リソース > セキュリティ用語集 > 高度な脅威対策とは

高度な脅威対策とは

高度な脅威対策の定義

高度な脅威対策(ATP)は、マルウェア、フィッシングキャンペーンなどの複雑なサイバー攻撃から、機密データを保護するために構築されたセキュリティソリューションのサブセットです。ATPテクノロジは多くの場合、クラウドセキュリティ、電子メールセキュリティ、エンドポイントセキュリティなどを組み合わせて、絶えず変化する脅威を取り巻く状況の中で組織の防御を強化します。これにより、高額な被害をもたらしうるセキュリティ侵害をより適切に予測して防止することが可能となります。

サイバー犯罪者の攻撃方法と戦術は、日を追うごとに巧妙になっています。さらに、データがクラウドに移行し続けるにつれて、攻撃対象領域が拡大し、新しい攻撃ベクトルが顕在化しています。幸い、サイバーセキュリティテクノロジはファイアウォールやこれまでのネットワークセキュリティの枠を超えて、これらの新しい攻撃手段やサイバー脅威を克服すべく発展してきました。

 

高度な脅威対策の特長とは

現代の脅威をとりまく状況においては、ATPを活用することで対抗することができます。切り離された単一目的のソリューションになりがちな従来型のセキュリティ製品とは異なり、現代の非常に効果的な各種ツールは、互いに組み合わせることで以下を実現できます。

  • 脅威のリアルタイムの可視性:数多くの脅威にあふれている現代には、安全性の確認のためにスキャンを前もって計画するほどの余裕はありません。高度な脅威対策の効果的なソリューションでは、従来型のウイルス対策ソリューションとは異なり、すべてのトラフィックを常にモニタリングします。
  • 共有クラウドインテリジェンス:従来型の保護ツールのパッチ適用作業は不便であるのはもちろん、最悪の場合適用そのものが不可能である場合もあります。クラウド配信型の脅威インテリジェンスを使用することで、特定のソリューションが新しい脅威をいずれかの場所で阻止すると、他のすべての場所においても即座に阻止できるようになります。
  • 一元化されたコンテキストと相関性:高度なAIを搭載した、リアルタイムの事後対応型かつ予測型のセキュリティ対策により、セキュリティ部門が全体像を把握し、より迅速に脅威の検出や防止、修復を実行できるようになります。

「高度」な脅威の条件とは

脅威が「高度」という文言を伴う理由はいくつか存在します。次のような場合、脅威は「高度な脅威」として捉えられます。

  • 攻撃者が攻撃を実行し、ネットワークへのアクセスを維持するための無制限のリソースまたはツールを持っている場合
  • 攻撃者が、必要に応じて攻撃手法を適応させるための資金をすぐに調達できる場合
  • 攻撃が特定の組織を標的にするように計画されている場合

さまざまな形態の高度な脅威について、もう少し詳細に見ていきましょう。

 

高度な標的型攻撃

高度な標的型攻撃(APTと略されますが、ATPと混同しないよう注意してください)は、攻撃者が組織のネットワークにひそかにアクセスして足場を確立し、長期間検出されずに留まることを可能にする攻撃です。APTは特定の企業を標的にすることが多く、一般的なセキュリティ対策を迂回または回避できる高度なマルウェアを使用する傾向があります。このように高度化した攻撃には、同等に高度な防御で対処する必要があります。

攻撃者は通常、資格情報を狙うフィッシング攻撃やマルウェアを介してターゲットのネットワークにアクセスし、会社のデータからプライベートな会話、そしてその他の機密資料まで、あらゆるものにアクセスできるようになる恐れがあります。数週間や数か月、あるいは数年間も検出されない状態が続けば、大量のデータを収集されて悪意のある目的に利用されてしまう可能性もあります。

 

特に一般的に用いられる高度な攻撃の手法とは

高度な攻撃に共通するのは、悪意のあるアクターが目当ての場所に侵入するために特によく使う、中核となるいくつかのテクニックです。特に一般的なものは以下のとおりです。

  • フィッシングは、一見信頼できるソースからのリンクをたどるようにユーザーを惑わし、企業の認証情報やその他の情報にアクセスします。これは、APTの攻撃者が内部ネットワークにアクセスするために用いる最も一般的な方法です
  • マルウェアのインストールによって、サイバー攻撃者がアクセスを得た後に、ネットワークの奥深くにまで到達できるようになり、アクティビティのモニタリングや企業データの収集が可能になります。これは、フィッシングを介して行われるケースがほとんどです。
  • パスワードクラックを通じて、攻撃者は管理者アクセスを取得し、ネットワーク内を自由にコントロールすることができます。
  • バックドアの作成により、攻撃者がネットワークから離れたとしても、再び侵入できるようになります。

Ponemonが実施した調査では、コロナ禍前に勤務先が社内全体のリスク、脆弱性、攻撃の軽減について効果的な対策を講じていると考える回答者は71%にのぼっていたものの、コロナ禍以降において同様に答えた回答者はわずか44%にまで減少しました。

Ponemon Institute、Cybersecurity in the Remote Work Era

データ侵害による被害額は386万米ドル(2020年)から424万米ドル(2021年)まで増加し、本レポートの17年の歴史における平均総コストの最高値を記録しました。

IBM、2021年データ侵害のコストに関する調査レポート

高度な脅威対策の仕組み

高度な脅威対策のソリューションは、高度な脅威がデータ流出を引き起こしたり組織に損害を及ぼしたりする前に、それらを検出して対応するために構築されています。さまざまなサービスプロバイダーが提供する中核的な機能には幅広い種類がありますが、ATPソリューションは多くの場合以下の機能を含みます。

  • ネットワークのセキュリティと稼働異常をモニタリングする、ネットワークトラフィック分析
  • 特定のプロバイダーのすべてのお客様に同一の保護を提供できる、脅威インテリジェンスの共有
  • 不審なファイルを検出して隔離し、分析と対応を行うサンドボックス化

 

従来型のサンドボックスソリューションの欠点

機械学習と自動化の進歩によりATPがより速く正確になるなど、この分野の技術が進化を遂げる中、サンドボックス化は高度なセキュリティツールとしての重要性を保っています。しかし、現在の環境を踏まえると、サンドボックス化に対する従来型のアプローチには3つの主な欠点があります。

  1. 従来型のサンドボックスはバックホールに依存しています。バックホールとは、中央ネットワークを介してデータを強制的に通過させることを指しています。これらのサンドボックスはデータセンタ内のハードウェアに縛られており、増え続けるリモートの従業員を効果的に保護するにはあまりにも低速になってしまいます。

  2. 従来型のサンドボックスは、ターミナルアクセスポイント(TAP)モードを使用して不審なファイルを検査し、ファイルが接続先に移動する際に分析を行います。サンドボックスは脅威を検出するとアラートを送信しますが、TAPインスペクションでは実際にはファイルがブロックされないため、手遅れになることがよくあります。

  3. 従来型のサンドボックスでは、クロールへと遅れさせない限り、暗号化されたトラフィックを効果的に検査することができません。現在、ほとんどのマルウェアは暗号化されたチャネルを経て配信されており、組織によっては十分な処理能力を得るために最大8倍のサンドボックスアプライアンスが必要になる場合もあります。

Zscaler Advanced Threat Protection(ATP)

Zscaler Cloud Sandboxは、AIおよび機械学習を活用したクラウドベースのマルウェア防止エンジンで、新たな脅威を阻止し、場所を問わずすべての従業員を保護するために構築されています。TAPモードの代わりにインラインで動作し、不審なファイルを転送する前に暗号化されたトラフィックを含むすべてのトラフィックを検査します。常時有効のゼロデイ保護、ランサムウェアからの保護、マルウェアの動作に対するリアルタイムの可視性により、進化した新しい脅威の出現に合わせて継続的に検出、阻止します。

Zscaler Cloud Sandboxは、Zscaler Internet Access™に完全統合された機能の1つで、Zscaler Zero Trust Exchange™の一部をなしています。このプラットフォームはクラウドサービスとして提供され、ハードウェアを購入したりソフトウェアを管理したりする必要がないため、複雑さが解消され、わずか数分で稼働を開始できます。

Zscalerが提供する高度な脅威対策についてはこちらをご覧ください。