を検知した後の対処をリアルタイムに実施することが可能になります。

いつか見た景色 from Staff's Albums