AIを活用した次世代型マルウェア対策ソフトとMDRサービス導入により、有事に備えた体制を整備

因幡電機産業では従来のセキュリティ対策を強化すべく、AI技術を採用しマルウェア対策に先手が打てるBlackBerry Protect（現：CylancePROTECT）の導入に踏み切りました。セキュリティ対策は運用が煩雑で、コストに対しリスクが低減されているのかという漠然とした不安を背景に、既存のパターンマッチングのソフトの代替として経営層へ上申しました。その際、費用対効果よりも、適正価格は会社それぞれであるとの考えから、何が優れているかをできるだけ分かりやすい表現にしながら、可視化、定量化を意識して伝える工夫をしました。

藤幹氏：このソフトが未知のファイルもAIが判定することについて、「従来の製品では前科者しかわからない。でもこのソフトならば、前科者でなくても、例えば変装や整形をしても、不審な行動をしたら見つけることができる」と説明しました。また、マルウェアの検体を既存のパターンマッチングでの環境とBlackBerryの環境でチェックしたところ、パターンマッチングでは15.3%とあまり検知ができていなかったのですが、BlackBerryは99.7％を検知した、といった可視化、定量化した情報を伝えました。

こうして導入が決定。運用は当初、BlackBerryがマルウェアもしくはそれらしいものを検知する「アラートモード」で脅威を都度確認。ブラックリストとホワイトリストに振り分けてリストの精度を上げた後に、今度は「自動隔離モード」で申告のあったソフトや誤検知、過検知をホワイトリストに振り分けていくようにしました。

藤幹氏：これにより従来検知できなかった脅威も見つかるようになったほか、社内に公示していたインストール可能なソフトの一覧が形骸化しがちだったのも、BlackBerryの判定に任せることでやめることができたのが利点でした。

このように、BlackBerry Protectの導入で安心感が確実に増して運用負荷も軽減できましたが、検知率は100%ではないことも重視していました。振る舞い検知やEDR、SIEMなど、別のソリューションを導入すると運用項目が増えてしまうので、BlackBerry OpticsというEDR製品と、MDR（Managed Detection and Response）サービスの追加導入を決めました。しかし、まもなく社会問題にもなっていたEmotetが猛威を振るいました。因幡電機産業でも、知り合いを装ったメールを多数受信し、多くの社員から誤って開封してしまったという連絡がありました。

藤幹氏：ファイヤウォール側で疑わしい通信のログがあり常時監視すると、他の複数台の端末からも同じようなログが見つかり、もはやパソコンのEmotetの感染がどうなっているのかわからない状態になりました。

そこでアシストに連絡し、BlackBerryツールとMDRサービスの両面で早急な取り計らいを依頼。MDRサービスではBlackBerryの自社テナントの状況から、感染状況の把握と検知できなかった一部のEmotetの駆除方法、次の対応として今後安全に継続運用するために必要な作業内容が提示されました。

藤幹氏：ここで、運用の「楽」が難しいことをつくづく感じましたが、すり抜けてしまったとはいえ、他のソフトだったらさらに感染が拡大していたのではないかとも考えています。後で確認できたのですが、Emotetは他社のメジャーなソフトでも多くが判定できていませんでしたし、パターンマッチングではパターンファイルを待ってそれを適用する工程が必要なところ、BlackBerryではファイルを特定できればハッシュ値のブラックリスト登録により隔離ができ、振る舞いによるバックグラウンド制御もできました。またMDRサービスでは、対応や設定見直し、チューニングといったガイドにより、状況把握と対応の両面で役に立ちました。相談できなかったら、ファイヤ・ウォールのログの通信からしか検知できず、被害が特定できなかったと思います。

因幡電機産業では今でも検知駆除は標準設定で自動に任せるのではなく、都度隔離リストへ登録したり、定期的にリアルタイムのスキャンを実施したり、設定の都度見直しを日常の運用の中に取り入れています。

藤幹氏：いざという時への備えとして、ツールだけではなくMDRというナレッジを有効利用する体制もセキュリティを維持する基盤になっています。セキュリティ対策は進化しなくていけません。これからも、BlackBerryOPTICS、MDRと全社展開を進め、有効な対策を打ち続けていきたいです。