最新のサイバー脅威に対応するためエンドポト

Fourteenforty Research Institute
最新のサイバー脅威に対応するための
エンドポイントセキュリティ
1
Fourteenforty Research Institute
会社概要
会社名：
株式会社ＦＦＲＩ（ FFRI, Inc. ）
所在地：
東京都渋谷区恵比寿1-18-18 東急不動産恵比寿ビル4階
役員：
代表取締役社長
鵜飼裕司
取締役最高技術責任者金居良治
取締役最高財務責任者田中重樹
設立：
資本金：
事業内容：
取締役（社外）
高橋郁夫
常勤監査役（社外）
近藤正二
監査役（社外）
下吹越一孝
監査役（社外）
杉山由高
標的型攻撃対策
2007年7月3日
265,826,500円（2016年3月31日現在）
1. コンピュータセキュリティ研究、コンサルティング
2. ネットワークシステムの研究、コンサルティング、情報提供、教育
3. コンピュータソフトウェア及びコンピュータプログラムの企画、開発、販売、
リース、保守、管理、運営及びこれらに関する著作権、出版権、特許権、
実用新案権、商標権、意匠権等の財産権取得、譲渡、貸与及び管理
4.上記事業に関連する一切の業務
2014年9月30日東証マザーズ上場
2
Fourteenforty Research Institute
設立の経緯
国内に研究開発企業が不在
 これまで日本は対策技術を
海外からの輸入に頼っていた
標的型攻撃を含む
未知の脅威の拡大
自国で問題解決できないリスク
国産の対策技術の必要性
3
Fourteenforty Research Institute
標的型サイバー攻撃は何故発生するのか
• サイバーを利用(悪用)する事で目的達成が容易になった
- 攻撃コストが低い
- インセンティブが大きい
• 防御側の課題
- インターネットの構造的欠陥
- 攻撃コストと比較すると圧倒的にコスト高
- イノベーションの停滞
攻撃側の技術は発展途上。攻撃の質・量ともより深刻になる可能性がある。
数年先を見据えて対策を考える必要がある。
人海戦術要素を極小化し続ける。
後手に回ることなく、プロアクティブに対策を進める必要がある。
攻撃コストを上げていく事が重要。
4
Fourteenforty Research Institute
近年のサイバー攻撃に対する課題
- 内部脅威
- 外部環境は大きく変化していない
- ノウハウの積み重ねがある
- 一部新しいITの仕組みについては精査
- ISMS等リスク管理の視点
- 専門家による意見の隔たりは大きくない
- 外部脅威
- 従来の脅威
- 一般的なマルウェアなど
- それなりにノウハウの積み重ねがある
- 専門家による意見の隔たりは大きくない
- 新しい脅威
- 外部環境が変化しやすく先が予測しにくい
- ノウハウの積み重ねが小さい
- 専門家による意見の隔たりが大きい
- 戦略が立てにくく、場当たり的になりやすい
5
Fourteenforty Research Institute
外部脅威(マルウェア) : 従来の脅威+新しい脅威
 10年以上前から予見されていた
パターンマッチング技術の破たん
パターンマッチング技術のイメージ
 基本的なウィルス対策は
新しい脅威をカバーしない
従来型ウイルス対策Windows 8以降のOS
に標準搭載されている
外部脅威における外部環境が大きく変化し、その結果、標的型
攻撃等新たな脅威が発生
旧来のウィルス対策が新たな脅威に対抗できず、被害が発生
6
Fourteenforty Research Institute
新しい脅威に対する対策の考え方と課題
• 事故前提
- 近年に脅威は防御困難 → インシデント、アクシデント対応型組織へのシフト
- 緊急対応コストの増加
- 事故発生によるリスク
近年の脅威は防御困難なケースもあるので、インシデント対応できる組織作りを
推進する必要があるが、事故発生を全面的に許容する訳ではない。
-
外部環境も変化している
事故を極力減らす試みが前提 (事故は前提ではなく想定)
その上で、モニタリングとインシデント対応できる組織を作る
人材、コスト、リスク等、総合的に判断
7
Fourteenforty Research Institute
課題解決のために必要なアクション
[前提]
攻撃側の技術は発展途上。
-
現在実施している対策において、人が介在する要素を極小化する。
研究開発、新しい技術や仕組みの取り込み、など
「防御」に力点を置き、インシデント対応コストを極小化する。
攻撃技術の研究を通じて、対策の先手を打つ
攻撃者の攻撃コストを上げる
それでも人海戦術的要素や属人的要素が残る
常に人が介在する要素を極小化しないと最終的に破綻する可能性がある
8
Fourteenforty Research Institute

振る舞い検知技術のイメージ
 未知のマルウェアや標的型攻撃も検知及び防御が可能
9
Fourteenforty Research Institute
標的型攻撃の技術的対策
ゲートウェイ型
社内LANの境界で脅威を検知 (可視化)
（別途対応を要する）
インターネット
①検知
コピー
エンドポイント型
PC端末で脅威を防御
インターネット
②アラート
①防御
感染
セキュリティサービス企業
③緊急対応
（コスト大）
10
Fourteenforty Research Institute
対策のポイント
• 一般的に、標的型攻撃は「可視化」と「インシデント対応」をベー
スとした対策技術と、「防御」に力点を置いた対策技術が存在。
• 可視化＋インシデント対応による対策は、「防御困難」が前提。た
だし最近は、「防御」に力点を置いたエンドポイントの振る舞い検
知技術が台頭
• 可視化＋インシデント対応は、可用性に影響を与えない、開始まで
のタイムラグが短いといった利点があるが、インシデント対応がセ
ットであるためコスト、人材、被害発生リスクについて考慮すべき
• エンドポイントは、防御できるメリットがある。防御できるものを
防御し、インシデントの極小化を図る。その上で、可視化＋インシ
デント対応を実施すべき。
11
Fourteenforty Research Institute
FFR yarai のプログレッシブ・ヒューリスティックエンジン
＊・・・暗号化アルゴリズムは3DESを採用しております。(ユーザによる設定変更不可)
アプリケーションを脆弱性攻撃から守る
ZDPエンジン
マルウェアを検出する
Static分析エンジン
Sandboxエンジン
HIPSエンジン
機械学習エンジン
■ZDPエンジン
メールやWebページ閲覧時の攻撃など、既知・未知の脆弱性を狙ったウイルス攻撃を防御。
独自の「API-NX」技術(特許第4572259号)で、任意コード実行型脆弱性の攻撃を防御。
■Static分析エンジン
プログラムを動作させることなく分析。「PE構造分析」「リンカー分析」「パッカー分析」「想定オペレー
ション分析」など多数の分析手法「N-Static分析」で検知。
■Sandboxエンジン
仮想CPU、仮想メモリ、仮想Windowsサブシステムなどで構成される仮想環境上でプログラムを実行。
独自の「U-Sandbox検知ロジック」で命令の組み合わせに基づいて検知。
■HIPSエンジン
実行中プログラムの動作を監視。他プログラムへの侵入、異常なネットワークアクセス、
キーロガーやバックドア的な動作などの挙動を、独自の「DHIPSロジック」で検知。
■機械学習エンジン
FFRIが収集したマルウェアに関するビッグデータを元に実行中のプログラムを監視。
ビッグデータ上の振る舞い特性を抽出し、機械学習で分析した特徴により端末上の悪意ある挙動を検知。
12
Fourteenforty Research Institute
エンドポイント技術の一般的な課題
• 過剰検知による運用負荷
・可視化技術にも共通。可視化の場合はインシデント対応が必要。
・エンドポイントの場合はブロックされる
- 最近は、運用負荷軽減のための様々な仕組みが用意される
- 過剰検知マネージメントも進む
• エンドポイントにおけるマシン負荷
・エンドポイント独特の課題
- 但し、完全パターンファイルレスな技術であれば原理的には
非常に軽い
• ソフトウエア品質の問題
・振る舞い検知のエンドポイント技術は、不安定になりやすい
- 特にコンシューマーや中小の環境では顕著
- 導入実績が多いものであれば高い品質を担保できる
13
Fourteenforty Research Institute
まとめ
• 標的型攻撃をはじめとした近年のマルウェアを用い攻撃には、エン
ドポイントによる振る舞い検知で「防御」できる範囲が大きくなっ
ている。
• 「防御」できる範囲は「防御」する。
• コスト、人材、インシデントから被害発生に至るリスクなど総合的
に勘案し、対策を最適化すべき。
14

Download Report