特別寄稿:Bromium日本語版発売にあたって

エンドポイントを企業ITの保護、検知、対応に活かす

分散型の自動検出と保護で、侵害への対応を加速

エンドポイントは企業システムの中でも典型的過ぎると言えるほど弱点になっており、知的財産、金 銭や個人情報などを狙う攻撃者には「簡単な経路」でもあります。さらにエンドポイント攻撃による、国家のインフラの損傷、政治活 動の妨害、自由な市民活動の侵害や、政治への影響などがますます増えています。

エンドポイントを保護するだけのシンプルな方法で、多くの企業システムへの攻撃に対策できるソリューションを、ブロード社との パートナーシップのもとで提供できることを誇りに思います。Bromiumが日本語環境への対応を決めさせた、同社代表の姫野さ んが3年前に確信したビジョンも背景にあり、ブロードと共に日本市場でご紹介し、日本で求められる企業向けの支援を提供できるこ とを幸いに思います。

私が2017年冒頭に東京を訪れた際、企業のセキュリティ部門の方々が日々面している、日増しに洗練化する脅威 ― その多くは国家的の事案 ― を案じている事を知りました。

私はまたお会いした方々が非常に洗練され、仮想化とハードウェアレベルでの隔離について造詣をもち、従来の検知に依存した製品  ― ネットワーク型だろうがエンドポイント型だろうが ― による意味のない約束に依存しない、全く新しいアプローチで取り組む事についてオープンである ことを知りました。

彼らはまた、攻撃者側も機械学習やAIを使用する以上、セキュリティのためにAIを使用する製品が、脅威に直面しても多くを提供 できない根本的な 限界を容易に認識していました。


Simon
                Crosby
米国Bromium社 共同創業者 CTO
サイモン・クロスビー
代わりに、私たちは多大な安全性を備えたシンプルなソリューションを提供することができます。こ れにより、7年以上にわたる提供と、公的及び私的に実施された侵入テストで侵害の事例はありません。

私たちのソリューションはシンプルで、PCのCPUに実装された機構にだけ依存し、脆弱で信頼できないアプリケーションやWeb サイトへのアクセ スをハードウェア的に隔離してしまう事でPCを保護するものです。

このソリューションは非常に効果的で、Bromiumで保護したエンドポイントは一台たりとも侵害を受けたことはなく、 Bromiumを採用したお客様企業でのエンドポイント経由の危害について一件の報告もありません。ソリューションはとてもシン プルで、それについては後半で触れたいと思います。

哀しかな、90%以上の企業への侵害は、1つのクリックから始まります。 添付ファイル、ダウンロード、不正な広告、Java、ウェブサイト、メディア、USBや実行ファイルが周壁防御に穴をあけてしま います。

マルウェアの99%が1分以内に新たな検出できない亜種に変形し、シグネチャを役に立たないものにするため、従来の検出を前提と した保護は、ネットワーク境界とエンドポイントの双方で失敗します。

また、暗号化マルウェアの千倍に及ぶ増加は、手動での侵入を、隠密での侵入やデータ盗難へと変貌させ、最初のアラートが発生する 前に組織を屈服させてしまう、マシンによる攻撃へと変えてしまいます。

検知ベースの終焉

ITセキュリティの専門家は、エンドユーザを(問題を回避することを)トレーニングする事は無理であり、ウィルス対策ソフトはす り抜け、OSやアプリが依存するレガシーなシステムで脆弱性を全て解消することは出来ないことを既に知っています。それであって も、目につくのは、侵害が避けがた いという結果です。企業システムの周囲は穴が多数あり、セキュリティは確率だけのゲームになっています。

標的型かつ(人手ではない)機械による時間軸での攻撃の時代になり、運と希望だけでは充分とは言えません。企業のセキュリティ責 任者の方々は、何を探して対応すべきかもわからないのに攻撃されると侵害を検知しなければいけない、過酷な立場にあることに気付 きます。 セキュリティチームは情報漏洩を防止するため、全ての侵害を検知し対策しなければいけません。

Bromiumとブロードはこのゲームを変えます。

私たちのソリューションは、エンドポイントが持つ仮想化の能力を使い、企業の保護、検知とレスポンスを加速させます。私たちは、 エンドポイントは信頼できないネットワーク環境で野放しになっており、ユーザはなんでもクリックしてしまうという想定に立ってい ます。昨今の標的型攻撃は従来型の エンドポイント保護製品をすり抜けることができ、ある時点ではマルウェアは実行してしまうのです。

私たちは、エンドポイントのCPUに実装された仮想化技術を用いたマイクロ仮想化の開発を先駆け、シグネチャを使用しない保護の 実現と、隔離され たマルウェアが安全な状態で実行される際に、比類ない検知を実現しています。

私たちのソリューションは、シグネチャを必要としない自動的な保護と、マイクロ仮想化を用いてエンドポイントを「設計によるセ キュア」な状態にし、改ざん不可能なモニタリングを実現します。
MicroVM

マイクロ仮想化は、ハードウェアに対するエンドポイントCPU仮想化のみに依存して、ユーザーのタスクを分離し、モニタリングを 確保します。 各エンドポイントの内側からの情報は、エンタープライズ全体の対応を加速するために関連付けがなされ、チームは侵害の痕跡をリアルタイムで検索することが できます。

私たちはデスクトップ型、ノート型といった物理的なPCとVDIの双方を保護するために製品を最適化させ、私たちのソリューショ ンは、米国と他の民主国家の最も機密性が高い政府機関の多くで義務付けられている他、国際機関、フォーチューン1000を占める 民間企業で使用されています。 Bromiumで保護されたエンドポイントは、世界で最もセキュアで最良に実装されたものの一つと言えます。

エンドポイントの役割

Bromiumのアーキテクチャでは個々のエンドポイントには検知と保護の二つの役割があります。

  • 各エンドポイントは、分散型の侵害検知システムでのセンサーになります。  エンドポイントは、それ自体で実行されるマルウェア検知するモニターとなり、セキュリティチームがリアルタイムで企業システム全体での対応につなげられる 情報を提供します。モニターの仕組み自体もマイクロ仮想化で保護されるため、マルウェアにより無効化される心配もありま せん。
  • Bromiumは信頼できない処理の実行を隔離することで、そのエンドポイントと企業システムを保護し、攻撃の被害 を自動で修復します。
  • 世代的に発売後約5年以降のエンドポイントの場合、BromiumはCPUの仮想化機構を活用して自動的にハー ドウェア制御で、Webへのアクセスや添付ファイル、各種ドキュメントファイルを各タスク単位で小さなマイクロVM の中に隔離します。隔離されたマルウェアは、価値のあるデータやログインアカウント、企業ネットワークへはアクセス できません。Bromiumは詳細で、誤検知のない証跡を攻撃単位で記録し、さらにエンドポイントは自分自身を修復 し、継続して残る攻撃を消し去ります。
  • 発売が約5年以上前のエンドポイントでCPUの仮想化機構が実装されていない場合、Bromiumはセキュリ ティチームが遠隔で(かつ選択すれば自動で)企業ネットワークから切り離し、マルウェアの実行や、残存する実行体の 再実行を防ぎ、証跡データを取り込む事ができます。

エンドポイントと企業IT全体規模での対応との連携

Endpointsは個々で起きた攻撃に関する情報をリアルタイムで関連付けするBromium Enterprise Controller (BEC)に共有します。BECはこれを複数の脅威情報の情報源を持つBromium Threat Cloudとの連携で行い、企業IT全体規模でのレスポンスを加速します。BECはオンプレミスで運用することもできますし、例 えばMSPによる運用も可能です。

1台のエンドポイントが攻撃を受けると悪意の行為の詳細な証跡データを即座にBECに送信します。
•    BECはすぐさま、その攻撃に関連する情報を自動的にエンドポイント全体の中から検索しセキュリティスタッフが右往 左往していた事を支援します。こんにちでは、Bromiumはファイルのハッシュに現れる現象を調査しますが、近い将来、マイク ロVMが取得できるそれより広い範囲から兆候を調べるようになります。
•    さらにBECはサードパーティ製品からの脅威情報にアクセスすることができ、誤検知なしに個々の脅威に対する充実し た情報を提供します。
•    エンドポイント上で実行される悪意の動作は除去されて、エンドポイントは自分自身を修復します。これは手動での処理 でも、自動化することもで きます。

事例

BromiumはEndpoint Detection and Response (EDR)分野で最大規模(Gartner社)と言われる組織で運用されている事例があります。
Bromiumのソリューションは、グローバルに展開された政府機関組織で、150か国で勤務する110,000ユーザを保護し ています。
  • その組織は国家規模でゼロデーを中心とした攻撃の標的とされています。
  • 20MB以下の軽い監視ソリューションは、エンドユーザの利用に支障をきたす問題もなく、数週間で展開が完了しまし た。
  • 最初の二か月間で100を超えるすり抜け型の攻撃に打ち克ち、アカウントを悪用する攻撃や、他の不正なソフトを使用 した攻撃を検知しました。
  • このソリューションはエンドポイントの再セットアップを劇的に減らし、パッチ適用をうんと単純化させました。
  • この政府機関ではさらに、マイクロ仮想化を使用して、最も脆弱な二万台以上のエンドポイントの保護を強化し、すべて のエンドポイントを1年以 内に完全に保護し、外部からの、あらゆる攻撃面の排除を目指しています。

Bromiumは企業ITの保護を支援します。

Bromiumで保護されたユーザーは、信頼できないネットワークや、コンテンツ、Webに安全にアクセスできます。エンドポイ ントとサーバーは、エンドポイントの分散システムから収集された最新の攻撃インテリジェンスを使用した監視され、相互の保護に役 立ちます。

Bromiumによって保護された企業は、データの盗難やインフラストラクチャが損傷する機会を減らすことで、長時間かかってい た侵害検知とその 後の対策を、数秒での対応にすることができます。 Bromiumのお客様企業は、各種の攻撃に迅速に対応する、常時稼動のエンタープライズ全体のシステムを実現し、結果として、 安心して利益を得ることができます。

Enterprise Sensors

本和訳文の著作権は株式会社ブロードに帰属します。 株式会社ブロードは米国Bromium社のアジア地区における総販売代理店です。