PowerPoint プレゼンテーション

エムオーテックス株式会社 経営企画本部 MOTEX-CSIRT 北村 和久

なぜサイバーセキュリティに

AIソリューションを採用したのか？

AIアンチウイルス＆ログ管理の プロテクトキャットのご紹介

IT資産活用

と

セキュリティ

の両立を軸に

LanScopeシリーズの企画・開発・販売で

28

年

IT資産管理・内部不正対策・外部脅威対策まで

LanScopeシリーズを開発、販売

“統合型エンドポイント管理”

モバイル管理 位置情報管理 盗難・紛失対策 LanScope An 外部脅威対策 標的型攻撃対策 ランサムウェア対策 プロテクトキャット IT資産管理 パソコン情報収集 アプリ管理・配布 アセットキャット 操作ログ管理 PC操作を記録 アラート通知 ログキャット 情報漏えい対策 デバイス制御 Webフィルタ デバイスキャット ウェブキャット LanScope Cat 製品概要

PC業務の一般化 エンドポイント管理ツールは、課題解決するための多彩な機能が市場に登場 ・リモート コントロール 個人情報保護法施行 内部統制 ・PC情報の自動収集 （ハード/ソフト） ・PC操作ログ取得 ・持ち出し制御 セキュリティ 認証取得 （Pマーク・ ISMS） リーマンショック ITコスト削減 労務管理 残業抑制 ・ログ集計見える化 ・AP稼働率集計 ライセンス 違反対策 ・ソフトウェア 資産管理 内部不正対策 ・PC操作ログ取得 ・持ち出し制御 マルウェア 対策 ・次世代型AVS ・EDR ・SIEM 脆弱性対策 ～2000年前半 2005年～ 2008年 2009年 2014年 2015年 ライセンス監査 大規模情報漏えい_事故多発 サイバー攻撃 PCライフサイ クル管理 ヘルプデスク 効率化

IT資産管理ツールの対応範囲

機能 市場動向

サイバー攻撃の手法と実例

狙いは･･エンドポイントと“人の脆弱性”

攻撃対象の変化（VERIZON DBIR 2016 レポート） ・攻撃対象はサーバーから “ユーザーデバイス”や“人”に ・“人の振る舞い”に基づいた 攻撃が最も伸長 ・攻撃の90％に悪意のある ソフトウェアを利用 ・攻撃者の主な目的 ・企業秘密 ・個人情報 ・身代金の支払 ■Server■User Device ■Person■Media■Kiosk/Terminal■Network

Figure 1.

Percent of breaches per asset category over time.（n=7,736）

Server

User Device

Person

犯罪組織によるサイバー攻撃の

“分業体制”

が確立

誰でも簡単に、未知のランサムウェアを作成できる時代に

○作成・配布ツールが流通 ・RaaS（Ransom-as-Service） ・エクスプロイトキット ○エクスプロイトキットの 月額利用料：5万円 成功報酬：30％ （KREBS ON SECURITY） ○ランサムウェアの活動に対する 1ヶ月のROI：1,425％ （TRUSTWAVE 2016） 【SATAN RAAS】 ※1 誰でも攻撃者になれる時代（亜種＝未知のマルウェアを簡単に作成可能に） ※1.ランサムウェアを作成できる初心者向けサイト 誰でも簡単に「（ビットコイン等）身代金額」、「支払先口座」、「要求期限」、 「実行タイミング（KILLスイッチやシステムタイマーの日時）」等を自由に設定可能。

振り込み直前のやり取りメールに割り込み

経営層を装った経理部門への指示メール

役員を装った 攻撃者 経理部門 君も知っている例の案件がまとまった！ 先方より早急に進めたいと依頼が来て いるから至急口座に振り込んでくれ。 （その件は知ってるぞ･･･ 商談成立したのか、良かった！） 承知しました！至急振り込みます！ 攻撃者は事前に社用PCに マルウェアを感染させ 社用PCでの操作を遠隔で 閲覧するなどして 業務内容を把握したうえで 攻撃を仕掛けるため、 騙されている事に気付けない。 米国では2年で 800億円以上の被害が 発生している。 マルウェア 感染PC 海外で流行っていたBEC（ビジネスメール詐欺）が日本でも

従来型エンドポイントセキュリティ※ ※シグネチャ型パターン マッチング方式のもの

すり抜け

既知のマルウェア 未知のマルウェア 未知のマルウェア（既知のマルウェアを少し編集した亜種や、 新規で作成した世の中に出ていない新種のマルウェア）は 従来型のウイルス対策ソフトだと駆除できない。 従来のエンドポイント対策製品の限界

ウイルス 対策 エンドポイント セキュリティ IT資産管理 ログ管理 仮想環境 セキュリティ ファイル暗号化 ネットワーク 分離 フォレンジック Sandbox SpamFilter ProxyServer VirusScan

多様化する脅威に対抗する･･多層防御

増大する

コスト

、求められる

専門スキル

エンドポイント インターネット 次世代ファイア ウォール DMZ 各種サーバー／社内ネットワーク IPS セキュリティのトレンド「多層防御」の時代

①従来型アンチウィルスソフトの限界のお話

－事件の起点はマルウェア感染から

－いまやどのセミナーでも前半で

「アンチウイルスソフトは通用しません」

②侵入前提でのセキュリティーの定説が生まれた

－アンチウイルスで守れないので感染後の対処で勝負

⇒

「感染しても内部で検知して情報漏洩被害につなげない」

・・・結果、

セキュリティソリューション・サービスが加速度的に増加。

製品としては後追いができる

ゲートウェイでは「次世代型FW」「サンドボックス」

エンドポイントでは「EDR」や「SIEM」が流行している。

サイバーセキュリティ市場の現状

1990年～ •ウイルス対策ソフト •ファイアウォール 2000年～ •IDS,IPS •境界型スパム対策 •境界型ウイルス対策 2010年前後～ •多層防御系 － サンドボックス － 出口対策 •クラウド型防御 2015年前後～ •機械学習 •ディープラーニング •ログ集約、SIEM •EDR 製品の系譜 コンサルの系譜 1990年～ •セキュリティポリシー制定 •プライバシーマーク •脆弱性診断 2000年～ •ISMS認証取得 •個人情報保護法 •ファイル共有ソフト 漏えい対策 2010年前後～ •事故前提～CSIRT構築 •サイバー攻撃監視委託 •インシデントレスポンス 2015年前後～ •サイバーインテリジェンス •スレットインテリジェンス •サイバーレジリエンス •IoT アンチウイルスの限界から、エンドポイント感染を前提とした様々なソリューションが生まれた （全部揃えると億単位の投資が必要になる・・・現実的ではない） 拡大するサイバーセキュリティ市場

53% 45% 36% 32% 25% 2% 0% 10% 20% 30% 40% 50% 60% 新たな脅威へ十分な保護が出来ていない 数多くの過検知、アラート対応 多くの複雑な製品の管理 ユーザーへの生産性へのマイナスインパクト コストが高い その他

The 2017 State of Endpoint Security Risk

Sponsored by Barkly

Independently conducted by Ponemon Institute LLC Publication Date: November 2017

現在のエンドポイント保護ソリューション

最大の課題

は？

N=665

つまり、保護の為ツールを入れても管理が出来ず、効率が下がるという課題

Cylanceの実績と技術

サイバーセキュリティ

業界

が

注目

する

人工知能

を活用した

次世代型

セキュリティ

https://www.cylance.com Located in Irvine,California,USA 275 Employees 未知の脅威から守る新たな手法

ファイルの

_{DNA（構造）}

を

AI (人工知能）

が学習して

構造から安全性を予測・判定

マルウェア防御率

99％

誤検知率 0.0001%

稼動実績

_1000万台

以上

DNAレベルの マルウェア解析 脅威防御と 攻撃阻止 シグネチャの 更新は不要 ネットがなくても 判定可能 AIによる 自動判断 予測と予防

*

0% 50% 100% C B A Cylance

99

_％ 52％ 41％ 21％ 結果サマリー ツアー概要 ・75都市で累計15,000個の マルウェアとその亜種をテスト ・都度、24時間以内に発見された 新種のマルウェア100個と その亜種の合計200個が対象 ・累計2,100人以上の観客が目撃

新種・亜種

の

マルウェア

検知率

99%

全米

75

、日本

3

都市で Unbelievable Tour 開催

未知のマルウェア検知率

数式作成

数学者やアナリストのチューニング 後、膨大なノウハウを反映した数式 を作成。端末上では数式のみが稼動

収集とAI学習

正 常 な フ ァ イ ル と マ ル ウ ェ ア を 10億以上 収集し、 クラウド上の AIに教師データとして学習させる

特徴抽出・数値化

教師データの特徴点を抽出（1ファイ ルあたり最大700万の特徴点）、各 ファイルのマルウェアらしさを数値化 Cylanceは静的解析にAIを活用

AI

による

予測脅威防御

の仕組み

1 年 半 2017/5/12 AVメーカーが 対策パッチを 配信 2017/5/12 WannaCry 世界同時感染 Cylance

2017年5月に発生した

WannaCry

を

2015年11月

のバージョンで検知

他社 2017/3/12 MS17-010 パッチリリース 時系列 MSは脆弱性2015/1 パッチ未配信 パッチ適応が必須で脆弱性が有る状況 Cylance は数理モデルにより保護出来ている 2015/11 数理モデル 以降 亜種発生 Cylance VS WannaCry

100% 50% 時間経過 マルウェアが AVメーカーに １週間後 Cylance の検知率 一般的な アンチウイルス の検知率 0% 数ヶ月後 マルウェアが 作成される 実際 の 攻撃 AVS メーカー の レポート 検知率は 100％ です？！

構造的な問題

でシグネチャでは

実際の攻撃を

止められない

マルウェア検知率の推移 マルウェア検知率 シグネチャ 作成開始 重要なのは「どのタイミングの」検知率なのか？ Cylance なら守れる 攻撃を 受けてしまう

ウイルス対策ソフト （シグネチャ） ふるまい検知 サンドボックス 第一世代 第二世代 次世代

AI

実行前 （既知の脅威） 実行前 （未知の脅威） 実行後

止められない

ことが前提の

実行後

の対策ではなく

実行前

に

止める

次世代型

AI

エンジン

EDR （検知と対応） Cylanceは動的検知ではなく静的検知

一番大きな理由は、

「Cylanceユーザー」だから

本気で自社を守るために

Cylanceを使っています

MOTEXは（おそらく）国内で最初のCylanceユーザーです

－2015年12月：自社導入

－2016年7月：プロテクトキャットリリース

－2017年7月：社内のアンチウイルスソフトをCylanceに一本化

実は、Cylanceジャパン設立（2016年5月）以前から使っています。

なぜ、当時実績の無かったAIソリューションを選択したのか？

それは、実際にテストをすることでその品質・性能に驚き、

我々のようにスキル・マンパワーが足りないセキュリティ部門には

必須であり、また、万全なセキュリティ体制を構築されている企業様

でも、一段上のセキュリティ対策に時間を割けるようになるものと

確信したからです。

ユーザー企業の立場で

日々の運用は情報システム部門が対応し、定期的な監査、ルール見直しをISMS推進室が担当。 製品・WEBの品質に対しては各事業部が責任を持って対応に当たる体制を組んでいます。 MOTEX-CSIRTは、上記を含めた“インシデント”への対応支援を行います。 社長 開発 経営企画 企画広報 情報システム MOTEX -CSIRT ISMS推進室 情 報 シ ス テ ム 部 門 推 進 メ ン バ ー （ 11 人 ） IS MS 部 門 推 進 メ ン バ ー （ 10 人) 自社製品の脆弱性診断、製品改修 インフラ管理、サービス運用 自社サイトの脆弱性診断、パッチ適応 窓口、インシデントへの対応支援、情報発信 定期的な内部監査、定期的なルール見直し ＜部門横断＞ MOTEXのセキュリティに関係する体制

1: システム面：結構導入させてもらっている

・・・が100％使いこなせていない

－流行のシステムは色々入れてみた（ゲートウェイ製品だけでも２種類） 例：アラームは色々あがるが全部追えていない

2: 体制面：セキュリティ組織の形はできた

・・・が力を割ききれていない

－兼任メンバーのみ仮想組織 例：定例ミーティングに全員集まることのほうが珍しい

3: スキル面：

拙い。。

－サイバーセキュリティに精通する人材が足りない IT企業だが、正直なところ社員のリテラシーが特別高いわけでもない・・ MOTEXの戦力（現状把握）

①セキュリティの境界防御

・次世代ゲートウェイセキュリティの運用

②エンドポイント運用強化

・脆弱性のあるアプリのパッチ配信

・アンチウイルスソフトの更新

③社員教育

・標的型メール演習「怪しいメールは開くな」

④SEIM・SOCサービス

・セキュリティインテリジェンスのアウトソース

トレンドになっている対策・・・有効性は？

標的型メール演習の課題・・フィッシングテスト（VERIZON DBIR 2016 レポート）

「怪しいメールを開くな！！」ではなく、

問題ある

メールを開いてもカバーできる対策が必要

・テスト用フィッシングメッセージを 開封した人は30% ・悪意のある添付ファイルやリンクを クリックした人は12% ・添付ファイルを最初に クリックするまで4分（平均） ・フィッシングメールの可能性について 管理者に報告したのは3%

■Opened■Clicked■Npercent(of opened)clicked

Figure 2.

Number of phishing emails opened and clicked in first 24 hours and Percent of opened emails that were clickes

①守る側のリソース・スキルは限定的

②多層防御の実現性への課題

・使いこなす人材の問題

・そろえるコストの問題

③セキュリティトレンドの課題

・メールを開いても大丈夫な対策

・パッチ漏れがあっても守れる対策

④更に攻撃の頻度の増加懸念

・素人でもできるサイバー攻撃環境が整備されてきた

MOTEXの自社の課題

①防御力向上 やられないようにする ②検知分析 やられている事を直ぐに検知する ③被害軽減 やられても被害を小さくする ④事後対応 やられた後の対処

現状のトレンドは②③④だが、

少ない枚数の重ねで出来る限りの防御力向上を狙う

防御側の4層 – 攻撃者の費用対効果を抑えるために

製品名 既知ウィルス検知率 難読化ウィルス 製品K 95.8％ （113/118） 15.0％ （15/100） 製品T 96.6％ （114/118） 6.0％ （6/100） 製品S 97.5％ （115/118） 7.0％ （7/100） 製品M 100.0％ （118/118） 11.0％ （11/100） 製品F※ (Windows Defender併用) 93.2％ / 11.9% （110/118） 96.0％ / 95% （96/100） 製品S 97.5％ （115/118） 33.0％ （33/100） プロテクトキャット（Cylance） 100.0％ （118/118） 100.0％ （100/100） Cylanceの防御力 – テスト結果（2015年11月当時） マルウェア検体 ・VirusTotalにその日に 登録された物を100個 ・難読化し、パック処理 した100個 ・メールで届いた検体や 他サイトから得た18個 ※Cylanceのみ未知の マルウェア検知有効性の 確認のため、半年前の 数理モデルを使用 ↓ 難読化（亜種）は、つまり 未知のマルウェアである。 それに対する防御力が Cylanceは非常に高かった

Cylanceの最大の特徴は、

「未来のマルウェアを防御」

できること

Cylanceの最大の特徴 ＜テスト結果＞ ○WannaCry：2017年5月12日 ・2015年11月の数理モデルで防御 ○Locky：2016年3月1日 ・2015年11月の数理モデルで防御 ○PlugX：2016年4月22日 ・2015年11月の数理モデルで防御 【WannaCry】

Cylanceを搭載したLanScopeCat

Cylance社のパートナー兼ユーザー

MOTEXが、サイランス ジャパンの

0 50 100 150 200 AIアンチウイルス プロテクトキャット導入社数

175

社

14

万CL

販売開始約1年半で

170社以上

で採用！

様々な業種で採用されています

プロテクトキャット実績 0 5 10 15 20 25 30 35 40

製造、通信、金融、小売業

が多い傾向

１：シンプルな操作で誰でもできる「流入経路特定」

・流入経路の特定から

再発防止策

に繋がる。

・

スキルが無いスタッフでも対応

可能

２：非インターネット環境での統合管理

・

クローズ環境でも効率的

な管理

３：こまめなアラーム通知

・

流入経路確認のトリガー

に

単品でも高性能なCylanceの運用価値を更に高められる

プロテクトキャットの強み

.Writingsw.com/SetupCDWritingsoft_2.2.5.exe CD Writing soft¥CDWritingsoft.exe

SetupCDWritingsoft_2.2.. CDWritingsoft_2.2.5 SetUp 【周辺ログ】

「CD書き込み

フリーソフト」

をgoogle検索して

ダウンロード

マルウェア

を 検知し

隔離！

マルウェア検知前後の“人の操作”から

流入経路を確認

プロテクトキャットだから可能な「流入経路」特定

プロテクトキャットだから可能な「非インターネット接続端末の管理」

Cylance Protect

【クローズド環境における運用】 マルウェア検知状況の確認は、 検知したPCでのみになります。 プログラムのアップデート、 ポリシーの更新、検知状況の把握 する仕組みが別途必要です。 【クローズド環境における運用】 マルウェア検知状況の確認は、 Catの管理画面上でもできます。 Catマネージャーからプログラム やポリシーの更新が可能です。

プロテクトキャット

クローズドなネットワーク分離環境においても

オンプレミスで統合管理が可能

100%の安全は

ない

ので

根本原因

への対策が重要

流入原因となる

ユーザー操作

を把握し

再発

を

防ぐ

検知・隔離

原因追跡

添付ファイル開封 Webサイト閲覧 USB接続 公衆Wi-Fi接続 ポリシー強化 ・Webフィルタ ・外部デバイス制御 ・通信デバイス制御 セキュリティ教育 ・ユーザーへの注意 ・再発防止策の提示

対策（再発防止）

フリーソフト ダウンロード 既知・未知のマルウェア プロテクトキャット LanScope Cat プロテクトキャットだから可能な「再発防止」

エンドポイント

を

最大限保護

する事で

インシデント対応

の工数を劇的に下げる

対応者数： 要するコスト： （製品価格＋運用） 費やす時間： 要求される技術力： 対策製品A 出口対策製品B ログ分析/_SIEMなど アンチ ウイルス 補 完 製 品 A 補 完 製 品 B 補 完 製 品 C プロテクトキャットだから可能な「コスト削減」

少ない人数、専門知識がなくても

1つ上のレベルで運用

できるツール

理想のツール

今までのセキュリティソリューションは、

上級者向け・高コストが基本でしたが、

Cylanceはまさに上記を実現している

ソリューションだと思います

最後に、とあるユーザー様の言葉から

お問い合わせ先

https://www.motex.co.jp

東京本部 ： 03-5460-1371 大阪本社 ： 06-6308-8980 名古屋支店： 052-253-7346 九州営業所： 092-419-2390 E-Mail ： [email protected]