11月7日、機械学習を用いたエンドポイントセキュリティ製品を提供するCylance Japanは、事後対策としてのEDR機能を提供する「CylanceOPTICS」を発表した。マルウェアを遮断するCylancePROTECTと統合した「CylancePROTECT with OPTICS」として脅威分析、検知、対応などいわゆるEPR(Endpoint Prevention and Response)までをカバーする。
侵害が起こった後の対策を提供するCylanceOPTICS
CylanceOPTICSは脅威分析や検知、対処を実現するオプション機能で、マルウェアを遮断するCylancePROTECTを補完する役割を持つ。CylancePROTECTの事前対策とCylanceOPTICSの事後対策を両方提供することで、攻撃による実被害を限りなくゼロに近づける狙いがある。
Cylanceの製品とサービス
機械学習によってファイル構造(DNA)を学習することで、99.7%(同社調べ)という高いマルウェア防御率を実現するCylancePROTECTは、グローバルで1000万台以上の稼働実績を誇っている。しかし、CylancePRTECTはあくまでマルウェアからの攻撃を遮断するという役割にフォーカスしていたため、SOC(Security Operation Center)の運用で必要になる脅威の可視化や検出、インシデント対応まではカバーしていなかったという。
これに対してCylanceOPTICSでは端末のイベント情報を分析することで、脅威がどのような侵入経路で来たのかを調査できるほか、ファイルやネットワーク接続、プロセス、レジストリキーなどで脅威を検索するハウンティングも可能になっている。
CylanceOPTICSが提供する機能
また、攻撃の拡大を食い止めるための端末の自動隔離(ロックダウン)も実現するほか、事前定義されたルールによって端末の挙動から脅威を検知・対処することまで可能になっている。さらに2017年末からは機械学習のデータモデルによってイベントから動的に脅威を検知する「ML PACKS(仮称)」という機能も2017年末に提供される予定となっている。
脅威ゼロを実現するコンサルティングサービスも本格開始
CylanceOPTICSはCylancePROTECTのオプションとして提供されており、コンソールは完全に統合されている。CylancePROTECTと同じく機械学習を用いて、イベント分析を行ない、迅速な防御可能になるという。
他のEDR(Endpoint Detection and Response)製品との違いはあくまで防御を前提にしているという点。サイランスの乙部氏は「現在のアンチウイルス製品の検知率はよくても50%。100件攻撃があれば、50件は漏れてしまうので、EDRの負荷も大きい。しかし、Cylanceはあくまで防御がわれわれのアプローチ。CylancePROTECTをすり抜けたインシデントだけを対応する」と説明し、CylancePROTECTで漏らした脅威をあぶり出し、いち早く防御態勢を固めていくのがポイントだという。
Cylance Japan 最高技術責任者 (CTO) 乙部 幸一朗氏
今回のCylanceOPTICSの発表にあわせてコンサルティングサービスも本格に開始する。レッドチームによるサイバー攻撃に対する防御態勢の評価や標的型攻撃の侵害診断、インシデント内容の分析と封じ込め、ユーザーに最適化された導入を実現する導入支援サービス「ThreatZERO」、新しい脅威に対するハンティングなどを提供する。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
