全3834文字
PR

すべてのサイバー攻撃を防ぐのは不可能――。そんな逆転の発想が竹中工務店を救った。マルウエアの侵入を前提としたセキュリティー対策を導入したところ、大きな効果を得た。標的型攻撃が増加するなか、日本企業はセキュリティー戦略の転換を迫られている。

 「新種の攻撃メールが流行する直前に新たなセキュリティー対策を全社展開していた。そのおかげで被害を未然に防げた」――。大手建設会社、竹中工務店の高橋均ICT企画グループ副部長はこう話す。

 同社は2019年末までに、「EDR(Endpoint Detection and Response、エンドポイントの検知と対応)」と呼ばれる次世代型のセキュリティー対策を国内全拠点に展開した。「Detection」とは検知、「Response」とは対応という意味だ。パソコンなど端末へのマルウエアの侵入を防ぐだけでなく、マルウエア感染をいち早く検知し、被害を拡散させる前に封じ込めなどの対策を取る新しい考え方のセキュリティー対策ソフトウエアである。

図 国内で猛威を振るったマルウエアの被害を竹中工務店が免れた経緯
図 国内で猛威を振るったマルウエアの被害を竹中工務店が免れた経緯
「侵入のリスクはゼロにできない」という逆転の発想が奏功(写真提供:竹中工務店)
[画像のクリックで拡大表示]

 竹中工務店が採用したのは米クラウドストライクの「CrowdStrike Falcon」で、約1万3500台のパソコンを対象に導入し、サイバー攻撃を自動監視する体制を整備した。

 その直後の2020年1月。EDRは早速、社内に侵入したマルウエアを検知した。当時、国内で猛威を振るい始めていた「Emotet」(エモテット)だ。感染したパソコンから過去のメールの内容や送信者名、メールアドレスなどの情報を窃取し、それを攻撃メールに流用する。攻撃メールを受け取った人がそれを正規のメールと勘違いして開封し、添付ファイルを開いてしまうことで、さらに他のパソコンへと感染が拡大するという悪質な仕掛けだった。

 だが竹中工務店が導入したEDRは、既存のウイルス対策ソフトより1日前にこの攻撃を検知し、情報の漏洩やさらなる感染を防いだ。既に竹中工務店の社員を装った不正メールが出回っていたが、同社の社内パソコンが発信源にはなってなかった。その旨を取引先などに説明し、事なきを得たという。

 竹中工務店の導入したEDRが既存のウイルス対策ソフトより前にサイバー攻撃を察知できたのはなぜか。

 これまでのウイルス対策ソフトは、世の中に出回っている既知のマルウエアの定義ファイル(シグネチャ)を基に、それと合致するマルウエアを検知して排除する。一方のEDRは「エージェント」と呼ぶクライアントソフトがパソコンの挙動をつぶさに記録する。そしてログをクラウド上に収集して分析することで「パソコンが外部と不審な通信をしている」など不審な振る舞いを見つけ出し、サイバー攻撃を検知する。加えて不審な通信や動作を遮断すると共に、侵入経路や被害の範囲を調査して事後の対策に役立てる。つまりEDRは、マルウエアがパソコンに侵入しても、その被害を最小限に食い止めることを目指している。

図 従来のクライアントセキュリティー対策とEDRの違い
図 従来のクライアントセキュリティー対策とEDRの違い
侵入されることを前提に被害を食い止めることが主眼
[画像のクリックで拡大表示]