AIを搭載した脅威検知エンジンで、未知のウイルスを迎え撃つ

※下記は自治体通信 Vol.45（2022年12月号）から抜粋し、記事は取材時のものです。

高知県

総務部 デジタル政策課 主幹

山端 桂祐 やまはた けいすけ

徳島県の病院で大きな被害。従来の対策に不安を感じた

―情報セキュリティ対策を強化した理由を聞かせてください。

　従来の対策では、巧妙化する最新のサイバー攻撃を防げない可能性が高まっていると不安を感じたからです。実際に昨年10月、隣の徳島県の病院が「ランサムウェア*1攻撃」を受け、電子カルテシステムが使えなくなる被害に遭いました。当県は情報セキュリティ対策として、ネットワーク分離以外に、エンドポイントセキュリティを強化し、日常業務やテレワークなどで使用する約6,500台のパソコン端末やそれらに紐付くVDIなどに、ウイルス対策ソフトウェアを導入しています。しかし、今回の病院以外でもサイバー攻撃の被害が後を絶たず、私たちの対策で十分なのか不安を感じ、従来のソフトウェアを見直すことにしました。

―どのような見直しを進めたのでしょう。

　複数のウイルス対策事業者から話を聞いて検討を進めました。そして、令和4年4月に入札を行った結果、クラウドストライク社の『FALCON』というソフトウェアなどを選定、令和4年7月から一部先行導入しています。最新のサイバー攻撃も防げる可能性の高い仕組みだと考えたからです。

―そう考えた理由はなんですか。

　従来のソフトウェアは、良く知られているように、過去に発見されたマルウェアのファイル情報を「シグニチャ」としてリスト化し、そのリストに合致したファイルを持つ脅威だけを検知する仕組みです。その場合、シグニチャにはないファイルだとマルウェアとして検知されません。近年は、ファイル自体を持たない巧妙な攻撃も多く、検知がさらに困難になっています。それに対して、『FALCON』は、AIによる独自の機械学習で振る舞い検知を行い、マルウェアを検出する仕組みだといいます。マルウェア特有の「行動パターン」を分析して検知するため、新たな脅威にも対応できるらしいのです。

　さらに『FALCON』は、運用や管理の面についても大きな特徴がありました。

管理サーバが不要で、費用負担も抑えられる

―どのような特徴でしょう。

　『FALCON』は、シグニチャに基づかずに脅威を分析する仕組みであることから、端末内でシグニチャをアップデートしたりスキャンしたりする必要がありません。そのため、端末の動作が遅くなり業務効率が低下してしまうことがないのです。

　さらに、クラウド型の製品であるため管理サーバが不要で、保守メンテナンス費を大幅に軽減できます。そのほか、今後導入を検討している「EDR*2機能」などの機能追加に際しても、個別にプログラミングすることなく速やかに実行できることも、ありがたいですね。

クラウドストライク合同会社

公共営業本部 リージョナル・セールス・マネージャー CISM

神村 浩二 かみむら こうじ

―情報セキュリティ対策を見直すうえで、自治体はどのような点に留意すべきでしょう。

　私は2点あると考えています。1点目は、未知の脅威にも対抗できる新たな技術を導入することです。警察庁の資料*3によると、サイバー攻撃の被害にあった企業・団体のうち、実に92%が「ウイルス対策ソフトウェアを導入していた」と回答しています。ファイルをベースとした既存のウイルス対策だけでは、もはや限界と言わざるを得ません。

　2点目は、業務効率や利便性とセキュリティを両立させることです。いくら情報セキュリティが強化されても、実際の業務に支障をきたすようでは本末転倒です。安全・安心に業務を行える仕組みづくりが重要です。

―良い方法はありますか。

　AIを活用し、未知のマルウェアやファイルレス攻撃を検知・防御する当社の『FALCON』は、1つの解になり得ます。当社は、世界で1万9,600社以上におよぶ企業のエンドポイントセキュリティ対策を支援しています*4。クラウドネイティブの仕組みで日々蓄積する世界中の脅威情報をAIが学習し、当社が持つ脅威情報と併せて分析してマルウェアを検知します。また『FALCON』は、軽量のソフトウェアをインストールするだけで利用でき、各端末の運用負荷を軽減できるのも特徴です。

―自治体に対する今後の支援方針を聞かせてください。

　まさに、「次世代型アンチウイルス」である『FALCON』を通じて、自治体の情報セキュリティ対策を強力に支援します。ぜひ当社にお問い合わせください。