NTTコミュニケーションズが現在、3年越しでサイバーセキュリティー対策の抜本的な強化に挑んでいる。きっかけとなったのは、2019年から2020年にかけてのサイバー攻撃被害だ。苦い経験から同社が得た教訓とその後の対策は、激化する一方のサイバー攻撃に備える全ての企業にとって参考になる。
「(社内システムに)脆弱性が見つかった際はセキュリティー更新プログラム(パッチ)を当てるのが先決だが、同時に『既に不正侵入されている』との前提に立って対策に臨む必要がある」。高度化する一方であるサイバー攻撃への対応のあり方について、NTTコミュニケーションズの小山覚情報セキュリティ部長はこう話す。
同社では2020年5月に、2つの経路から社内ネットワークに侵入され、情報などが盗み出されたことが判明した。それを教訓に強化し始めたセキュリティー対策で目を引くのは、役割の異なる複数のセキュリティー製品を矢継ぎ早に導入しながら、サイバー攻撃者に対する監視の網を広げている点だ。
EDR、NDR、UEBA搭載SIEMを導入
まずサイバー攻撃が判明した直後から2021年7月までに、EDR(Endpoint Detection and Response、エンドポイントでの検知・対応)製品を国内・海外の全拠点に展開した。EDRは、端末の挙動に関するログを収集して分析することで不審な振る舞いを見つけ出し、サイバー攻撃を検知するソフトウエアだ。不審な通信や動作を見つけた際にはそれを遮断するとともに、被害の範囲を調査する機能も備える。
EDRはウイルス対策ソフトなどと同様にパソコンを守るイメージが強いが、NTTコムは重要システムへの攻撃も漏れなく検知できるよう、社内の全てのサーバーにもEDRを導入した。同社は従業員が使うパソコンには2018年ごろから米Microsoft(マイクロソフト)のEDRである「Microsoft Defender for Endpoint(旧Windows Defender ATP)」を順次導入していたが、サイバー攻撃が発覚した直後の2020年夏から2021年7月にかけて、Linux向けのEDRを別途採用するなどしながら、EDRの導入先をサーバーも含む社内全体に広げた。
次いで2021年3月までにNDR(Network Detection and Response、ネットワークでの検知・対応)製品と、強力なUEBA(User and Entity Behavior Analytics、ユーザーなどの振る舞い分析)機能を備えるSIEM(Security Information and Event Management、セキュリティー情報&イベント管理)製品を導入した。
複数の情報源から「ラテラル」の動きをつかむ
NDRはネットワーク機器を流れるトラフィックを監視することで、異常な通信を検知するソフトである。異常な通信とは例えば「社内ネットワークに侵入したマルウエアから外部へのビーコン通信」「ランサムウエアがファイルを暗号化する際のファイルサーバーに対する異常な数のトラフィック」などだ。
SIEMは、様々なシステムからログを集めて分析することでセキュリティー脅威を検出するツールだ。NTTコムはサイバー攻撃を受ける前から複数のSIEMを使っていたが、サイバー攻撃後に導入したSIEMは、主にユーザーの振る舞いを基に不正行為を検知するUEBA機能を備えている。UEBAはあらかじめユーザーによる正常な振る舞いを機械学習しておき、それから逸脱するデータへのアクセスやダウンロードなどの振る舞いを検知したら、不正な行為と見なしてアラートを発する。
EDRとNDR、SIEMが捕らえた社内ネットワークに侵入した攻撃者の振る舞いは、社内のCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)が監視し、攻撃の阻止や被害の最小化に向けたアクションを素早く実行する。EDRとNDR、SIEMの主な違いは監視対象だ。
EDRは一般的にパソコンなどのデバイス上におけるユーザーやプログラムの動きを監視して、マルウエア感染の有無や、「ログの削除」や「権限の昇格」といったデバイス上での攻撃者特有の振る舞いを見つけ出す。
NDRは、デバイスの乗っ取りに成功した攻撃者やマルウエアがネットワーク内で被害を拡大させるために行う、いわゆる「ラテラルムーブメント(横方向への動き)」の検知を得意とする。
