独自技術てんこ盛りの「McAfee Complete Endpoint Protection」はお得
マカフィーのエンドポイント対策は「リアルタイムな可視化」搭載
2013年10月15日 06時00分更新
マカフィーの「McAfee Complete Endpoint Protection」は名前の通り、エンドポイントを保護するためにさまざまな機能を包括的に提供するスイート製品だ。他社にない独自の検出技術のほか、Real Time ePOの追加でリアルタイムな可視化が実現する。
複雑化する攻撃にこそスイートが効く
マルウェアは2~3年で急激に増えている。マカフィーによると新しいマルウェアのサンプル数は、2012年第4四半期から2013年第1四半期には22%増加しているという。単に数が増えているだけではなく、巧妙化しているのも特徴。マカフィーのマーケティング本部 プロダクトマーケティング部 スペシャリストの松久育紀氏は、「単純にPCを壊すというものはもはや少ない。ユーザーをだますため、プロセスが複雑化している」と語る。
最近の攻撃はおもに4段階のフェーズを経るという。まず物理的なアクセスやメッセージ、不正なWebサイトからの接触を経て、標的のマシンに対して最初のコードをローカルで実行。その後、マルウェア本体のダウンロードや特権昇格、システムへの潜伏など存在を確立してから、拡散やボット活動、アドウェア、改ざんなどの不正活動に移る。
また、攻撃の対象となるエンドポイントは従来のようなPCにとどまらず、スマートフォンやタブレット、産業機器、キオスク端末、あるいはデータセンターにまで拡がっている。こうしたエンドポイントごとに別のコンソールやサーバー、ソフトウェア、データベースなどがあると管理は複雑になり、運用の負荷は増加する一方だ。「異なる製品を使うと運用の負担が大きくなるが、スイートだとアップデートも容易だ」(松久氏)。
これに対してマカフィーの次世代エンドポイント製品「McAfee Complete Endpoint Protection」は、前述した攻撃の4つのフェーズに対応するほか、さまざまなエンドポイントに対応した統合管理を実現するという。これにより、シンプル、高速、強固という3つのポイントを満たす。
McAfee Complete Endpoint Protectionでは、アンチウイルスやIPS、ファイアウォールのみならず、脆弱性分析やサイト評価、ホワイトリスト、モバイルデバイス管理、Webフィルタリング、アプリケーションコントロール、デバイス暗号化、ルートキット対策などのツールを包括的に提供している。松久氏は「複数の製品を組み合わせて、統合的に管理できるのが大きなメリット。実は、使っているといろんなものが必要であることに、あとから気づく」と語る。
他社とひと味違うマカフィーのエンドポイント対策
他社にないユニークな製品としては、未知のルートキットを検出する「Deep Defender」が挙げられる。アプリケーションやOSのリクエストを横取りし、管理者権限を乗っ取ったり、マルウェアをステルス化するルートキットは非常に脅威だが、特にOSのカーネルやマスターブートレコードなどに潜伏すると検出は困難になる。特に最近は新種が増加したため、シグネチャによる検出が難しく、ルートキットを作成するツールも容易に導入できるという状況がある。これに対してDeep Defenderはマカフィーとインテルが共同開発した新技術で、ハードウェアの支援を得ることで、ルートキットを確実に可視化。リアルタイムでカーネルメモリを保護し、ルートキットを感染する前にブロックする。
また、ホワイトリスト型の防御を提供する「McAfee Application Control」もユニークだ。許可されたプログラムのみを動作を許可するので、非常に安心だ。「リソースの消費も小さくなるので、産業機器や古いシステムによく使われている」とのことだ。
その他、PCとモバイルデバイスを統合管理するMDMの「Enterprise Moblity Manager」や、脆弱性の可視化やレポートなどを実現する「Risk Advisor」、ノートPCのデータを暗号化し、情報漏えいを防ぐ「Drive Encryption」なども搭載。「Deep DefenderやApplication Controlなどもスイートに含まれているのでコスト面でもメリットがある。また、他社は製品によって管理コンソールが違うことも多いが、マカフィーでは統合管理を実現している」(松久氏)という。
リアルタイムに可視化する「Real Time ePO」
スイートに新たに追加された「Real Time ePO」は、セキュリティに関わる現状を名前の通りリアルタイムで可視化するものだ。「誰が、どこで、なにを実行しているのかを、リアルタイムに把握できる」(マカフィー マーケティング本部 テクニカルソリューションズ ディレクター ブルース・スネル氏)。
実際に2300ものシステムを使ったデモのビデオを見せてもらった。Real Time ePOでユニークなのは、「動いているアプリケーションを調べろ」「Windows Updateを停止しているマシンを検出しろ」と自然言語で検索することで、リアルタイムに状況を見える化する。ユニークなのは、インベントリを調べているのではなく、ホストのメモリからまさにリアルタイムに情報を持ってきているという点だ。「本当に必要なところにのみ検出して、アクションがとれる」(スネル氏)。
特徴的なのはそのスピードだ。デモを見た限り、システムの数に対して、結果を得る時間がとても短い。「サーバーとクライアントではなく、P2Pのアーキテクチャを使っており、エージェント同士が自律的に情報を集めるので、スピーディにレスポンスを得ることができる」。
「たとえば、アウトブレイクに迅速に対応することができる。APT攻撃を受け、レジストリキーを改ざんしてしまう場合など、これらをスピーディに検知できる」(スネル氏)とのことで、マカフィー社内では「ハンターツール」とも、「セーフネットツール」とも呼ばれているという。攻撃の事後対策に効果を発揮しそうなRealTime ePOは、ローカライズを経て、2014年に導入する予定となっている。
脆弱性を巧妙に突いてくる昨今の攻撃に、いち早く対応するのはなかなか困難だ。最新のプロテクトはもちろんだが、攻撃を受けてしまった場合の事後処理を迅速に行なえるように対策しておくのも、今後のセキュリティ対策において重要なポイントといえる。その点、包括的な防御と統合管理を見据えたマカフィーのアプローチは、理にかなったものといえる。