もっと身近になったラックのマネージドEDRサービスで、中堅・中小企業のランサムウェア被害を防ぐ

営業統括部でプリセールスの責任者を務めている、隠岐（おき）です。

新型コロナウイルスの感染拡大は少し落ち着いたように感じますが、サイバー空間のランサムウェアは引き続き猛威を振るっています。オフィスとテレワークのハイブリッドに対応するIT環境が中堅・中小企業まで広がった現在、VPN機器の脆弱性やリモートアクセス、メールを利用したランサムウェアを中心とした被害が企業規模を問わず増加しています。

ラックではこれまで、大規模な組織向けのランサムウェア対策に有効なEDRサービスを提案してきましたが、このたび中堅・中小企業も対象に含めたEDRサービスを展開することになりました。ここではサービス提供の背景や概要についてご説明します。

環境変化に伴って増加するITセキュリティのリスク

新年度に入って、朝夕の通勤電車がかなり混雑しているなと感じます。オンサイトでの業務に戻ってきているのかなと実感する一方で、業務効率やワークライフバランスの面から、テレワークを含めたハイブリッドの働き方を採用している企業も少なくないのではないでしょうか。このような変化の中、VPN機器の脆弱性やリモートアクセス、メールを利用したランサムウェアを中心とした被害が増加しています。

これまでは大企業を狙った攻撃が中心でしたが、今や企業規模を問わず、被害企業の約半数が500名以下の中堅・中小企業であると言われています。

ラックでは、24時間365日体制でサイバー事故対応をする「サイバー119」というサービスを展開しています。2022年度（2022年4月～2023年3月）でのサイバー119出動件数は過去最高の数値となりました。

その出動内容としては、Emotetなどのスパムボットやランサムウェアの被害の割合が大きくなっています。

また、令和4年（2022年）9月15日に公開された警察庁の『令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について』においても、企業・団体におけるランサムウェアの被害は右肩上がりで増加し、暗号化をしたうえで情報漏えいを恐喝する二重恐喝の手口も増えていることが伺えます。

※ 警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」

ラックのデータと警察庁のデータの両方から伺える特徴は、「侵入経路」と「被害企業・団体の規模」です。

一つ目の侵入経路で顕著に増加しているのは、VPN機器やリモートデスクトップからの侵入で、8割を超えています。テレワークで社外シェアオフィスからアクセスするなどの業務環境変化に伴い、機器などの脆弱性や認証情報の乗っ取りが増えていることが伺えます。

二つ目の被害企業・団体の規模ですが、被害件数の半数が中堅・中小企業となっています。これまでは大企業を狙った標的型攻撃が中心でしたが、今や企業規模を問わず、攻撃者は身代金目的や大企業を狙った踏み台にする目的で無差別に攻撃してきています。

中堅・中小企業のお客様の課題

私はプリセールスの業務を通して、現状の対策について多くのお客様の相談を受けています。コロナ禍前と違うと感じるのは、特に中堅・中小企業においてITセキュリティの意識が高まっている点です。お客様からセキュリティを向上させたいと相談を受ける場合、「テクノロジー」と「社員リテラシーの向上」の両面の対策が必要だと伝えています。社員リテラシーの向上については、参考になる記事がありますので参照ください。

テクノロジーでの対策は、フリーWi-Fiや自宅からなど、社外から社内システムへのアクセスが一般化したことで、常に脅威にさらされていることを前提とする「ゼロトラストアーキテクチャ」の考え方が標準となってきています。

VPN機器からの侵入が増加したこともあり、このゼロトラストアーキテクチャの中心となるソリューションの一つとして、端末側での検知や防御が可能なEDR（Endpoint Detection & Response）を導入するお客様が増えています。多くの企業の従業員の端末には、少なくともEPP（Endpoint Protection Platform）としてアンチウイルスソフトが導入されていると思います。しかし、最近のランサムウェアやEmotetはEPPでは検知しないものも多く、端末の挙動や振る舞いを見て検知・対処が行えるEDRが非常に有効なのです。

とはいえ、EDR導入を検討されるお客様の一番の悩みは、夜間や土日休日を含めて検知に対処するのが大変であること。主に下記のような声を聞くことが多いように思います。

• 金曜の20時にランサムウェアに感染したら、土日は対処できず月曜の朝まで被害が拡大していると思う
• 検知したのはいいけど、何が起こったのか判断できないし、危ないなら隔離して欲しい
• そもそもEDRは高いし、外資系のツールばかりで慣れていないので検討しにくい

マネージドEDRサービス for Trend Microのポイント

ラックは、いち早くこういったお客様の悩みに対応するため、国内随一のITセキュリティインシデント対応サービスを提供している部門において、マネージドEDRサービスを展開してきました。インシデント発生時の端末自動隔離や、何が発生したのか調査し詳細に報告するなどのサービスです。今までは対象ツールとして、Microsoft社のDefender for EndpointとCrowdStrike社のCrowdStrike Falconでサービス提供を行い、大企業を中心に導入展開をしてきました。

この度、ランサムウェアの被害の拡大などを受けて、多くのEPP導入実績を誇るトレンドマイクロ社の「Apex One SaaS with XDR」のEDR機能を対象に加え、「マネージドEDRサービス for Trend Micro」として提供します。企業規模を問わず安心してEDRを検討いただけるようサービスの拡充を行いました。

トレンドマイクロ社のXDRプラットフォーム「Trend Vision One」は、EDRを起点にクラウドやネットワークなどマルチレイヤーにログを集約し、高度なスレットインテリジェンスと相関分析による迅速なインシデント対応を実現します。今回ラックから提供するマネージドEDRサービス for Trend Microは、XDRの起点となるエンドポイントのEDR機能を、マネージドサービスに組み込んでいます。

なお、サービス提供対象ライセンスはEPPとEDRを併せて購入する場合は「Apex One SaaS with XDR」を、すでにSaaS版のEPPをお持ちの場合はEDR「XDR：Endpoint and Server」を購入いただきます。
マネージドサービスの費用についても、サービスレベルを下げることなく、コストパフォーマンスの良い内容を提供します。

マネージドEDRサービス for Trend Microで提供する内容の一部

• 24時間365日のアラート監視
• 危険性の高いアラートに対する自動隔離
• 取引先などへの説明や今後の対策に利用可能な詳細調査報告書の作成

また、ファイアウォールや不正侵入防御システム（IPS）、不正侵入検知システム（IDS）を監視するJSOCマネージドセキュリティサービスと組み合わせることで検知精度を高め、本当に危険なものだけに限定して対応することも可能です。

今後もお客様のITセキュリティの悩みにお応えできるよう、より良いサービスを提供します。ITセキュリティに関するお悩みがありましたら、どうぞお気軽にお問い合わせフォームよりご相談ください。