高度な脅威対策とは 高度な脅威対策(ATP)は、マルウェア、フィッシング キャンペーンなどの複雑なサイバー攻撃から機密データを保護するために構築された、セキュリティ ソリューションのサブセットです。ATPは多くの場合、クラウド セキュリティ、メール セキュリティ、エンドポイント セキュリティなどを組み合わせて、脅威の活動状況が絶えず変化する中で組織の防御を強化します。幸いなことに、攻撃対象領域が拡大して新しいサイバー脅威や攻撃ベクトルが出現するにつれて、サイバーセキュリティ テクノロジーはファイアウォールや従来のネットワーク セキュリティの枠を超えて進化しています。

高度な脅威対策のメリットとは

現代の脅威をとりまく状況においては、ATPを活用することで対抗することができます。切り離された単一目的のソリューションになりがちな従来型のセキュリティ製品とは異なり、現代の非常に効果的な各種ツールは、互いに組み合わせることで以下を実現できます。

• 脅威のリアルタイムの可視性：数多くの脅威にあふれている現代には、安全性の確認のためにスキャンを前もって計画するほどの余裕はありません。高度な脅威対策の効果的なソリューションでは、従来型のウイルス対策ソリューションとは異なり、すべてのトラフィックを常にモニタリングします。
• 共有クラウドインテリジェンス：従来型の保護ツールのパッチ適用作業は不便であるのはもちろん、最悪の場合適用そのものが不可能である場合もあります。クラウド配信型の脅威インテリジェンスを使用することで、特定のソリューションが新しい脅威をいずれかの場所で阻止すると、他のすべての場所においても即座に阻止できるようになります。
• 一元化されたコンテキストと相関性：高度なAIを搭載した、リアルタイムの事後対応型かつ予測型のセキュリティ対策により、セキュリティ部門が全体像を把握し、より迅速に脅威の検出や防止、修復を実行できるようになります。

「高度」な脅威の条件とは

次のような場合、脅威は「高度」であるとみなされます。

• 攻撃者が攻撃を実行し、ネットワークへのアクセスを維持するための無制限のリソースまたはツールを持っている場合
• 攻撃者が、必要に応じて攻撃手法を適応させるための資金をすぐに調達できる場合
• 攻撃が特定の組織を標的にするように計画されている場合

さまざまな形態の高度な脅威について、もう少し詳細に見ていきましょう。

高度な標的型攻撃

高度な標的型攻撃(APTと略されますが、ATPと混同しないよう注意してください)は、攻撃者が組織のネットワークにひそかにアクセスして足場を確立し、長期間検出されずに留まることを可能にする攻撃です。APTは特定の企業を標的にすることが多く、一般的なセキュリティ対策を迂回または回避できる高度なマルウェアを使用する傾向があります。このように高度化した攻撃には、同等に高度な防御で対処する必要があります。

攻撃者は通常、資格情報を狙うフィッシング攻撃やマルウェアを介してターゲットのネットワークにアクセスし、会社のデータからプライベートな会話、そしてその他の機密資料まで、あらゆるものにアクセスできるようになる恐れがあります。数週間や数か月、あるいは数年間も検出されない状態が続けば、大量のデータを収集されて悪意のある目的に利用されてしまう可能性もあります。

最も普及している高度な攻撃の手法とは

高度な攻撃に共通するのは、悪意のあるアクターが目当ての場所に侵入するために特によく使う、中核となるいくつかのテクニックです。特に一般的なものは以下のとおりです。

• フィッシングは、一見信頼できるソースからのリンクをたどるようにユーザーを惑わし、企業の認証情報やその他の情報にアクセスします。これは、APTの攻撃者が内部ネットワークにアクセスするために用いる最も一般的な方法です。
• マルウェアのインストールによって、サイバー攻撃者がアクセスを得た後に、ネットワークの奥深くにまで到達できるようになり、アクティビティのモニタリングや企業データの収集が可能になります。これは、フィッシングを介して行われるケースがほとんどです。
• パスワードクラックを通じて、攻撃者は管理者アクセスを取得し、ネットワーク内を自由にコントロールすることができます。
• バックドアの作成により、攻撃者がネットワークから離れたとしても、再び侵入できるようになります。

高度な脅威対策の仕組み

高度な脅威対策のソリューションは、高度な脅威がデータ流出を引き起こしたり組織に損害を及ぼしたりする前に、それらを検出して対応するために構築されています。さまざまなサービス プロバイダーが提供する中核的な機能には幅広い種類がありますが、ATPソリューションは多くの場合以下の機能を含みます。

• ネットワーク トラフィック分析により、ネットワークにおけるセキュリティと運用における異常を監視
• 脅威インテリジェンスの共有により、同一プロバイダーのすべてのお客さまに同じ保護を提供
• サンドボックス：不審なファイルを検出して隔離し、分析と対応を実行

従来型のサンドボックス ソリューションの欠点

機械学習と自動化の進歩によりATPがより速く正確になるなど、この分野の技術が進化を遂げる中、サンドボックスは高度なセキュリティ ツールとして依然として重要です。しかし、現在の環境においては、サンドボックスに対する従来型のアプローチには3つの主な欠点があります。

1. 従来型のサンドボックスはバックホールに依存しています。バックホールとは、中央ネットワークを介してデータを強制的に通過させることを指しています。これらのサンドボックスはデータ センター内のハードウェアに縛られており、増え続けるリモートの従業員を効果的に保護するには極めて低速です。
2. 従来型のサンドボックスは、ターミナル アクセス ポイント(TAP)モードを使用して不審なファイルを検査し、ファイルが宛先に移動する際に分析を行います。サンドボックスは脅威を検出するとアラートを送信しますが、TAPインスペクションでは実際にはファイルがブロックされないため、手遅れになる場合がよくあります。
3. 従来型のサンドボックスでは、速度を大きく低下させずに暗号化トラフィックを効果的に検査できません。現在ほとんどのマルウェアは暗号化されたチャネルを介して配信されており、一部の組織では十分な処理能力を得るのに8倍のサンドボックス アプライアンスが必要になります。

Zscaler Advanced Threat Protection

Zscaler Cloud Sandboxは、AIおよび機械学習を活用したクラウドベースのマルウェア防止エンジンで、新たな脅威を阻止し、場所を問わずすべての従業員を保護するために構築されています。TAPモードの代わりにインラインで動作し、不審なファイルを転送する前に暗号化されたトラフィックを含むすべてのトラフィックを検査します。常時有効のゼロデイ保護、ランサムウェアからの保護、マルウェアの動作に対するリアルタイムの可視性により、進化した新しい脅威の出現に合わせて継続的に検出、阻止します。

Zscaler Cloud SandboxはZscaler Internet Access™に完全統合された機能の1つで、Zscaler Zero Trust Exchange™の一部をなしています。このプラットフォームはクラウド サービスとして提供され、ハードウェアを購入したりソフトウェアを管理したりする必要がないため、複雑さが解消され、わずか数分で稼働を開始できます。