11月7日、機械学習を用いたエンドポイントセキュリティ製品を提供するCylance Japanは、事後対策としてのEDR機能を提供する「CylanceOPTICS」を発表した。マルウェアを遮断するCylancePROTECTと統合した「CylancePROTECT with OPTICS」として脅威分析、検知、対応などいわゆるEPR(Endpoint Prevention and Response)までをカバーする。
侵害が起こった後の対策を提供するCylanceOPTICS
CylanceOPTICSは脅威分析や検知、対処を実現するオプション機能で、マルウェアを遮断するCylancePROTECTを補完する役割を持つ。CylancePROTECTの事前対策とCylanceOPTICSの事後対策を両方提供することで、攻撃による実被害を限りなくゼロに近づける狙いがある。
Cylanceの製品とサービス
機械学習によってファイル構造(DNA)を学習することで、99.7%(同社調べ)という高いマルウェア防御率を実現するCylancePROTECTは、グローバルで1000万台以上の稼働実績を誇っている。しかし、CylancePRTECTはあくまでマルウェアからの攻撃を遮断するという役割にフォーカスしていたため、SOC(Security Operation Center)の運用で必要になる脅威の可視化や検出、インシデント対応まではカバーしていなかったという。
これに対してCylanceOPTICSでは端末のイベント情報を分析することで、脅威がどのような侵入経路で来たのかを調査できるほか、ファイルやネットワーク接続、プロセス、レジストリキーなどで脅威を検索するハウンティングも可能になっている。
CylanceOPTICSが提供する機能
また、攻撃の拡大を食い止めるための端末の自動隔離(ロックダウン)も実現するほか、事前定義されたルールによって端末の挙動から脅威を検知・対処することまで可能になっている。さらに2017年末からは機械学習のデータモデルによってイベントから動的に脅威を検知する「ML PACKS(仮称)」という機能も2017年末に提供される予定となっている。
脅威ゼロを実現するコンサルティングサービスも本格開始
CylanceOPTICSはCylancePROTECTのオプションとして提供されており、コンソールは完全に統合されている。CylancePROTECTと同じく機械学習を用いて、イベント分析を行ない、迅速な防御可能になるという。
他のEDR(Endpoint Detection and Response)製品との違いはあくまで防御を前提にしているという点。サイランスの乙部氏は「現在のアンチウイルス製品の検知率はよくても50%。100件攻撃があれば、50件は漏れてしまうので、EDRの負荷も大きい。しかし、Cylanceはあくまで防御がわれわれのアプローチ。CylancePROTECTをすり抜けたインシデントだけを対応する」と説明し、CylancePROTECTで漏らした脅威をあぶり出し、いち早く防御態勢を固めていくのがポイントだという。
Cylance Japan 最高技術責任者 (CTO) 乙部 幸一朗氏
今回のCylanceOPTICSの発表にあわせてコンサルティングサービスも本格に開始する。レッドチームによるサイバー攻撃に対する防御態勢の評価や標的型攻撃の侵害診断、インシデント内容の分析と封じ込め、ユーザーに最適化された導入を実現する導入支援サービス「ThreatZERO」、新しい脅威に対するハンティングなどを提供する。
