企業エンドポイントの包括的な脅威検出/監視/対応、対応の自動化も促進
インシデント対応を24時間→数分に「McAfee Active Response」
2016年01月29日 06時00分更新
インテル セキュリティ(マカフィー)は1月28日、企業エンドポイントにおける脅威検出/可視化/対応のためのソリューション、「McAfee Active Response」の提供を開始した。「脅威対策のライフサイクル」に着目し、インシデントレスポンスの時間短縮を図るとともに、セキュリティ担当者の負荷を軽減する。
米インテル セキュリティ アドバンスドスレットディフェンス テクニカルディレクターのスコット・タシュラー氏
マカフィー マーケティング本部 ソリューション・マーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏
McAfee Active Responseは、エンドポイントにおける脅威検知や監視、対応のためのソリューション。同社の脅威対策プラットフォームを構成する1コンポーネントとなる。
McAfeeエンドポイント脅威対策プラットフォーム
「McAfee Agent」がインストールされたクライアント(Windows、Linux)から、セキュリティイベントやステータスなどの情報をサーバーに収集/蓄積/監視するソフトウェア。管理コンソールは「McAfee ePolicy Orchestrator(ePO)」と統合されており、社内の全エンドポイントを対象としたマルウェアファイルやプロセスのリアルタイム検索ができる。
「McAfee Active Response」の特徴。企業エンドポイントにおけるインシデントレスポンスを効率化する
「McAfee Active Response」の主な機能。エンドポイント情報の収集から監視/検出/対応(自動化含む)まで
また、ポリシーに基づいて管理者へのアラートを上げるだけではなく、エンドポイントのネットワーク隔離や自動情報収集、マルウェアプロセスの停止など、インシデントの一次対応アクションも自動実行させることができる。
参考価格(税抜)は、対象エンドポイント100台で83万7000円となっている。
脅威対策の統合プラットフォームで「学習」と「自動化」を
インテル セキュリティでは、防御~検知~復旧という「脅威対策のライフサイクル」に着目し、その効率化によるインシデントレスポンス時間の短縮と、担当者の負担軽減を提唱している。
攻撃者の侵入にかかる時間(防御)を引き延ばす一方で、検知/復旧を迅速化することを目標としている
米インテルのスコット・タシュラー氏は、インシデントレスポンスにかかる2つの課題として「時間」と「知識」を挙げた。攻撃が激しくなる中で防御側は効率的に時間を使わなければならず、また高度なセキュリティ人材がいなくとも的確で迅速な対処ができなければならない、という意味だ。
インテル セキュリティの内部検証によると、McAfee Active Responseを含む同社脅威対策プラットフォームの導入によって、IOC(セキュリティ脅威の兆候や攻撃の痕跡の情報)を入手してからの対応時間が大幅に短縮されるという。たとえばファイアウォールの設定変更など「防御」の確立はおよそ4時間から1分に、発見されたマルウェアの全エンドポイントでの対応は24時間から7分に、それぞれ短縮されたと述べた。
従来のサイロ化された脅威対策と、統合された対策プラットフォームの時間比較
また、エンドポイント上のマルウェアファイルやプロセスをリアルタイムに調査するための検索機能は「自然言語に近い」検索ワードの入力で実行できるため、「〔セキュリティに関する高度な〕スキルセットがなくても、調査を実施できる」と述べた。同様に、感染エンドポイントの隔離や不正プロセスの停止などの対応も、コンソールから簡単に実行できる。
マカフィーの中村穣氏は、脅威対策のライフサイクルは徐々に短縮されつつあるが「まだまだ短縮できると考えている」と述べ、その鍵は「自動化」と「学習」が握ると語った。ここで言う“学習”とは、インシデント対応を進める中で得られたさまざまな知見を即座にプラットフォーム全体にフィードバック(共有)して、全体の迅速なセキュリティ強化に生かすものだ。
具体的な例として、中村氏は企業内へのマルウェア侵入を挙げて説明した。従業員が未知のマルウェアファイルをダウンロードしてしまった場合、サンドボックスが解析を完了するまでの間に、エンドポイントではそのファイルが実行されてしまっているかもしれない。マルウェアを検知した段階でイベントログを過去にさかのぼり、「ユーザーがそのファイルを開いた」という情報があれば、エンドポイントセキュリティが自動処理で被害の進行を食い止められる。
セキュリティ対策製品が情報共有/協調動作することで、事後(感染後)でも進行が阻止できる
インテル セキュリティでは、今後さらにこのプラットフォームに基づく各製品間の連携を強化していく方針。
「過去を振り返ると、セキュリティは“スーパーな人”“スペシャルな人”に頼るところが大きかったかもしれない。しかし、攻撃側が組織化し、巧妙化している中で、そういう人だけで防御ができるだろうか。より多くの人が知見を持ち、防御に参加して守りを固めることで、攻撃側は大変になる。インテル セキュリティとしては、こうした『知見と洞察』を与える基盤を提供していきたい」(中村氏)
