掲載日:2021/08/27

アプリケーション隔離と封じ込めによるエンドポイントセキュリティの革命

※ 本ブログは、2018年8月26日にBromium Blogポストされた Revolutionize Endpoint Security with Application Isolation & Containmentの日本語訳です。

 

  • 米国国防情報システム局(DISA)のセキュリティ専門家は、2つのエンドポイントセキュリティ機能を使って、既存の脅威やゼロデイの脅威から組織がエンドポイントをよりよく保護する方法を評価しています。Endpoint Detection and Response(EDR)とApplication Isolation and Containment(アプリケーションの隔離と封じ込め)です。
  • 米国の複数の連邦政府機関が、アプリケーション隔離と封じ込めを基本的なセキュリティ戦略として検証しています。
  • Bromiumは、エンドポイントを保護するための革新的なアプローチを有しています。それは、(最初の感染を防ぐことができない)検知機能に依存せず、安全に、封じ込める、自己修復可能な仮想環境による保護を優先するものです。

 

2018年の初め、米国国防情報システム局(DISA)は、多くの企業が以前から悩んでいたことを認めました。それは、ますます高度化・進化する脅威から保護するために、エンドポイントセキュリティ・ソリューションを「近代化」する必要があるということです。(https://www.disa.mil/NewsandEvents/2018/evolution-endpoint-security の「The evolution of endpoint security(エンドポイントセキュリティの進化)」を参照)

 

多くの組織と同様に、DISAはこれまで検知による防御という方法論に基づいて、多層防御を推奨し、活用してきました。しかし、DISAのセキュリティ専門家は、進化する脅威と米国政府機関に対する国家による攻撃の増加を評価した結果、避けられない結論に達しました。悪意のアクターの行動を予測し、新たなポリモーフィック攻撃や標的型攻撃に、現在の能力だけで対応しようとしても、勝ち目は無いということです。

 

政府機関ではなくても、あなたの会社でも同じような戦いに直面しているのではないでしょうか。新たな攻撃を受けるたびに、セキュリティチームはエンドポイントに検知ベースのツールを追加し、一時的に組織の防御力を高めますが、それは次の攻撃までのことです。 予想される結果は次のようなものでしょう。従来のエンドポイント・セキュリティ・ソリューションの実際の保護機能は低下し、価値が薄れていく一方で、悪意のアクターは既存のセキュリティ対策の裏をかいて脆弱性を発見し悪用し続けるでしょう。

 

DISAは、危険性を増すサイバー攻撃の中で、リスクを大幅に軽減しセキュリティを大幅に向上させるために、エンドポイントの保護とデータの保護を強化する方向に進んでいます。新しいハードウェアベースの封じ込めソリューションは、この戦略の重要な部分を占めています。DISAのエンドポイントセキュリティ部門の責任者であるFredrick Cook氏は次のように説明しています。「封じ込めソリューションは、信頼できないアプリケーションのためのサンドボックスのようなもので、アプリケーションが何をしてもエンドポイントデバイスに害を及ぼすことはありません。EDRは、すでに侵入されていることを前提に、異常を発見しネットワーク内の他のエンドポイントデバイスの類似した動作と関連付けることで、一度ですべてに対策することができます。」

 

仮想化による封じ込めを活用するという考え方は、人によっては大ニュースかもしれませんが、Bromiumは違います。5年以上にわたり、Bromiumは複数の業界の民間企業、政府機関の大規模でグローバルな顧客と協力しながら、封じ込めソリューションの開発と強化を行ってきました。我々は、実験段階と準備段階を経て、ソリューションをスタートアップから、堅牢で実証済みのセキュリティ機能を備えたエンタープライズグレードのものにしてきました。

 

このレベルの保護は、堅実なセキュリティ戦略の基礎となるもので、このコンセプトは複数の連邦政府機関で検証され、その使用が承認されています。米国国家安全保障局(NSA)は、2016年に開催されたNSA情報保障シンポジウムで、このセキュリティアプローチを検証し、新しいカテゴリーとして次のように命名しました。「アプリケーション隔離と封じ込めは .... 複雑なクリーンアップを回避し、ゼロデイ攻撃を阻止し新規の攻撃を捕捉できる可能性があり魅力的です。」このように、Bromiumの安全で強化されたアーキテクチャが特に強調されています。また、2018年初頭、Bromiumはさらなるエンドユーザーの保護を提供し、米国国防総省(DoD)が使用する連邦政府の業務システムや、民間および州政府が使用するシステムのセキュリティを強化するために、米国標準技術研究所(NIST)が定めたNCP(National Checklist Program)への顧客の準拠を支援するためのSecure Configuration Checklistをリリースしました。

 

その後、米国国防総省(DoD)の国防情報システム局(DISA)が2018年6月にBromiumの隔離と封じ込めセキュリティソリューションに対する最初のそして重要なセキュリティ技術実装ガイド(STIG)を発行しました。米国防総省は、軍事機関での使用を目的とした厳格なセキュリティ要件を満たしているか、それを超えるベンダーのソフトウェア・ソリューションに対してSTIGを発行しています。この新しいSTIGガイドラインは、国防総省およびそのすべての関連機関、その他の連邦機関が、エンドポイントに高度なセキュリティと脅威インテリジェンスをもたらすために、Bromiumプラットフォームに必要なポリシー、設定、実装を適用することを可能にします。また、企業においてもセキュリティに対する隔離アプローチのさらなる検証がすすんでいます。

 

年回何億回もの危険なクリック

どうすればビジネスリスクの低減と、セキュリティの向上によるお客様の保護を両立させることができるでしょか?その価値を定量化する具体的な方法の一つをご紹介します。ユーザーが未知のリスクのあるウェブサイトへのリンクをクリックすることが1日に何回あるかを考えてみましょう。あるいは、外部の送信者からのEメールの添付ファイルについてはどうでしょう?また、インターネットのウェブサイトからのファイルのダウンロードについてはどうでしょうか?ユーザーが1日に平均して行う危険なクリックは、1回でしょうか、2回でしょうか、5回でしょうか、あるいはそれ以上でしょうか。保守的に典型的なユーザーが1日平均5回の危険なクリックを実行すると仮定し、お客様の組織に1,000人のユーザーがいるとすると、1日に5,000回以上の危険なクリックが発生することになります。

 

毎週25,000回以上、毎月100,000回以上、そして毎年100万回以上のリスクを伴うクリックが行われていることになります。これは、セキュリティインシデントの大きなリスクとなります。さらに、組織内のユーザー数が1万人、10万人となった場合を想像してみてください。そのリスクは驚異的なものです。企業内では毎年何億ものリスクを伴うクリックが発生する可能性があります。そして、たった一人のユーザーが誤ったリンクをクリックするだけで、壊滅的な侵害となる可能性があるのです。ほとんどの組織が年間数百万回の危険なクリックを処理していることを考えると、危険なクリックが最終的に組織に侵入するのを防ぐには、どんなにユーザー教育やトレーニングを行っても無理があります。

 

Bromiumは異なる視点からセキュリティにアプローチします

従来の検知ベースの方法では、組織はまず最初の感染とシステムの侵害を受け入れる必要があります。Bromiumは、組織が最初の被害を回避するのに役立ちます。Eメールの添付ファイルを開いたり、ダウンロードしたファイルを開いたり、安全な仮想マシンの中ですべてのインターネット活動を行うことは、(インターネットから完全に切り離すという選択肢がないことを考えると)最高の防弾装備のようなものです。

 

安全に封じ込める自己修復可能な仮想マシンとリアルタイムの脅威インテリジェンスによるセキュリティの向上は、検知に頼るのではなく、シンプルにハードウェアで強化された隔離と封じ込めによって保護するだけです。Bromiumは、各アプリケーションに対して保護された環境を構築します。ランサムウェアのようなマルウェアの攻撃がその環境内で発生した場合、脅威は隔離されたままで、他のアプリケーションや基盤となるOSやハードウェアに危害を加えることができません。脅威を取り除くには、アプリケーションを閉じるだけです。エンドポイントでは、それ以上のアクションは必要ありません。ランサムウェアの攻撃を、当社のお客様が毎週何百回も行っているように、ユーザーが単に「閉じる」ことで防御できれば、アトランタ市は評判の低下はもちろん、どれだけの時間と労力を節約できたかを考えてみてください。

 

私たちは、お客様の問題の根本を解決することを目指しています。お客様からは、問題に圧倒されているという声をよく聞きます。セキュリティ・オペレーション・センター(SOC)は、価値の低いセキュリティアラートに振り回されており、誤検知の割合も増えているため、それらを確認して対処するために数百万ドルを費やしています。その一方で、サイバー犯罪者はEメールの添付ファイル、フィッシングリンク、ダウンロードなどの弱点にフォーカスしているため、高度なマルウェアが依然として侵入しています。侵害が起きた際に簡単にデータを隔離し、封じ込めた独房から情報を得ることができるというのに、なぜ膨大な数の脅威ハンティングチームを雇って手作業でデータを調べ、干し草の中の針を探すような事をする必要があるでしょうか。

 

Bromiumは、現代の企業のセキュリティニーズに対応します。我々のアプリケーション隔離ソリューションは、エンドポイントセキュリティ・スタックに革命を起こし、ほぼ全てのエンドポイントを肥大化させている複数のエンドポイントセキュリティ・アプリケーションの必要性を排除します。仮想化ベースのセキュリティだけが、最も洗練された攻撃テクニックを防御することができ、ユーザー体験に影響を与えることなく、ユーザー、データ、マシンを保護します。ユーザーは安心してクリックし、充分な生産性と完全な保護のもとで仕事を進めることができます。

関連記事