ランサムウェアへの対応策！EDR製品の選び方とCybereason EDRの強みを解説！

年々サイバー攻撃が複雑化する中、企業では適切な対応が求められています。しかし「ランサムウェアについて詳しく理解できていない」「具体的にどんな対策をすればいいかわからない」という方も多いです。そこで今回は、ランサムウェアについて解説し、対策としておすすめの製品、Cybereason EDRをご紹介します。

増え続けるランサムウェアの被害

2022年、日本では230件のランサムウェアによる被害が報告されています。これは前年度比57.5％増となっており、国内では2020年以降被害件数が右肩上がりの状態です。

ランサムウェアとは、身代金要求型不正プログラムというもので、悪意のある第三者がPCやサーバ、ネットワーク機器などにランサムウェアを侵入させ、「元に戻してほしければお金を支払え」と要求します。

被害者の端末には身代金要求のメッセージなどしか表示されなくなり、業務システムや端末に保存されたデータにアクセスできなくなります。また、システムのサーバーが攻撃対象となった場合、社員全員がシステムを利用できなくなり、共有しているファイルへのアクセスやメール・メッセージの送受信もできません。

業務が停止するだけでも甚大な被害が生まれますが、攻撃者は「身代金を払わなければ、データを公開する」と脅迫します。もし顧客情報など社内の機密データが流出してしまった場合、金銭的な損害はもちろん、社会的信用を失う可能性も大きいです。

ランサムウェアの攻撃方法については、VPN機器やリモートデスクトップなどを通じてリモートからの侵入が増えています。また、メールからの侵入やサーバーの脆弱性をついた侵入などもあります。特に、ファイル共有の脆弱性対策をしていない企業は被害に遭うことも多いです。

企業として必須になるランサムウェア対策とEDR

ランサムウェアの被害に遭った企業は、調査・復旧のために5,000万円以上の費用がかかるケースもあり、非常に大きな損害を被ります。そのため、被害を避けるためにしっかりとした対策が必要です。

リモートからの侵入が多いため、リモートアクセスに使うパスワードを複雑にすることが一つの対策となります。また、プライベートで利用するサイトと使いまわしにすると、それだけでリスクが上がってしまいます。さらに脆弱性に対しては迅速にパッチをあてることも重要です。

このように対策方法は様々ですが、最もおすすめなのがEDRの利用です。EDRとはEndpoint Detection and Responseのことで、ユーザーが利用している端末やサーバーといったエンドポイントにおいて、不審な挙動が発生したらそれを検知し、管理者に通知するなど迅速な対応をサポートします。

尚、EDRはEPPと比較されることが多いです。EPPとはEndpoint Protection Platformを指しており、アンチウイルスソフトを意味しています。こちらは既知マルウェアのデバイス侵入は防ぐものの、未知のマルウェアを防ぐことができません。EDRはEPPで対応しきれない攻撃からデータを守る、重要な役割を果たします。

もともとはサイバー攻撃を入り口で防ぐことを重要視していましたが、攻撃方法が高度化していることを受け、内部に侵入してしまった場合にも早急に検知して対応することで、被害を最小限に抑えるためにEDRが利用されています。

EDRはエンドポイントにて常時ログを取得し、不審な動きがないかを監視します。ログの分析の結果、怪しい動きが見つかると、すぐに管理者に通知し、管理者がさらにデータを精査。必要に応じて、さらなる対策を講じます。

また、最近ではEDRの拡張版ともいえるXDRが注目を集めています。こちらはエンドポイントだけでなく、ネットワークやアプリケーションスイート、オンプレミスのデータセンターなども監視できるものです。XDRについて詳しく知りたい方は、「EDRの拡張版？XDRの特徴とそれぞれの違いを解説！」をご覧ください。さらにXDRだけでなく、最近ではNDRも話題に上ることが多いです。こちらについて詳しく知りたい方は、「サイバー攻撃から自社を守る！今、話題のDarktraceとは？」をご覧ください。

EDR製品の選び方

現在、様々なメーカーから多数のEDR製品がリリースされています。マルウェアやEDRについてのノウハウがない中で、自社に合ったものを選ぶことは難しいかもしれません。そういった方は、5つの項目を確認してください。

1つ目が、検知能力です。
マルウェアは日々進化しており、常に最新の型が生まれています。EDRが最新の脅威も検知できるか確認しておくことは重要です。

2つ目が、調査作業支援機能です。
脅威が検知されたら、どのように感染して、どこまで影響が出るかを確認しなくてはなりません。この調査を自動化・効率化できるかどうかは製品を見極める上で大きなポイントとなります。

3つ目は、展開の難易度です。
エンドポイントにエージェントを展開するとき、ユーザーの業務に差し支えないのか、事前設定したうえで展開できるかなどは製品によって異なります。

4つ目は、分析処理制度です。
常時取得したログを分析する際、異なるエンドポイントを関連付けられたり、外部の脅威インテリジェンスの情報も加味できたりといった機能があると、よりハイレベル分析ができると言えます。

5つ目が、第3者機関による製品評価です。
日本や世界にはEDR製品を評価する機関が複数あります。中立な立場で機能の評しているので、それらを参考にすることで客観的な意見を取り入れることが可能です。

企業の大切なデータを守るCybereason EDR

EDR製品が数多くある現在、特におすすめなのがCybereason EDRです。Cybereason EDRは、攻撃の兆候をあらゆる面から分析して洗い出します。また、取得したログを横断的に分析することで、高いレベルで異常行動を発見。異常行動を証拠として収集し、いくつかあつまると不審事項として監視し、中でも攻撃性が高いものをMALOPとして特定します。MALOPとはMalicious Operationsのことで、サイバー攻撃の一連の流れを指したものです。

Windowsやmac OS、Linuxなど監視対象が広く、数万台のエンドポイントに対応し、すべてリアルタイムで監視します。多くの事務所や営業所、リモートワークを導入している企業でも安心です。攻撃の兆候を洗い出し、進行する攻撃を直感的に可視化、迅速に対応します。

UIにも優れ、攻撃フェーズごとの感染状況や感染規模、感染してからの経過時間など一目でわかります。また、攻撃種類の統計から対応ステータス、時間別統計なども表示。対応漏れを防ぐため、対応結果の管理やラベル管理なども閲覧可能です。

解析結果もわかりやすく、悪質なものは赤色で表示。根本原因の特定から、影響する端末とユーザー、用いられた悪質なプロセスなどもわかります。複数端末に対してワンクリックで対応できるので、プロセスの停止やファイルの隔離、レジストリの削除など、迅速にそして簡単に対処可能です。

担当者の業務負担を軽減するため、レポートは自動作成されます。インシデントの概要からタイムライン、不審事項一覧、ファイル/コマンド一覧、通信一覧、端末一覧、ユーザー一覧など包括的にカバーした内容が生成。社内での業務報告に役立ちます。

Cybereason EDRは国内外での評価が高く、「次世代エンドポイントプロテクションプラットフォーム出荷金額2021年」で1位を獲得。他にも複数のランキングで首位を占め、2020年、2021年のEDR市場占有率1位となりました。海外では2021年3月の『Forrester Wave: Managed Detection and Response, Q1 2021』において「Strong Performer」の評価を獲得。クラウドセキュリティに関する第三者認証も複数受けています。

中小企業におすすめのCybereason Core Suite

非常に豊富な機能を備えたCybereason EDRについて、「大企業にはいいかもしれないが、うちにはハードルが高い」と感じる方も多いかもしれません。そんな方におすすめなのが、Cybereason Core Suiteです。こちらはCybereason EDRの機能を、よりリーズナブルに利用できるということで、中小企業から人気を博しています。

導入コストを抑え、管理サーバーをクラウドにすることでシステム構築が不要になるなど運用負荷も軽減されています。従業員が自宅で業務を行っていても一括監視できる点や、どんな攻撃を受けているかが一目でわかる管理画面もポイントです。

企業によってはシステム専任者を置いていないこともありますが、そういったケースでも何かあったときに専門のアナリストが対応方法を案内してくれます。複雑な対処をせずともクリックしていくだけで深堀調査ができますし、端末隔離などもワンクリックで対応。いつ、どこで、何が起こったかを自動相関解析できます。

これからマルウェア対策を始めたい方や、製品導入にあたりサポートが必要な方は、ぜひ三谷商事にご相談ください。お客様の現状や課題を分析し、技術的なサポートなどをご提供します。