サイバーリーズン・ジャパン EDR「Cybereason」 AIで攻撃の兆候をリアルタイム検知 既知だけでなく未知の脅威も防御

サイバー攻撃は高度化・巧妙化しており、従来のセキュリティ対策では防御が難しくなっている。「Cybereason」は、エンドポイントから収集した情報を分析して脅威を検知・対処するEDR(Endpoint Detection and Response)製品。AI(人工知能)を活用した独自の分析技術により、悪意ある振る舞いをリアルタイムに検知する。
ガイ・ローテム氏

サイバーリーズン・ジャパン
サイバーセキュリティー・シニアディレクター
ガイ・ローテム氏

 大規模なサイバー攻撃が各地で頻発している。記憶に新しいところでは、2017年5月に猛威を振るったランサムウェア「WannaCry」がある。150カ国以上、30万台以上の端末が感染したといわれ、国内でも大手自動車会社の工場が一時操業停止を余儀なくされるなど大きな被害をもたらした。

 企業の規模や業種によって温度差はあるものの、今や多くの企業が何らかのセキュリティ対策を取っている。しかし、高度化・巧妙化する一方のサイバー攻撃に、従来の対策では100%防御しきれなくなっているのが実情だ。

 例えばアンチウィルスソフトは、シグネチャや定義ファイルの更新によってマルウェアを検知しネットワークへの侵入を防ぐが、新型や亜種など未知のマルウェアが次々に登場する現状では完全な“後追い”状態となっている。このため、未知のマルウェアの場合には、無防備な状況になってしまう。

 最近は遠隔操作でネットワークに侵入して潜伏後、ネットワーク内を徘徊・収集した情報を外部のC&Cサーバーに送信するといった、アンチウィルスソフトでは対応できない新たな攻撃手法も登場している。

 システム管理者が社内の端末やネットワークを常に監視していれば、ちょっとした変化や異常もすぐに見つけられるかもしれないが、現実には難しい。そこで、人間に代わって人工知能(AI)によるサイバー攻撃対策に注目が集まっている。

 その代表的な製品が、企業向けセキュリティプラットフォーム「Cybereason」だ。エンドポイントから様々な情報を収集し、脅威を検知、対処するという3ステップから成り立っており、AIを活用した独自の分析技術により、従来のセキュリティ対策をすり抜けたサイバー攻撃も防御することができる。

 サイバーリーズン社は、イスラエル参謀本部諜報局情報収集部門の一組織である「8200部隊」でサイバーセキュリティに携わったメンバー3名によって2012年に設立された新興のセキュリティベンダー。米ボストンに本社を置き、イスラエルのテルアビブ、英ロンドンにも拠点を持つ。2015年にソフトバンクが出資したことで日本でも一躍その名が知られるようになり、同社との合弁会社として日本法人サイバーリーズン・ジャパンが設立された。

 8200部隊は、電波傍受やサイバー攻撃・防御などを主な任務とする。サイバーリーズン・ジャパンでサイバーセキュリティー・シニアディレクターを務めるガイ・ローテム氏は「敵対国のコンピューターをハッキングする任務に就いていた経験から言いますが、どのようなネットワークでも100%確実に侵入することが可能です」と断言する。にもかかわらず、多くの企業が侵入を防ぐ「壁」を築くことに一生懸命となっており、万が一、侵入された場合の対策については後回しになっているという。Cybereasonはメンバーの経験を基に、侵入後でも即座に脅威に対応できるノウハウが盛り込まれている。

1秒間に800万回の解析で照合・検知 グラフィカルな管理画面で攻撃把握


 それでは、Cybereasonとはどのような製品であり、導入によってどのようなメリットをもたらすのか。

 「Endpoint Silent Sensor」「Malop Hunting Engine」「Incident & Response Console」の3つのコンポーネントからなるCybereasonには、次のような特長がある(図表)。

図表 Cybereasonセキュリティプラットフォームの全体構成

図表 Cybereasonセキュリティプラットフォームの全体構成

 第1に、簡単に導入可能であり、負荷の少ない軽快な動作を実現することだ。

 PCやサーバーなどエンドポイント端末に導入してリアルタイムに情報を収集するEndpoint Silent Sensorは、CPU使用率が平均5%未満、通信量は1日あたり5~10MBとクライアントへの負荷が最小限になるよう設計されている。このため、端末や社内ネットワークへの影響を抑え、スムーズに導入できる。「Endpoint Silent Sensorを社内のすべてのPCにインストールしても大きな負荷がかからないので、社員は変化に気付かず、仕事の妨げになることもありません」とローテム氏は言う。

 第2に、悪意ある振る舞いをリアルタイムに検知できることだ。

 Cybereasonの「頭脳」の役割を担うMalop Hunting Engineは、パターン認識や機械学習、行動解析など様々な分析技術を駆使し、悪意ある振る舞いを検知する。1秒間に800万回のビッグデータ解析により、リアルタイムに照合・検知が行える。

 具体的には、エンドポイントから収集した大量データの中から独自の分析ロジックで「攻撃に利用される可能性がある活動」を抽出。その上で、攻撃と疑われる事実があったかどうかを過去にさかのぼって解析し、関係性のあるものについては「疑わしい活動」として判定する。膨大な攻撃シナリオと照合し、判定基準に合致したものを「悪意ある活動」(Malicious Operation=Malop)として管理者に報告するという流れだ。

 Cybereasonは振る舞い分析に加えて、おとりファイルを端末上に配置し、そのおとりファイルが暗号化されたことをトリガーに検知するという二段構えの検知方法を採る。パターンやシグネチャに依存しないため検知ルールが不要で、既知だけでなく未知のマルウェアも防御することができる。実際、未知のランサムウェアであったWannaCryも、Cybereasonユーザーの間では1件も被害が発生しなかったという。

 そして第3に、攻撃の兆候を可視化する分かりやすいGUIだ。

 Cybereasonの管理画面であるIncident & Response Consoleには、マルウェアがいつ侵入し、どのような不正な振る舞いをしているかといった自動解析結果が時系列でグラフィカルに表示される。しかも日本語に対応しているため、原因の特定や報告に必要な情報収集を効率的に行える。

 攻撃の規模や深刻度を円の大きさや色の濃淡で表現するグラフィカルな表示方法により、攻撃の全体像を把握しやすくなっている。企業のIT担当者の中にはセキュリティは門外漢という人が少なくないが、セキュリティに関する詳細な知識がなくても、一目で認識できるように工夫されているという。

画像をクリックして拡大
Incident & Response Console

Incident & Response Consoleには、マルウェアがいつ侵入し、どのような不正な振る舞いをしているかといった自動解析結果が時系列でグラフィカルに表示される

マネージドサービスも提供 セキュリティアナリストも配置


 Cybereasonは、利用ライセンスにサポートサービスが付いたプロダクト利用タイプと、マネージドサービスも付いたタイプの2種類から選択できる。後者には、イベント検知の際にセキュリティアナリストが電話またはメールで通知するサービスのほか、ユーザー企業の指示に従った抑止制御、リスクを速やかに解析しリポートとして提供するサービスなども含まれる。

 他社のセキュリティレポートはデータを集めただけのものが多いのに対し、「我々は分析したものをお渡しするので、お客様は自社でデータ分析を行う手間が省かれます」(ローテム氏)。

 サイバーリーズン・ジャパン社内にあるSOC(Security Operation Center)には、約15人のセキュリティアナリストが常駐している。アナリストは日本人か日本語の読み書きができる外国人なので、日本企業も安心して利用できる。

 サイバー攻撃は日々深刻化しており、「とりあえず何か対策を取れば安心」というわけではなくなっている。より確実に防御する方法として、Cybereasonをお薦めしたい。

page top
お問い合わせ先
サイバーリーズン・ジャパン株式会社
URL:http://www.cybereason.co.jp/contact