EDRの「FireEye HX」で仮想化/クラウド対応、アンチウイルス機能も統合するインパクト
ファイア・アイがエンドポイントセキュリティに注力する理由
2017年07月28日 07時00分更新
ファイア・アイが次世代エンドポイントセキュリティへの取り組みを強化している。今年(2017年)第3四半期までには、EDR(Endpoint Detection & Response)ソリューションである「FireEye HX」シリーズにおいて、クラウド/仮想アプライアンス版の管理サーバーや、アンチウイルス機能などを盛り込んだエージェントを提供開始する予定だ。
「高度化するサイバー脅威に対抗するためには、従来型のエンドポイントセキュリティ製品ではもはや対応不可能だ」と強調する同社プロダクトマネジメント担当VPのディーン・チョーザ氏は、ファイア・アイでは顧客のセキュリティ対策成熟度に応じた「3ステップ」のエンドポイントセキュリティを提供できると説明する。その背景を聞いた。(インタビュー実施日:2017年6月16日)
ファイア・アイ プロダクトマネジメント担当VPのディーン・チョーザ(Dean Coza)氏
「もはや侵入は防げない」時代のエンドポイントセキュリティとは
従来型のエンドポイントセキュリティとEDRとの大きな違いは、その名前が示唆するとおり、マルウェアなどの脅威の侵入を「防御」するだけでなく、迅速に「検知(Detection)」して「対処(Response)」することに重点が置かれている点だ。
その背景にはサイバー攻撃の高度化と複雑化がある。標的型攻撃の隆盛もあり、もはやセキュリティ侵害(攻撃者の侵入)を完全に防ぐことは不可能になった。そのため、次のステップとして、検知とインシデントレスポンスを迅速化して「被害を最小限に食い止める」対策が必要だというのが、セキュリティ業界における共通認識となっている。
チョーザ氏も、高度な脅威に対抗してセキュリティを担保していくためには「3つのステップ」があると、次のように説明した。
「従来のファイア・アイ製品(FireEye NXやMX)を導入している顧客は、WebやEメール経由で侵入しようとしてくる、これまで検知できなかったような脅威を(サンドボックスのMVXエンジンなどの技術で)可視化し、防御できる。ただしこれは、高度な脅威に対抗してセキュリティを担保していく3ステップの『第1段階』に過ぎない」(チョーザ氏)
それでは第2段階、第3段階とは何か。チョーザ氏は、第2段階はFireEye HXが提供する「侵入してしまった脅威への迅速なレスポンス」であり、第3段階は統合プラットフォームの「FireEye Helix」が提供する「複雑なセキュリティオペレーションの自動化と効率化」だと語る。
HXでは、社内の全エンドポイントを対象とした脅威の検出/防御だけでなく、社内に拡散した脅威の詳細な調査や分析、感染エンドポイントの早急な隔離とログ解析、といった作業が簡単に行える。またHelixは、FireEye NX/MX/HXおよびサードパーティセキュリティ製品からの情報収集と分析を行い、Webインタフェースで社内の脅威状況やインシデントの一元管理ができる製品だ。
「今日では、セキュリティ侵害(侵入)は避けられない。なので、その被害や影響を最小限に食い止めるためには、対応のスピードが重要になってくる。マンディアントの調査によると、現状のインシデントレスポンスは平均で『99日間』もかかっているが、HXやHelixを利用することで、これを『数分単位』に短縮していくのが理想だ」(チョーザ氏)
FireEye HXの管理ダッシュボード(画像はデモビデオより)
効果の薄いアンチウイルス製品に費やす予算をEDR導入に再配分せよ
EDR市場におけるFireEye HXの強みは、ファイア・アイとマンディアントチームがそれぞれ培ってきた専門知識をうまく組み合わせ、脅威の最前線で収集される情報(インテリジェンス)と対応能力を発揮できる点だと、チョーザ氏は語った。
「エンドポイントにおける検知やフォレンジック(調査)の機能に加え、マンディアントチームによる“深い調査”ができる点が競合優位性を生んでいる。HXでは、インテリジェンスベース、エクスプロイト/ふるまい分析、ファイル/マルウェアベースの機械学習という『3つの(脅威検知の)アプローチ』を、1つのエージェントに統合して提供している」(チョーザ氏)
さらに今年第3四半期には、エージェントにアンチウイルス機能も追加される予定だ。顧客にとってそのインパクトは小さくないはずだと、チョーザ氏は期待を語る。脅威が高度化する中で、旧来型のアンチウイルスが果たす役割は小さくなっている。アンチウイルス製品を別途購入する必要がなくなれば、そのぶんのセキュリティ予算が浮くことになる。
「(シグネチャベースの)アンチウイルス製品は『既知の』脅威を検知し、駆除するのが役割だ。しかし、顧客からは『既存のアンチウイルスはもはや信用できない、効果がない』という声を聞く。アンチウイルスに多くのセキュリティ予算を費やすのではなく、予算を再配分して、より高度なEDRの導入に進むべきときだ」(チョーザ氏)
HXの顧客は、HXエージェントが提供予定のアンチウイルス機能、あるいはWindowsが標準搭載する「Windows Defender」(および暗号化の「BitLocker」など)を活用することで、これまでエンドポイントスイート製品に費やしてきた予算をほかのセキュリティ対策に回すことができる。それがファイア・アイの狙いだ。
また今回、HXの管理サーバーにおいて、従来の物理アプライアンスに加えて、仮想アプライアンスやクラウドサービスという選択肢も追加された。これは「クラウド移行とデプロイの柔軟さ」を望む顧客の声に応えたものだと、チョーザ氏は語る。
「アプライアンスの管理が不要であり、サブスクリプションベースで購入できるクラウドベースのHXは、特に中小規模の企業にとって魅力的だと考えている。日本でも中小企業での採用が高まるのでは、と期待している」(チョーザ氏)
ファイア・アイでは、HXに限らず、Helixも含むプロダクト全体をクラウドサービスとして提供する“Security as a Service”化を推進している。そうした中で、エンドポイントセキュリティは重要な要素であると、チョーザ氏は強調した。
「次世代のセキュリティオペレーションにおいて、エンドポイントセキュリティはキーテクノロジーのひとつだと考えている」(チョーザ氏)
