事後対応からライブ対応、そして“事前対応”へ進化するHXシリーズ
企業内のエンドポイントで発生するセキュリティ侵害(インシデント)を検知し、エンドポイントからイベントログなどの膨大な情報を収集して解析可能にするHXシリーズでは、最新版のv3.0がリリースされている(関連記事)。
田中氏は、元々HXは「エンドポイントにおけるインシデントレスポンスのためのツール」として開発されたと説明する。DTIが提供する高度なインテリジェンスに基づいてインシデントを検知するだけでなく、その脅威レベルを判定して対応優先度を付け、ほかのエンドポイントも含む影響範囲を迅速に調査することができるからだ。
さらに、HXアプライアンス1台で10万台のエンドポイントに対応する点も特徴だ。堀田氏によると、通常、インシデントレスポンスにおけるフォレンジック調査には1台数十万~100万円程度のコストがかかり、全台調査の障壁となる。HXを導入することで「エンドポイントの規模が大きくても現実的なコストに抑えられます」と語る。
そして最新版のv3.0では、元々の目的である「インシデント発生後の迅速な対応」だけでなく、「すでに内在している(社内に侵入済みの)脅威を、より“能動的”に検査する機能」(田中氏)にも手を広げているという。それが「エンタープライズサーチ」機能だ。
エンタープライズサーチでは、ファイル名やハッシュ値、ファルサイズなどさまざまな検索条件で、社内の全エンドポイントを検索できる。たとえば潜在しているマルウェアを検索し、拡散範囲を特定する際に有益な機能だ。
さらに、マルウェア側の進化に対応して「ライブレスポンス」機能も追加されている。これは、検出を難しくするためにメモリ上に常駐する(ディスク上に痕跡を残さない)タイプのマルウェア(関連記事)に対抗するため、稼働中のエンドポイントから実行中のプロセス情報やメモリダンプを取得するというものだ。「ライブレスポンスにエンタープライズサーチを加えたことで、より能動的に内在する脅威を発見できます」(田中氏)。
最後に田中氏は、HXシリーズにおける今後1年間の機能拡張の方向性について説明した。
これまでのHXシリーズでは、主にインシデント発生後の受動的な対応に焦点が置かれていたが、今後はよりプロアクティブなアクションへと機能を拡張していくという。具体的には、APTの第1ステップである「侵入」を防ぐためのエクスプロイト検知能力をエンドポイント上に実装するほか、ファイア・アイ他製品のMVXエンジンへの情報提供/連携機能も実現していく。また、OS XやLinux対応のエージェントもリリースする予定だ。
「シグネチャ型のアンチウイルス技術の限界はすでに見えています。将来的には、エンドポイントにおけるその役割を小さくして、代わりにHX(が提供するエクスプロイト検知能力)がそれを補完する、ということを考えています」(田中氏)