【Part 2】ゼロデイとは?注目の米国サイバーセキュリティ企業がEDR(エンドポイント検出と応答)からどの様に進化していくのかを徹底分析!
コンヴェクィティ- Part 1では、ゼロデイ脆弱性という広範な脅威について取り上げており、これが中国のハッカーによるアメリカの盗聴システムへの侵入を助けた可能性があるとされています。
- そして、本稿であるPart 2では、「ゼロデイとは?」という点を深掘りし、さらに、サイバーセキュリティ業界がEDR(エンドポイント検出と応答)からどのように進化していくのか、ゼロデイ脅威に対してより効果的に保護するためにどのような新しい解決策が登場しているのかについて詳しく解説していきます。
- 2023年の初めに「EDRは最終形」との意見が多かったが、最近のセキュリティ侵害はその見解に疑問を投げかけ、より広範なセキュリティ統合が求められるようになっています。
- パロアルトネットワークス(PANW)のXDR(拡張検知と対応)は、エンドポイント、ネットワーク、クラウドを統合し、他のEDR製品を凌ぐ成果を上げている一方、フォーティネット(FTNT)はNDR(ネットワーク検知と対応)に注力しています。
- ゼロデイ脆弱性や未対応の脆弱性が原因で、企業における侵害が発生しており、迅速なパッチ適用とネットワーク監視が重要な防御手段となっています。
※「【Part 1】サイバーセキュリティ関連株の本命は?ゼロデイ脆弱性の脅威に関する分析を踏まえ、注目の米国サイバーセキュリティ銘柄に迫る!」の続き
EDR(エンドポイント検出と応答)は最終形なのか?
2023年の初めには「そうだ」という意見が多かったものの、最近のセキュリティ侵害がその見解に疑問を投げかけています。
EDR(エンドポイント検出と応答)とは、エンドポイント(コンピュータ、スマートフォン、サーバーなど)のセキュリティを強化するための技術で、主にマルウェアやサイバー攻撃を検出、分析、対応するためのツールやプロセスを提供します。
EDRは、リアルタイムでエンドポイント上の動きを監視し、異常な振る舞いや攻撃の兆候を検出し、適切な対応を行うことができます。
しかし、多くの攻撃はエンドポイントの侵害から始まらず、攻撃者が検知されないまま侵入し、権限をエスカレートしてEDRを回避するケースもあります。
実際に、Wiretap攻撃は、ネットワークベースの検知の重要性を浮き彫りにしました。
Wiretap攻撃とは、通信経路に不正にアクセスして、送受信されるデータを盗聴または傍受する攻撃のことを指します。
通常、この攻撃はネットワーク上で行われ、攻撃者は通信内容を傍受し、機密情報や個人データを不正に取得することを目的とします。
その中で、パロアルトネットワークス(PANW)が主導するXDR(拡張検知と対応)は、エンドポイント、ネットワーク、クラウドのログを統合し、より強力なセキュリティを実現します。
XDRとは、セキュリティ対策の包括的なアプローチで、エンドポイント、ネットワーク、クラウド、サーバーなど、複数のセキュリティ層を横断的に監視・分析し、検出から対応までを統合的に行うことができるソリューションです。
XDRは、従来のEDR(エンドポイント検出と応答)やNDR(ネットワーク検出と応答)などのセキュリティツールを統合し、異なるセキュリティデータソースを組み合わせてより高度な脅威の検出と迅速な対応を実現します。
そして、同社の統合ソリューションは、他の主要なEDR製品を凌ぐ成果を上げています。
一方、フォーティネット(FTNT)はNDR(ネットワーク検知と対応)に力を入れており、大容量データの転送などネットワークトラフィックの異常を検知しますが、NDRを拡張することはスタートアップにとって依然として課題となっています。
NDRとは、ネットワークレベルで脅威を検出し、リアルタイムで対応するセキュリティ技術です。
NDRは、ネットワーク内のトラフィックを監視・分析し、不審な動きや異常なパターンを特定することを目的としています。
特に、ネットワークの内部で発生する攻撃や異常な通信を早期に発見することが重要です。
横断的セキュリティとシフトライト
攻撃者の侵入を防ぐことは重要ですが、ゼロデイ脆弱性(Zero-Day Vulnerability)など、すべての脅威を防ぎ切ることは難しいのが現状です。
ゼロデイ脆弱性とは、ソフトウェアやシステムに存在する未修正のセキュリティ上の欠陥や脆弱性を指します。
この「ゼロデイ」という言葉は、その脆弱性が発見された時点で、既に攻撃者によって悪用される可能性があることを意味します。
つまり、ソフトウェアの開発者がその脆弱性に気付く前、または修正パッチがリリースされる前に、攻撃者がその脆弱性を利用することができる状態です。
そこで、検知と対応(D&R)が侵入の監視を通じて防御を補完します。
シフトライトのアプローチ(セキュリティや運用の対応をより積極的かつ自動化するアプローチ)により、D&Rはより積極的かつ自動化されたものに進化し、SOARプレイブック(Security Orchestration, Automation, and Responseプレイブック:セキュリティオーケストレーション、 自動化、および対応を支援する手順や指針をまとめたもの)などのアラームや自動応答トリガーを活用して、即座に対応できるようになります。
これにより、重大なアラートに優先的に対応し、セキュリティチームが不要なノイズに惑わされることを防ぎます。
また、プロアクティブな脅威ハンティングにより、定期的に不審な活動をスキャンし、潜在的なリスクを洗い出します。
パロアルトネットワークスのXSIAM(AI駆動型のセキュリティオペレーションプラットフォーム)は、このシフトライトをネットワーク、クラウド、エンドポイント全体に統合し、優れた効果を発揮しています。
また、センチネルワン(S)やクラウドストライク(CRWD)もXDRと自動化技術でシフトライトの強化を進めています。
主要な脅威
最近の企業における侵害の主な原因は以下の通りです:
・フィッシング(JBS、OPM):標的型のメールで従業員をだまし、パスワードなどの認証情報を引き出します。
・認証情報の漏えい(Marriott、Uber):盗まれた認証情報を利用して、セキュリティを回避します。
・未対応の脆弱性(Equifax):攻撃者が更新されていないシステムの脆弱性を悪用します。
・サプライチェーン攻撃(SolarWinds):信頼されているベンダーを通じて侵入し、複数の組織に影響を及ぼします。
脆弱性とパッチ対応
エクイファックス(EFX)のような金融や保険といった規制業界の企業は、PCI DSS(Payment Card Industry Data Security Standard:クレジットカード業界のデータセキュリティ基準)などのセキュリティ基準に従う必要がありますが、多くの場合、最低限のコンプライアンスとしてしか扱われていません。
エクイファックスでは、Apache Strutsの脆弱性に対するパッチが提供されていたにもかかわらず、適用が遅れていました。
Apache Strutsは、Javaで開発されたオープンソースのウェブアプリケーションフレームワークです。
主に、MVC(Model-View-Controller)アーキテクチャを使用して、ウェブアプリケーションの構築を簡素化するために使用されます。
そして、Strutsは、企業向けの大規模なウェブアプリケーションを効率的に開発するためのツールを提供しています。
また、同社にはWebアプリケーションファイアウォール(WAF:ウェブアプリケーションをインターネット上の攻撃から保護するためのセキュリティ対策)も導入されていましたが、実際のセキュリティ対策としてではなく、コンプライアンス対応のためだけに利用されていたため、セキュリティの隙が残り、深刻な侵入を許してしまいました。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、企業が顧客サービスを重視している点を利用した手口です。
ハッカーは顧客になりすまし、個人情報を使ってサポートスタッフをだまし、パスワードのリセットやアカウントへのアクセスを行います。
この方法は人間の信頼に依存しているため、技術的な防御をすり抜けることが可能です。
サプライチェーン攻撃
サプライチェーン攻撃は、サードパーティ製ソフトウェアへの信頼を逆手に取る手法です。
信頼されているベンダーのアップデートにマルウェアを仕込み、広範囲に拡散させることができます。
2020年のソーラーウィンズ(SWI)への侵害では、この手法により通常のソフトウェア更新を介して数千の組織に被害が及びました。
レガシーデバイス
古いATMのようにWindows XPで動作するレガシーデバイスのセキュリティ対策は難しい問題です。
これらのシステムは、最新のセキュリティソリューションを適用するための処理能力やストレージが不足していることが多いです。
また、ルーターやスイッチ、ファイアウォールといったネットワーク機器も、ネットワーク障害のリスクから頻繁にアップデートされることはありません。
さらに、長期使用が前提の運用技術(OT:Operational Technology)デバイスは、緊急の重要パッチのみが提供されるため、脆弱性が放置されやすい状況にあります。
利便性を優先したセキュリティの妥協
SSO(シングルサインオンは、ユーザーが一度の認証で、複数のシステムやアプリケーションにアクセスできるようにする認証方式)やMFA(多要素認証:ユーザーがシステムにアクセスする際に、複数の異なる認証要素を要求する認証方式)によってパスワードの共有は減少していますが、徹底した管理は難しいのが実情です。
利便性を重視してMFAを省略する開発者もおり、認証情報をローカルファイルや公開リポジトリに保存してしまうことが、セキュリティを脆弱にする原因となっています。
パッチ適用と「as-a-Service」
Wiretapのような攻撃を防ぐためには、迅速なパッチ適用とネットワーク監視が重要です。
パッチ適用(Patching)とは、ソフトウェアやシステムに対して、セキュリティの脆弱性を修正したり、機能の改善を行ったりするために提供される修正プログラム(パッチ)をインストールする作業を指します。
パッチは、ソフトウェアベンダーや開発者によって提供され、システムのバグやセキュリティ脆弱性を修正するために使用されます。
足元では、NDRやNOC(Network Operations Center:企業や組織のネットワークインフラを監視、管理、維持するための集中管理施設またはチームのこと)といったソリューションが監視を支援しており、フォーティネットがその分野をリードしています。
そして、組織は、効率的なパッチ適用を選ぶか、SaaS型の次世代更新を導入するかの選択が可能です。
従来のパッチ適用は手間がかかりますが、Tanium(エンドポイント管理とセキュリティの分野で活躍する企業)のような自動化ツールやマネージドサービスプロバイダーによって簡略化が進んでいます。
さらに、NaaS(Network-as-a-Service)を利用すれば、手動でのパッチ適用が不要になる可能性があります。
NileやAlkiraが提供する真のNaaSは、単なる従量課金制を超え、ヒューレット・パッカード・エンタープライズ(HPE)やシスコ・システムズ(CSCO)のサブスクリプションモデルが支出を削減する一方で、ユーザーによる更新作業が必要なのに対し、真のNaaSはSLA(サービス提供者と顧客の間で取り交わされる契約で、提供されるサービスの品質や範囲、応答時間、可用性など、サービスの具体的な基準や期待されるレベルを定義したもの)に基づきベンダーが完全に管理する更新を提供します。
そして、この分野でフォーティネットがさらなる進展を目指しています。
レガシーデバイスのセキュリティ対策
パッチ適用が難しく更新もままならないレガシーデバイス(時代遅れになったデバイスやシステム)には、ネットワークアクセスを制限し、異常を記録するゲートウェイが効果的です。
こうしたデバイスは、特にOT(運用技術)機器においてハッキングの標的になりやすいため、OTセキュリティへの投資が進んでおり、この分野でもフォーティネットがリードしています。
通信業界での攻撃は、ネットワーク機器の定期的な更新の必要性を示していますが、計画は複雑です。
NileのNaaSモデルは継続的な更新を可能にしますが、導入には時間がかかる可能性があります。
フォーティネットやシスコ・システムズもメンテナンスの効率化に取り組んでおり、シスコ・システムズのHypershieldは成長の原動力になる可能性があります。
しかし、デバイスのライフサイクルや、ベンダーがオープンAPIに消極的な点から、複数ベンダー間の機器連携が課題となっています。
認証情報と特権アクセスの保護
攻撃への対策として、認証情報と特権アクセスの保護は欠かせません。
キーを厳重に管理し、使用ごとに確認を行うことで、ゼロデイ攻撃のリスクを低減できます。
仮に侵入されたとしても、ハッカーのアクセスを低価値な資産に限定でき、被害の拡大を防ぐことが可能です。
ゼロトラストネットワークアクセス(ZTNA)
ZTNAは、サーバーセキュリティの一般的な方法で、開発者にMFAやSSOの認証を必須とする仕組みです。
また、Zero Networksのようなソリューションでは、サーバー管理者のアクセスも制限されています。
しかし、認証情報がファイルやオープンソースリポジトリにうっかり保存されることがあり、これは多数の鍵を扱う作業者にありがちなミスです。
さらに、単純なコピー&ペーストの操作で、鍵が見落とされがちな場所に複製されてしまうこともあります。
認証情報のリスク軽減
一つの方法は、パスワードを完全に排除するか、キーを自動的に期限切れにすることですが、これでは設定を回避した開発者がアクセスできなくなるリスクがあります。
最も安全な方法は、サーバーへのアクセスごとに一度限りのキーを使うことですが、これでは作業の流れが途切れてしまうことになります。
横移動のセキュリティ強化
セグメンテーションは、マクロからマイクロセグメンテーションに至るまで、セキュリティを強化するために欠かせません。
ただし、組織が細かいセグメンテーションを導入することで、効率が低下することがあります。
将来的には、ワークロードのアイデンティティや自律的なポリシーエンジンが必要となり、人的な関与を最小限に抑えることが求められますが、現時点ではこれを完全に実現できているベンダーはまだ存在しません。
サードパーティ製ソフトウェアとオープンソースのセキュリティ強化
「Living off the land」攻撃(LoL攻撃)が増加しており、信頼されたソフトウェアが生産環境で悪用されています。
「Living off the land」攻撃とは、攻撃者がターゲットのシステムに組み込まれている既存のツールやサービス、つまり「土地にあるもの」を利用して攻撃を行う手法を指します。
攻撃者は、システムにすでに存在する信頼されたツールを悪用して、マルウェアや外部の攻撃ツールを新たにインストールすることなく、不正アクセスや攻撃を行います。
このアプローチは、セキュリティ製品や監視システムに気づかれにくいため、非常に効果的であり、発見が難しくなります。
そして、ゼロデイ脆弱性により、すべてのソフトウェアを信頼することが難しくなっています。
ソフトウェアが侵害された場合、監視が唯一の防御手段になることが多いですが、ミドルウェアやスタックコンポーネントは、開発段階で問題をスキャンするシフトレフトツール(例えば、SnykのSSAT)などの積極的な対策を取ることができます。
シフトレフトツールとは、ソフトウェア開発における「シフトレフト(Shift Left)」アプローチをサポートするツールのことです。
シフトレフトとは、ソフトウェア開発のプロセスで、セキュリティ、テスト、品質管理などの活動を開発の初期段階に移行させるアプローチを指します。
つまり、問題が発生する前に早期に検出し、修正することを目指します。
ソフトウェア構成分析(SCA)ツールは、サードパーティ製のパッケージを詳細に示すSBOM(ソフトウェア部品表:ソフトウェアに含まれるすべてのコンポーネント、ライブラリ、依存関係などの詳細を記載したリスト)を作成します。
これは、規制によりリスク管理のためにSBOMが必要とされる場合があるため、非常に重要です。
人気のオープンソースパッケージの使用が増えており、それに伴いオープンソースへの依存度が高まっています。
広く使われているプロジェクトに脆弱性が発見されると、ユーザーは迅速にパッチを適用しなければならず、そのため企業はオープンソース開発者への資金提供や、マネージドサービスの利用を進めています。
アルファベット(GOOG/GOOGL)などのサードパーティベンダーは、オープンソースソフトウェアの保守版を提供しており、Endor Labsのようなスタートアップは、アプリケーションに直接影響を与える重要な脆弱性に注力し、二次的リスクに対応しています。
SecOpsとシフトライト
シフトライトの機能、例えば継続的な監視はゼロデイ脅威への対応に役立ちます。
多くの企業はコンプライアンスを重視してセキュリティ製品を導入しますが、SecOpsサービスは高額になることが多いです。
SecOps(セキュリティオペレーション)とは、セキュリティと運用(Operations)の統合を指す概念で、組織のセキュリティチームと運用チームが密接に連携して、セキュリティのリスクを管理し、脅威に迅速に対応するためのプロセスや技術的な取り組みを表します。
SecOpsは、サイバーセキュリティの運用管理に焦点を当て、セキュリティを日常の運用活動に組み込むことによって、迅速な対応と持続的な防御を実現します。
そして、パロアルトネットワークスのXSIAMプラットフォームは、機械学習を使ってログを統合するリーダー的存在です。
一方で、クラウドストライクは、EDRを基盤にして、クラウドセキュリティやXDRを拡張し、より広範なデータの取り扱いを実現しています。
ITの近代化とセキュリティ管理
ITインフラを近代化し、セキュリティ管理を強化することで、SecOpsの負担を大幅に軽減できます。
ゼロデイ脆弱性の多くは、マイクロソフト(MSFT)のExcelのようなレガシーソフトウェアに起因しており、これらの脆弱性を解消するには完全な再設計が必要ですが、後方互換性も重要です。
特に大企業では、レガシーシステムの機能が重要であるため、近代化が進みにくいことがあります。
一方、デジタルネイティブの企業は、最新のソフトウェアを使っているため、脆弱性が少なくなります。
また、シャドウIT(企業や組織が公式に認めていない、または管理していないITシステム、アプリケーション、デバイス、サービスなどを、従業員が個人の判断で使用すること)の管理など、良好なIT管理も重要で、監視されていないデバイスやアカウントから生じるセキュリティリスクを防ぐためには不可欠です。
また、パロアルトネットワークスとフォーティネットのテクノロジーに関して、より詳細な分析レポートを執筆しておりますので、是非、インベストリンゴのプラットフォーム上より下記のレポートをご覧いただければと思います。
パロアルトネットワークスとは?
パロアルトネットワークスの強みとは?
パロアルトネットワークスの将来性とは?
その他のパロアルトネットワークス(PANW)に関するレポートに関心がございましたら、是非、こちらのリンクより、パロアルトネットワークスのページにアクセスしていただければと思います。
フォーティネットの強みとは?
フォーティネットの競合他社分析
フォーティネット(FTNT)のバリュエーション分析
その他のフォーティネット(FTNT)に関するレポートに関心がございましたら、是非、こちらのリンクより、フォーティネットのページにアクセスしていただければと思います。
また、弊社のプロフィール上にて、弊社をフォローしていただくと、最新のレポートがリリースされる度に、リアルタイムでメール経由でお知らせを受け取ることが出来ます。
弊社のテクノロジー関連銘柄に関するレポートに関心がございましたら、是非、フォローしていただければと思います。
アナリスト紹介:コンヴェクィティ
📍テクノロジー担当
コンヴェクィティのその他のテクノロジー関連銘柄のレポートに関心がございましたら、是非、こちらのリンクより、コンヴェクィティのプロフィールページにアクセスしていただければと思います。