掲載日：2023/03/14

横浜国立大学がサイバー攻撃活動の「検知」と「防止」に着目し、エンドポイントセキュリティ対策技術を評価

横浜国立大学がサイバー攻撃活動の「検知」と「防止」という観点に着目して実施した、エンドポイントセキュリティ対策技術の評価結果をお知らせします。近年、組織の情報ネットワークに侵入し、重要情報の盗取や身代金要求を行うランサムウェアや標的システムに重大な障害をもたらす破壊的マルウェア等によるサイバー攻撃が急増し、大きな脅威となっています。さらに、DXが進展し働き方が多様化するなかで、サイバー攻撃はどこでも起こり得るというゼロトラストセキュリティの考え方が注目され、その中核としてエンドポイントでのセキュリティ対策の重要性が高まっています。HPは様々なエンドポイントセキュリティ対策が提唱される中で、その位置づけを明確にし、効果的かつコスト効率の良いセキュリティ投資をサポートするために、横浜国立大学に本評価を依頼しました。

評価レポートでは、MITREATT&CKにおいて定義されているサイバー攻撃からエンドポイントに関わるものを抽出し攻撃手順を整理（下図）をした上で、次のそれぞれのエンドポイントセキュリティ対策技術の効果について公開情報に基づき考察し評価を行っています。

NGAV(Next-GenerationAntivirus)
アプリケーション隔離
EDR(EndpointDetectionandResponse)

また、本評価レポートでは、特に攻撃活動の「検知」と「防止」という観点に着目しています。

「検知」：サイバー攻撃が行われていることを防御側が認識すること。
「防止」：攻撃活動が行われないように予防したり攻撃活動を阻害すること。

一般に「検知」は保護対象の組織へのサイバー攻撃の脅威を認識する上で重要である一方、検知をするだけではセキュリティ対策としては不十分で、検知した攻撃活動を「防止」する機能が必要となります。一方、「防止」は必ずしも「検知」を必要とせず、ゾーニングにより横展開を防止したり、アプリケーション隔離によって他の構成要素への侵入を防ぐ方法が存在します。レポートでは、これらの差異に着目しつつ、各エンドポイントセキュリティ対策技術がどのように組織の防御を支援し得るのかを定性的に評価しています。

図：エンドポイント視点でのサイバー攻撃活動と対応するMITRE ATT&CK の戦術

結論

エンドポイントセキュリティ対策技術を対象に、組織への侵入と組織内部への展開、目的実行の各フェーズにおける対策の効果を定性的に評価した結果以下が確認できました。

NGAVはエンドポイントへの侵入を迅速に認識するための「未然検知」に優れる。
アプリケーション隔離は、検知に依存せずに侵入を「防止」する性質を有する。
EDR は侵入を受けた後に攻撃活動が組織内部で行われる際に、これを「対処」する機能に優れる。

「検知」はサイバー攻撃の存在や実態を防御側が認識する上で重要な評価項目ですが、攻撃の増大、多様化、高度化が進む現在、そのすべてを未然に検知することは現実的ではなく、「検知」に依存せずに確実に防御が可能な、アプリケーション隔離による「防止」の重要性はさらに高まると考えられます。

NGAVやEDRの限界は、侵入を阻止するために「検知」に依存することです。これらの対策の有効性は、新たな脅威に対してどれだけ早く「検知」（平均検知時間）し、「対処」（平均処時間）できるかで測られます。一般に、「検知」と「対処」が迅速であればあるほど、侵入の影響は小さくなります。攻撃の急速な進化を考えると、NGAVとEDRについては、いくつかの攻撃シナリオでこれらの指標がゼロより大きくなることが予想されます。一方アプリケーション隔離は検知に依存しないため、平均検知時間や平均対処時間とは無関係に効果的な保護を提供できる利点があります。加えて、万が一侵入を受けた際にこれを「対処」する仕組みと組み合わせることで、その効果をさらに高められることが期待できます。言い換えると、これらの性質は互いを補完するものであり、併用することで攻撃活動の各フェーズに対応した、さらに強固なセキュリティ対策が実現できるといえるでしょう。