2018年5月31日、カスペルスキーは法人向けEDR製品「Kaspersky Endpoint Detection and Response」を国内発売した。企業や組織を狙う標的型攻撃や未知の脅威が増加する中で、エンドポイントへの攻撃の兆候を素早く検知、分析し、影響範囲を把握して対応。ビジネスへの影響を最低限に抑える。
Kaspersky Endpoint Detection and Response(以下、KEDR)は、エンドポイントの動作情報を収集する「エンドポイントセンサー」、収集した情報を分析する「セントラルノード」、高度な分析を実行する「アドバンスドサンドボックス」で構成される。
Kaspersky Endpoint Detection and Responseの基本構成
カスペルスキー コーポレートビジネス本部 技術統括部 統括部長 関場哲也氏
カスペルスキー 専務執行役員 宮橋一郎氏
エンドポイントセンサーは、エンドポイントに常駐してログを収集し、圧縮したログをセントラルノードに送信する。なお、同社の法人向けエンドポイントセキュリティ製品「Kaspersky Endpoint Security 11 for Windows」に搭載されているエージェントをKEDRのエンドポイントセンサーとして利用することも可能だ。
セントラルノードは、アンチマルウェアエンジンなどの解析エンジンと、標的型攻撃アナライザーで構成される。標的型攻撃アナライザーは、機械学習エンジンと同社の脅威インテリジェンスネットワーク「Kaspersky Security Network(KSN)」とを組み合わせ、エンドポイントから収集したメタデータをデータベースに集積して解析、異常を検知してアラート通知する。APTレポートサービス(同社セキュリティアナリストによる詳細レポートの購読サービス)内のIOC(侵害の痕跡)を利用した分析や、脅威情報ルックアップサービスで提供されるハッシュ値や不審なURLなども検索可能。
Kaspersky Endpoint Detection and Responseの処理の流れ
アドバンスドサンドボックスは独自開発のサンドボックス。実際に隔離環境でマルウェアを動作させ、アプリケーション実行ログ、メモリダンプ、ファイルシステムやレジストリの変更、キーボードやマウスなどのI/O、エクスプロイト攻撃の結果や生成物などを収集することで、未知のマルウェアを検知する。サンドボックス回避機能を持つマルウェアにも対応しており、攻撃者が新たな回避手法を編み出しても、モジュールの更新によって最新手法に追随する。
KEDRはオンプレミスに構築することも可能。「コンプライアンス上の理由などからKSNなど外部に情報を送信したくないという要望に応える」(カスペルスキー 関場哲也氏)。
カスペルスキー 専務執行役員の宮橋一郎氏は、同社が昨年実施した調査結果を解説した。それによると「ウイルス/マルウェア感染を経験した」組織は、グローバル全体が49%だったのに対して日本は36%と比較的低い結果だった。ただし「標的型攻撃を経験した」組織を見ると、グローバル全体の27%と変わらない26%だったという。
また、同社のGReAT(グローバル調査分析チーム)が発表したレポートでは、2017年における高度な標的型攻撃の対象国として日本は9位にランクインしている。侵入後の検知が難しく、攻撃者のサンドボックス回避技術や耐解析技術によって解析も厳しく、さらに専任人材もいないのが日本の組織の現状であり、KEDRはそこを補完するソリューションと宮橋氏は述べる。
Kaspersky Endpoint Detection and Responseのライセンスは、サンドボックスなしの「Standard」、サンドボックスありの「Advanced」、KATA Platformへのアドオン「Add-on」の3種類。価格はオープン。参考価格は、Standardライセンスが1000ノード/新規1年ライセンスの場合は638万円、Advancedライセンスが同じ構成で936万円(いずれも税別)。
