AD端末はエージェントレス導入が可能、幅広いデータ収集によりステルス型の脅威を検知
シマンテック、クラウド型EDR「Symantec EDR Cloud」発表
2018年09月20日 07時00分更新
シマンテックは2018年9月19日、エンドポイント端末における脅威の検出と対応(EDR:Endpoint Detection and Response)機能を提供するクラウドサービス「Symantec EDR Cloud」の記者説明会を開催した。日立システムズが同サービスを採用したマネージドEDRサービスを今年10月から提供することを発表しており、今回はそれに合わせて説明の機会を設けたという。
シマンテック エバンジェリストの髙岡隆佳氏は、従来型のセキュリティソリューションではもはや対応しきれず、その“防御壁”をすり抜けてしまう脅威への対抗策として、侵入後の検知と対応を迅速化するEDRが必要とされていることを説明する。
「現在、動的なURLおよびサイトは70%に達しており、そのうち22%が悪意を持ったサイトとなっている。また、企業トラフィックの20~60%がSSLによる暗号化通信であり、2017年までにマルウェアの50%は通信をSSL化した。それにより、既存のセキュリティ層を未知の脅威の50%以上がすり抜けている。さらにはセキュリティアラートの精査も追いつかず、事後対応になっているのが実態だ」(髙岡氏)
Symantec EDR Cloudは、あらゆるエンドポイントから詳細なイベントログや稼働状態データを収集し、クラウド型分析やAIを適用することでステルス性の高い攻撃侵入を検出し、攻撃行動をトラッキングすることができるエージェントレスのクラウドEDRサービスだ。すでにシマンテックでは「Symantec Endpoint Protection 14(SEP 14)」においてEDR機能を提供しているが、EDR単独のサービスとしてはこれが初めてとなる。髙岡氏は、これによってSEPを導入している企業にもそうでない企業にも、シマンテックからEDRが提供できるようになったと説明した。
「SEP14はすでにEDR機能を内包しており、単一エージェントで(オンプレミス型EDR製品の)『Symantec ATP(Advanced Threat Protection):Endpoint』が利用できる。それに加えて今回のSymantec EDR Cloudによって、他社製品を利用するユーザーに対してもEDR機能が提供できるようになった。ユーザーの運用環境や求める要件によって、EDRの導入方法を選択できる」(髙岡氏)
Symantec EDR Cloudの最大の特徴として、髙岡氏は「エージェントレス」を挙げた。WindowsのActive Directoryドメイン端末では、新たにエージェントをインストールする必要がない(LinuxやMacの場合はエージェントが必要)。
「一般的なEDR製品とは異なり、PCへのソフトウェア導入が不要なエージェントレス型なので、ソフトウェアのインストール作業や管理の手間をかけずにエンドポイントの脅威を可視化できる。アンチウイルスソフトを利用しており、これ以上エージェントを増やしたくないというユーザーにも適している」(髙岡氏)
ほとんどの競合EDR製品ではマルウェア攻撃にフォーカスした情報収集を行い、結果として限定的な情報を基に分析しているのに対し、Symantec EDR Cloudはカーネルを含めたコンピューター全体の稼働状態を収集/検査するというアプローチの違いもあると語る。機械学習技術の採用によって分析を自動化し、検出効率も大幅に向上させているという。
「これはSEP 14のEDR機能とは異なる点だ。現在は、分析のおよそ3割が自動化されていると言われるが、3年後には約7割が自動化すると予測されている。それを先取りした製品とも言える」「システム全体の状態を収集し、ニューラルネットワークを活用して、ソフトウェアやメモリ、ユーザー、ネットワークの挙動における異常値や例外値を検出する。脅威とポリシー違反を明確にすることができる」(髙岡氏)
さらに、16の市販ウイルス対策エンジン、オープンソースやサードパーティの脅威情報、顧客自身が持つ脅威情報も活用して「疑いスコア」を算出する。組織全体から収集したデータを使って、独自のデータモデリングを実現していることも強調した。
髙岡氏は「現在の攻撃の90%はWebとメール経由で実行されており、4秒ごとに世界のどこかで未知のマルウェアがダウンロードされている」と述べ、「今の環境では、クラウドを利用すること自体が、進んで脅威に被弾しに行くようなもの」だと述べた。
「(エンドポイントで検出した脅威を)叩いた後には、境界線をより厚くすることが大切である。Symantec EDR Cloudは、自動分析機能などによって、ネットワークセキュリティおよびエンドポイントセキュリティによる境界線の強化ができる」(髙岡氏)