ウォッチガード マーケティング部長の堀江徹氏（右）とプリセールスエンジニアの正岡剛氏

　サイバー攻撃は日々、深刻化・高度化しており、セキュリティ脅威は高まる一方だ。大企業や官公庁を狙った標的型攻撃による大規模な情報漏えい事件は、毎年のように起きている。だからといって、中堅・中小企業がサイバー攻撃に無関係というわけではない。話題にならないだけで、多くの中堅・中小企業が被害に遭っている。

　また、感染したPCをロックしたりファイルを暗号化した後に、元の状態に戻すことを条件に「身代金」を要求するランサムウェアの脅威が世界中で急増している。日本も企業規模や業種を問わず被害を受けており、昨年の被害件数は前年の3倍以上に上ったという。

　中堅・中小企業といえども高度かつ総合的なセキュリティ対策が求められているわけだが、大企業と比べるとセキュリティ対策に割り当てられる予算が限られているうえ、専任の担当者を確保することが難しいのが実情だ。

　しかし、いったん攻撃を受けた際のダメージの大きさは計り知れないものがある。コストを抑えつつ、より確実なセキュリティ対策を取ることは、中堅・中小企業に共通する課題となっている。

　ウォッチガード・テクノロジー・ジャパン（以下、ウォッチガード）がこの3月に提供を開始した「WatchGuard Threat Detection ＆ Response（TDR）」は、ネットワークからエンドポイントまでをリアルタイムに情報を収集して相関分析し、さらに必要な対策を自動で行えるというもの。中堅・中小企業の課題解決にも一役買うことができる。

図表1　Threat Detection & Responseの概要

インシデントレスポンスを自動化　脅威のネットワーク拡散を防止

　TDRは、（1）ThreatSync、（2）Host Sensor、（3）Host Ransomware Prevention（HRP）、（4）クラウドベースの脅威インテリジェンスで構成される。

　1番目のThreatSyncは、脅威情報を収集、相関分析するクラウド共有基盤上にあるエンジンで、Fireboxや後述するHost Sensorから収集したセキュリティイベント情報を分析し、脅威レベルのスコアリングとレスポンスの指示を行う。

　2番目のHost Sensorは、企業内のエンドポイント（PC）上で動作し、振る舞い検知などで検知したイベント情報をThreatSyncへ通知する。

　3番目のHRPはHost Sensorに搭載されるランサムウェア対策に特化したモジュールで、PC上でファイルが暗号化される前に自動的にランサムウェアを検知して防止するというものだ。

　そして4番目のクラウドベースの脅威インテリジェンスは、ウォッチガードのサンドボックス機能「APT Blocker」をはじめ、URLフィルタリング、ボットネット検知、レピュテーションセキュリティなどが検知したマルウェアなどの脅威情報をThreatSyncに提供する。

　これら4つのコンポーネントに、ゲートウェイでネットワーク領域のイベント情報をThreatSyncに送る従来からのセキュリティアプライアンス「Firebox」シリーズ、他のセキュリティベンダーのソースを含む脅威フィードを加えたものが、TDRの全体イメージとなる。

　TDRが脅威を検知・防御する仕組みは次のようなものだ。

　まず、Host Sensorはインストールやバージョンアップ、サービス起動時にベースラインサーベイを実施し、特定フォルダ内の実行ファイル情報やレジストリ情報、プロセス情報を取得してThreatSyncに送信する。その後は、Heart Beatにより30秒ごとにレジストリ値の差分情報をThreatSyncに送信して同期を行う。

　ThreatSyncでは、APT BlockerをはじめReputation Enabled Defense、Gateway Antivirus、WebBlockerなどFirebox上で動作する複数のセキュリティサービスから収集したネットワークイベント情報と、Host Sensorによって検出されたイベント情報、さらにはグローバルソースで検知された脅威フィードを集約し、相関分析を行う。これらを基に包括的な脅威スコアを生成し、脅威の優先度を10段階でランク付けする。

　「ファイルのハッシュ値など固定されたデータだけでなく、外部のC＆Cサーバーと通信していないかといったネットワークの振る舞いも相関分析の要素に含まれることで、より正確なスコアリングが可能です」とマーケティング部長の堀江徹氏は話す。

　管理者はスコアリングされた脅威情報を見て手動による対応を取るだけでなく、脅威に対するレスポンスを自動化することも可能。「スコア6以上の脅威の場合、マルウェア本体を検疫するアクションを実行する」といったポリシーを設定しておくと自動で対応し、脅威が除去された後はスコアリングも低下する。

　ThreatSyncでスコアリングされた脅威フィードはHost Sensor間で共有されるので、他の端末でも脅威の実行前に自動的にレスポンスが行われる。これにより、脅威がネットワークに拡散することを防止する。

図表2　Host Sensorの概要

ファイル暗号化前にプロセスを停止、社外でもランサムウェア対策を実現

　TDRは、HRPモジュールにより効果的なランサムウェア対策を取ることができるのも大きな特長だ。

　HRPは、亜種も含めた数千種ものランサムウェア解析を基にした25パターンの検知システムとして機能し、エンドポイントでファイルが暗号化される前にそのプロセスを停止して感染を防ぐ。また、Cドライブの直下やマイドキュメントフォルダ内など暗号化の対象となる領域に「おとり」のファイルを作成し、ランサムウェアのアクセス状況の監視も行う。

　「ランサムウェアは、不正プログラムが実行される段階まで気づかないケースがほとんど。HRPはランサムウェアが動くときに捕らえるので、被害を未然に防止することができます」とプリセールスエンジニアの正岡剛氏は説明する。

　Host Sensorの特筆すべき点は、スタンドアローンでもランサムウェア対策としての機能を発揮すること。働き方改革の一環としてリモートワークを許可する企業が増えているが、社外で会社のノートPCを利用する場合でもランサムウェアからの攻撃を防御できるので安心だ。

Total Securityの標準機能で提供　IT管理者不在の企業に有効

　TDRは、「WatchGuard Total Security Suite」ライセンスの標準機能として提供される。中堅規模向けのFirebox Mシリーズであれば、数百台分のHost Sensorライセンスが含まれている。参考価格は、UTMスループットが最大800Mbpsの「Firebox M300」が99万7200円（Firebox本体、Total Security Suite（150Host Sensors付））。

　1月末に提供を開始した米国・欧州では、容易なポリシー設定をしておけば自動レスポンスでセキュリティ脅威に対応できる点が、中堅企業で特に評価されているという。

　SIEMを利用したセキュリティ対策やインシデントレスポンスは有効な手段だが、セキュリティ予算規模により、中堅・中小企業にはハードルが高い。そうした企業にWatchGuard Total Security SuiteによるTDRはうってつけの製品と言えそうだ。

ホワイトペーパーダウンロード

ランサムウェア対策のベストプラクティス 急増するランサムウェアにより、企業におけるデータの安全性に関する意識は大きく変化しようとしています。身代金を要求する攻撃者は、企業にとって重要なデータであれば、容易に金銭を手に入れ、収益化します。では、企業やエンドユーザはこのようなランサムウェアにどのように立ち向かえばよいのでしょうか？