PowerPoint プレゼンテーション

Transcription

1 なぜサイバーセキュリティに AIソリューションを採用したのか AIアンチウイルス ログ管理の プロテクトキャットのご紹介 エムオーテックス株式会社 経営企画本部 MOTEX-CSIRT 北村 和久 1

2 エムオーテックス 会社概要 IT資産活用とセキュリティの両立を軸に LanScopeシリーズの企画 開発 販売で28年 2

3 LanScope Cat 製品概要 IT資産管理 内部不正対策 外部脅威対策まで LanScopeシリーズを開発 販売 統合型エンドポイント管理 モバイル管理 IT資産管理 操作ログ管理 情報漏えい対策 外部脅威対策 位置情報管理 盗難 紛失対策 パソコン情報収集 アプリ管理 配布 PC操作を記録 アラート通知 デバイス制御 Webフィルタ 標的型攻撃対策 ランサムウェア対策 LanScope An アセットキャット ログキャット デバイスキャット ウェブキャット プロテクトキャット 3

4 エンドポイント管理ツールは 課題解決するための多彩な機能が市場に登場 市場動向 2000年前半 2005年 2008年 PC業務の一般化 個人情報保護法施行 リーマンショック PCライフサイ クル管理 ヘルプデスク 効率化 機能 PC情報の自動収集 ハード/ソフト リモート コントロール 内部統制 セキュリティ 認証取得 Pマーク ISMS 2009年 ライセンス監査 2014年 2015年 大規模情報漏えい 事故多発 サイバー攻撃 ITコスト削減 ライセンス 違反対策 労務管理 内部不正対策 脆弱性対策 残業抑制 PC操作ログ取得 ログ集計見える化 持ち出し制御 AP稼働率集計 ソフトウェア 資産管理 PC操作ログ取得 持ち出し制御 IT資産管理ツールの対応範囲 マルウェア 対策 4 次世代型AVS EDR SIEM

5 サイバー攻撃の手法と実例 サイバーセキュリティ市場の現状 5

6 増加するサイバー犯罪の脅威 狙いは エンドポイントと 人の脆弱性 攻撃対象の変化 VERIZON DBIR 2016 レポート 攻撃対象はサーバーから ユーザーデバイス や 人 に Server 人の振る舞い に基づいた 攻撃が最も伸長 User Device 攻撃の90 に悪意のある ソフトウェアを利用 Person 攻撃者の主な目的 企業秘密 個人情報 Server User Device Person Media Kiosk/Terminal Network 身代金の支払 Figure 1. Percent of breaches per asset category over time. n=7,736 6

7 誰でも攻撃者になれる時代 亜種 未知のマルウェアを簡単に作成可能に 犯罪組織によるサイバー攻撃の 分業体制 が確立 誰でも簡単に 未知のランサムウェアを作成できる時代に 作成 配布ツールが流通 SATAN RAAS 1 RaaS Ransom-as-Service エクスプロイトキット エクスプロイトキットの 月額利用料 5万円 成功報酬 30 KREBS ON SECURITY ランサムウェアの活動に対する 1ヶ月のROI 1,425 TRUSTWAVE ランサムウェアを作成できる初心者向けサイト 誰でも簡単に ビットコイン等 身代金額 支払先口座 要求期限 実行タイミング KILLスイッチやシステムタイマーの日時 等を自由に設定可能 7

8 海外で流行っていたBEC ビジネスメール詐欺 が日本でも 振り込み直前のやり取りメールに割り込み 経営層を装った経理部門への指示メール 君も知っている例の案件がまとまった 先方より早急に進めたいと依頼が来て いるから至急口座に振り込んでくれ マルウェア 感染PC 役員を装った 攻撃者 経理部門 米国では2年で 800億円以上の被害が 発生している その件は知ってるぞ 商談成立したのか 良かった 承知しました 至急振り込みます 攻撃者は事前に社用PCに マルウェアを感染させ 社用PCでの操作を遠隔で 閲覧するなどして 業務内容を把握したうえで 攻撃を仕掛けるため 騙されている事に気付けない 8

9 従来のエンドポイント対策製品の限界 既知のマルウェア 従来型エンドポイントセキュリティ シグネチャ型パターン マッチング方式のもの 未知のマルウェア すり抜け 未知のマルウェア 既知のマルウェアを少し編集した亜種や 新規で作成した世の中に出ていない新種のマルウェア は 従来型のウイルス対策ソフトだと駆除できない 9

10 セキュリティのトレンド 多層防御 の時代 多様化する脅威に対抗する 多層防御 増大するコスト 求められる専門スキル DMZ インターネット 次世代ファイア ウォール ProxyServer IPS Sandbox VirusScan 各種サーバー 社内ネットワーク エンドポイント ウイルス エンドポイント IT資産管理 セキュリティ 対策 SpamFilter ログ管理 フォレンジック ネットワーク ファイル暗号化 仮想環境 分離 セキュリティ 10

11 サイバーセキュリティ市場の現状 ①従来型アンチウィルスソフトの限界のお話 事件の起点はマルウェア感染から いまやどのセミナーでも前半で アンチウイルスソフトは通用しません ②侵入前提でのセキュリティーの定説が生まれた アンチウイルスで守れないので感染後の対処で勝負 感染しても内部で検知して情報漏洩被害につなげない 結果 セキュリティソリューション サービスが加速度的に増加 製品としては後追いができる ゲートウェイでは 次世代型FW サンドボックス エンドポイントでは EDR や SIEM が流行している 11

12 拡大するサイバーセキュリティ市場 製品の系譜 1990 年 ~ 2000 年 ~ 2010 年前後 ~ 2015 年前後 ~ ウイルス対策ソフト ファイアウォール IDS,IPS 境界型スパム対策 境界型ウイルス対策 多層防御系 - サンドボックス - 出口対策 クラウド型防御 機械学習 ディープラーニング ログ集約 SIEM EDR コンサルの系譜 1990 年 ~ 2000 年 ~ 2010 年前後 ~ 2015 年前後 ~ セキュリティポリシー制定 プライバシーマーク 脆弱性診断 ISMS 認証取得 個人情報保護法 ファイル共有ソフト漏えい対策 事故前提 ~CSIRT 構築 サイバー攻撃監視委託 インシデントレスポンス サイバーインテリジェンス スレットインテリジェンス サイバーレジリエンス IoT アンチウイルスの限界から エンドポイント感染を前提とした様々なソリューションが生まれた ( 全部揃えると億単位の投資が必要になる 現実的ではない ) 12

13 エンドポイントリスクについてのアンケート 米国 現在のエンドポイント保護ソリューション最大の課題は 0% 10% 20% 30% 40% 50% 新たな脅威へ十分な保護が出来ていない 53% 数多くの過検知 アラート対応 45% 多くの複雑な製品の管理 36% ユーザーへの生産性へのマイナスインパクト 32% コストが高い その他 60% N=665 25% 2% つまり 保護の為ツールを入れても管理が出来ず 効率が下がるという課題 The 2017 State of Endpoint Security Risk Sponsored by Barkly Independently conducted by Ponemon Institute LLC Publication Date: November

14 Cylanceの実績と技術 なぜAIを活用した予測防御をお勧めするのか 14

15 未知の脅威から守る新たな手法 業界が注目する 人工知能を活用した次世代型セキュリティ サイバーセキュリティ Employees Located in Irvine,California,USA 15

16 ファイルの DNA( 構造 ) を AI ( 人工知能 ) が学習して 構造から安全性を予測 判定 DNA レベルのマルウェア解析 脅威防御と攻撃阻止 マルウェア防御率 * 99% 誤検知率 % 稼動実績 1000 万台以上 16 シグネチャの更新は不要 AI による自動判断 ネットがなくても判定可能 予測と予防 * 出典元 : 検知率 99.1% 2018 NSS Labs ADVANCED ENDPOINT PROTECTION Cylance Security Value Map (SVM)

17 未知のマルウェア検知率 新種 亜種 の マルウェア 検知率99% 全米 75 日本 3都市で Unbelievable Tour 開催 結果サマリー ツアー概要 99 Cylance 75都市で累計15,000個の マルウェアとその亜種をテスト 52 A 都度 24時間以内に発見された 新種のマルウェア100個と その亜種の合計200個が対象 41 B C 累計2,100人以上の観客が目撃 21 0% 17 50% 100%

18 Cylanceは静的解析にAIを活用 AIによる予測脅威防御の仕組み 収集とAI学習 特徴抽出 数値化 数式作成 正常なファイルとマルウェアを 10億以上収集し クラウド上の AIに教師データとして学習させる 教師データの特徴点を抽出 1ファイ ルあたり最大700万の特徴点 各 ファイルのマルウェアらしさを数値化 数学者やアナリストのチューニング 後 膨大なノウハウを反映した数式 を作成 端末上では数式のみが稼動 18

19 Cylance VS WannaCry 2017年5月に発生したWannaCryを 2015年11月のバージョンで検知 2015/11 数理モデル Cylance は数理モデルにより保護出来ている Cylance 他社 時系列 パッチ適応が必須で脆弱性が有る状況 1 年 半 2015/1 MSは脆弱性 パッチ未配信 2017/3/12 MS パッチリリース /5/12 WannaCry 世界同時感染 2017/5/12 AVメーカーが 対策パッチを 配信 以降 亜種発生

20 重要なのは どのタイミングの 検知率なのか 構造的な問題でシグネチャでは 実際の攻撃を止められない マルウェア検知率の推移 マルウェア検知率 Cylance の検知率 100% 実際 の 攻撃 攻撃を 受けてしまう AVS メーカー の レポート 一般的な アンチウイルス の検知率 50% 検知率は 100 です シグネチャ 作成開始 0% マルウェアが 作成される Cylance なら守れる マルウェアが AVメーカーに 報告される １週間後 20 数ヶ月後 時間経過

21 Cylanceは動的検知ではなく静的検知 止められないことが前提の実行後の対策ではなく 実行前に止める次世代型AIエンジン 第一世代 第二世代 次世代 AI ウイルス対策ソフト シグネチャ 実行前 既知の脅威 ふるまい検知 サンドボックス 実行後 21 EDR 検知と対応 実行前 未知の脅威

22 なぜCylanceをお勧めするのか 一番大きな理由は Cylanceユーザー だから 本気で自社を守るために Cylanceを使っています 22

23 ユーザー企業の立場で MOTEXは おそらく 国内で最初のCylanceユーザーです 2015年12月 自社導入 2016年7月 プロテクトキャットリリース 2017年7月 社内のアンチウイルスソフトをCylanceに一本化 実は Cylanceジャパン設立 2016年5月 以前から使っています なぜ 当時実績の無かったAIソリューションを選択したのか それは 実際にテストをすることでその品質 性能に驚き 我々のようにスキル マンパワーが足りないセキュリティ部門には 必須であり また 万全なセキュリティ体制を構築されている企業様 でも 一段上のセキュリティ対策に時間を割けるようになるものと 確信したからです 23

24 MOTEXのセキュリティに関係する体制 日々の運用は情報システム部門が対応し 定期的な監査 ルール見直しをISMS推進室が担当 製品 WEBの品質に対しては各事業部が責任を持って対応に当たる体制を組んでいます MOTEX-CSIRTは 上記を含めた インシデント への対応支援を行います 社長 部門横断 自社製品の脆弱性診断 製品改修 情報システム インフラ管理 サービス運用 経営企画 企画広報 MOTEX CSIRT 定期的な内部監査 定期的なルール見直し 窓口 インシデントへの対応支援 情報発信 24 部 門 推 進 メ ン バ ー 10 人 ) ISMS推進室 自社サイトの脆弱性診断 パッチ適応 情 報 シ ス テ ム 部 門 推 進 メ ン バ ー 11 人 ISMS 開発

25 MOTEX の戦力 ( 現状把握 ) 1: システム面 : 結構導入させてもらっている が 100% 使いこなせていない - 流行のシステムは色々入れてみた ( ゲートウェイ製品だけでも 2 種類 ) 例 : アラームは色々あがるが全部追えていない 2: 体制面 : セキュリティ組織の形はできた が力を割ききれていない - 兼任メンバーのみ仮想組織例 : 定例ミーティングに全員集まることのほうが珍しい 3: スキル面 : 拙い - サイバーセキュリティに精通する人材が足りない IT 企業だが 正直なところ社員のリテラシーが特別高いわけでもない 25

26 トレンドになっている対策 有効性は ①セキュリティの境界防御 次世代ゲートウェイセキュリティの運用 ②エンドポイント運用強化 脆弱性のあるアプリのパッチ配信 アンチウイルスソフトの更新 ③社員教育 標的型メール演習 怪しいメールは開くな ④SEIM SOCサービス セキュリティインテリジェンスのアウトソース 26

27 標的型メール演習の課題 フィッシングテスト VERIZON DBIR 2016 レポート 怪しいメールを開くな ではなく 問題あるメールを開いてもカバーできる対策が必要 テスト用フィッシングメッセージを 開封した人は30% 悪意のある添付ファイルやリンクを クリックした人は12% 添付ファイルを最初に クリックするまで4分 平均 フィッシングメールの可能性について 管理者に報告したのは3% Opened Clicked Npercent(of opened)clicked Figure 2. Number of phishing s opened and clicked in first 24 hours and Percent of opened s that were clickes 27

28 MOTEXの自社の課題 ①守る側のリソース スキルは限定的 ②多層防御の実現性への課題 使いこなす人材の問題 そろえるコストの問題 ③セキュリティトレンドの課題 メールを開いても大丈夫な対策 パッチ漏れがあっても守れる対策 ④更に攻撃の頻度の増加懸念 素人でもできるサイバー攻撃環境が整備されてきた 28

29 防御側の 4 層 攻撃者の費用対効果を抑えるために 1 防御力向上 やられないようにする 2 検知分析 やられている事を直ぐに検知する 3 被害軽減 やられても被害を小さくする 4 事後対応 やられた後の対処 現状のトレンドは 234 だが 少ない枚数の重ねで出来る限りの防御力向上を狙う 29

30 Cylanceの防御力 テスト結果 2015年11月当時 マルウェア検体 VirusTotalにその日に 登録された物を100個 難読化し パック処理 した100個 メールで届いた検体や 他サイトから得た18個 Cylanceのみ未知の マルウェア検知有効性の 確認のため 半年前の 数理モデルを使用 難読化 亜種 は つまり 未知のマルウェアである それに対する防御力が Cylanceは非常に高かった 製品名 製品K 製品T 製品S 製品M 製品F 既知ウィルス検知率 難読化ウィルス /118 15/ /118 6/ /118 7/ /118 11/ / 11.9% 96.0 / 95% (Windows Defender併用) 製品S プロテクトキャット Cylance /118 96/ /118 33/ / /100

31 Cylanceの最大の特徴 Cylanceの最大の特徴は 未来のマルウェアを防御 できること WannaCry テスト結果 WannaCry 2017年5月12日 2015年11月の数理モデルで防御 Locky 2016年3月1日 2015年11月の数理モデルで防御 PlugX 2016年4月22日 2015年11月の数理モデルで防御 31

32 Cylanceを搭載したLanScopeCat 国内唯一のOEMパートナー 32

33 Cylance社のパートナー兼ユーザー MOTEXが サイランス ジャパンの Japan Partner of the Year を2年連続受賞 33

34 プロテクトキャット実績 販売開始約1年半で170社以上で採用 様々な業種で採用されています AIアンチウイルス プロテクトキャット導入社数 175社 14万CL 製造 通信 金融 小売業が多い傾向

35 プロテクトキャットの強み １ シンプルな操作で誰でもできる 流入経路特定 流入経路の特定から再発防止策に繋がる スキルが無いスタッフでも対応可能 ２ 非インターネット環境での統合管理 クローズ環境でも効率的な管理 ３ こまめなアラーム通知 流入経路確認のトリガーに 単品でも高性能なCylanceの運用価値を更に高められる 35

36 プロテクトキャットだから可能な 流入経路 特定 マルウェア検知前後の 人の操作 から 流入経路を確認 周辺ログ CD書き込み フリーソフト をgoogle検索して ダウンロード.Writingsw.com/SetupCDWritingsoft_2.2.5.exe SetupCDWritingsoft_2.2.. CDWritingsoft_2.2.5 SetUp CD Writing soft CDWritingsoft.exe マルウェアを 検知し隔離 開発中の画面のため変更になる場合があります 36

37 プロテクトキャットだから可能な 非インターネット接続端末の管理 クローズドなネットワーク分離環境においても オンプレミスで統合管理が可能 Cylance Protect プロテクトキャット クローズド環境における運用 クローズド環境における運用 マルウェア検知状況の確認は Catの管理画面上でもできます マルウェア検知状況の確認は 検知したPCでのみになります Catマネージャーからプログラム やポリシーの更新が可能です プログラムのアップデート ポリシーの更新 検知状況の把握 する仕組みが別途必要です 37

38 プロテクトキャットだから可能な 再発防止 ないので根本原因への対策が重要 流入原因となるユーザー操作を把握し再発を防ぐ 100%の安全は 検知 隔離 原因追跡 Webサイト閲覧 既知 未知のマルウェア フリーソフト ダウンロード 添付ファイル開封 USB接続 公衆Wi-Fi接続 セキュリティ教育 ポリシー強化 ユーザーへの注意 Webフィルタ 外部デバイス制御 再発防止策の提示 通信デバイス制御 LanScope Cat プロテクトキャット 対策 再発防止 38

39 プロテクトキャットだから可能な コスト削減 エンドポイントを最大限保護する事で インシデント対応の工数を劇的に下げる 対策製品A アンチ ウイルス 補 完 製 品 A 対応者数 要するコスト 製品価格 運用 費やす時間 要求される技術力 39 出口対策製品B 補 完 製 品 B ログ分析/ SIEMなど 補 完 製 品 C

40 最後に とあるユーザー様の言葉から 理想のツール 少ない人数 専門知識がなくても 1つ上のレベルで運用できるツール 今までのセキュリティソリューションは 上級者向け 高コストが基本でしたが Cylanceはまさに上記を実現している ソリューションだと思います 40

41 お問い合わせ先東京本部 : 大阪本社 : 名古屋支店 : 九州営業所 : sales@motex.co.jp 41