コラム

最新のサイバー攻撃に最新の防御で対応! 「Cisco Secure Endpoint」でインフラを含めたエンドポイントセキュリティ

◆エンドポイントだけではない! インフラにまで拡大したランサムウェア感染のリスク

ランサムウェアとは、暗号化などにより重要なファイルを利用不可能な状態にしたうえで、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアです。

ランサムウェアは、「侵入・初期感染」を経て、「偵察・感染拡大」によって企業や組織内に感染を広げるとともに、重要なデータやシステムリソース(ADサーバーやファイルサーバー、DBサーバーなど)にアクセスします。その後、管理権限やコントロールを奪ったうえで重要なデータを暗号化して脅迫につなげる「実行・被害」に及ぶ手順で攻撃を広げていきます。

最初の侵入から実際の攻撃を行うまで一定の潜伏期間があるため、その感染を検知しにくいという特徴があります。したがって、ランサムウェアの感染や被害の拡大を防ぐためには、初期のタイミングで感染を検知し、拡大を抑え込むことが重要となります。

 

ランサムウェアの動き:侵入開始・初期感染→偵察行動→感染拡大→実行・被害

図1 侵入や偵察行動を経て潜伏期間を持ちながら実行するランサムウェア。侵入当初は気づきにくいが、感染拡大期には大きな被害となるケースが多い。

 

◆高度なサイバー攻撃には、今までにない対策を

感染しない対策に加えて、感染した場合の迅速な対応、この2点を考えた対策が必要です。

この仕組みを兼ね備えているのが、シスコシステムズ社の「Cisco Secure Endpoint」です。Cisco Secure Endpointは、エンドポイントセキュリティに求められる高度なEPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)を備えたプラットフォームであり、さらにシスコシステムズ社が提供するさまざまなセキュリティソリューションとの連携を可能としています。

EPPとEDRについては、Secure Endpointのページを参照。

 

◆MFAソリューションとの連携

例えば、デバイス上で実行されるCisco Secure Endpointがマルウェアを検知した場合、多要素認証とデバイス可視化を実現する「Cisco Duo」との連携により、そのデバイスからのアクセス権を剝奪し、リソースへの侵入を防御します。

①ユーザは自分のデバイスを使ってアプリケーションにアクセス―②デバイス上で実行されているCisco Secure Endpointがマルウェア検出→③感染したデバイスをDuoに通知→④Duoは、そのデバイスがアプリにアクセスできないようにブロック

図2 Cisco DuoとCisco Secure Endpointとの連携でリソースへの侵入を防御

 

Cisco Secure Endpoint単体での対策も可能ですが、このようにCisco Duoとセットで対策を講じることで、より高度なセキュリティ対策が可能となります。NTTデータ ルウィーブでは、「Cisco Secure Endpoint」を、当社の環境でご体感いただけます。リモートワーク環境のセキュリティ強化に、ぜひその有用性をご確認ください。

 

◆Cisco Secure Endpointトライアル

https://network.nttdata-luweave.com/trial/