最新版V1.5もまもなく登場! インシデントレスポンスの迅速化と省力化/自動化を支援する機能群

より高度な攻撃への対抗も、ESETのEDR「ESET Enterprise Inspector」最新機能を知る

文●大塚昭彦/TECH.ASCII.jp

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 サイバー攻撃の多様化と巧妙化が進み、世界中で大規模なインシデントの発生が繰り返し報じられる中で、攻撃発生後の迅速なインシデントレスポンスを実現するソリューションとしてEDR(エンドポイント検知/対応)製品が注目を集めている。

 ESETではEDR製品として「ESET Enterprise Inspector」をラインアップしている。ASCII.jpではこれまで、一昨年の国内販売開始時昨年の「EDR運用監視サービス」の提供開始時に、同製品を詳しく紹介してきた。

 ESET Enterprise Inspector(以下、EEI)では、その後のバージョンアップによってさらに高度な機能が盛り込まれており、まもなく最新版(V1.5)も国内リリース予定だ。今回はあらためてEEIの特徴を振り返りながら、最新版も含めた機能強化ポイントについてご紹介しよう。

「ESET Enterprise Inspector(EEI)」のコンソール画面

「事後対策」を担う製品、ESETシリーズとの連携統合で効率的

 ESETでは幅広いエンドポイントセキュリティ製品をラインアップしているが、その中でEEIは「攻撃が成立した後の対応(事後対策)」を担う製品と位置づけられている。

 シリーズの中で最もよく知られる「ESET Endpoint Protection(EEP)シリーズ」は、フィッシング攻撃をブロックする、マルウェアの侵入や実行を防ぐなど、サイバー攻撃の「事前対策(未然対策)」を行う製品群である。その一方でEEIは、EEP単体では見つけづらい標的型攻撃などを検知するとともに、「どんな攻撃手法が使われたのか」「どこまで攻撃が拡大しているのか」「攻撃者の狙いは何か」といった詳細な事後調査も可能にする。

 つまり、両製品を組み合わせて“事前対策+事後対策”の構えをとることで、より高度なセキュリティ対策が可能になるわけだ。特に現在はリモートワーク/在宅勤務も増え、従来のような「境界防御」では守れないエンドポイントも増えており、そのためのセキュリティ強化策としても有効だ。

ESETの製品ラインアップでは、事前対策をEEPシリーズが、事後対策をEEIがカバーするかたちとなっている

 同じESET製品である利点を生かし、EEPとEEIはシームレスな統合連携も図っている。たとえば、EEIのエージェントがエンドポイントのプロセス情報などを収集する際には、EEPがそのセンサーの役割を担う構成になっており、無駄なリソースを消費しない。もちろん、EEPで検出したマルウェアの情報はEEIにも情報連携される。異なるベンダー製品を組み合わせた際に起こりがちな、機能の重複や競合、管理ツールやダッシュボードの分断といったこともない。

 以前の記事でも紹介したように、EDR製品としてのEEIは「使いやすい」という特徴を持つ。エンドポイント全体の現状を一目で把握できるダッシュボード、発生した事象の対応優先順位付け、攻撃内容の調査を容易にするプロセスツリーなどのGUIを備えるほか、侵害が疑われるエンドポイントの隔離やプロセス強制停止、攻撃により書き込まれたレジストリの削除といった初動対応もワンクリックでできる。こうした「使いやすい」特徴は、攻撃発生後の迅速な判断と対処の実施を力強くサポートしてくれる。

 またEEIでは、ESETが展開するクラウドベースシステム「ESET LiveGrid」と連携して、グローバルに収集/分析されている脅威情報をリアルタイムに活用できる。LiveGridでは、ESET製品を導入する1億1,000万台以上のエンドポイントから攻撃が疑われるサンプルを収集し、セキュリティ専門家と機械学習システム「Augur」によって迅速に分析を行ったうえで、その情報を提供している。これにより疑わしいオブジェクト(ファイルやURL、IPアドレスなど)を、最新の“グローバルな知見”に基づいて判定できるわけだ。

最新機能によって迅速、効率的なインシデントレスポンスを可能に

 ここまで紹介してきたのは、EEIが従来から備える特徴や機能である。現在提供中のV1.4やまもなく登場予定の最新版V1.5では、さらなる機能強化によって、より迅速かつ効率的にインシデントレスポンスが実行できるようになっている。「使いやすい」特徴はそのままに、より高機能になっていると言えるだろう。

 まずはリモートPowerShellによる「ライブレスポンス機能」である。これは、管理者が操作するEEIのWebコンソールから直接、管理下にあるエンドポイント上でPowerShellコマンドをリモート実行できる機能だ。これにより、攻撃被害が発生した場合でもその現場に出向くことなく、なおかつユーザーの業務利用も止めることなく、重要ファイルのバックアップや詳細調査のための情報/イベントログ取得、攻撃により生成されたファイルやレジストリの削除といった作業ができる。

管理コンソールからリモートでPowerShellコマンドを実行できる「ライブレスポンス機能」

 また、コンソールに表示される攻撃アラートのリンクから「MITRE ATT&CK Framework」のリファレンスをワンクリックで参照できる機能も追加されている。攻撃に使われたテクニックの詳細について説明されているため、「具体的に何が起きたのか」「どう対処すべきか」を判断しやすくなっている。

検知された攻撃について「MITRE ATT&CK Framework」をクリック1つで参照できる機能

 外部ナレッジの活用という点では、検知された疑わしいファイルを「VirusTotal」サービスで判定した結果もワンクリックで参照できるようになっている。VirusTotalではESET以外の他社エンジンによる判定もできるので、疑わしいファイルをより厳密に調査可能だ。なお、ファイルそのものではなくハッシュ値を送信して照合を行う仕組みなので、情報漏洩の心配もなく安心して活用できる。

VirusTotalとも連携し、他社エンジンでの判定結果も即座に表示できる

 セキュリティ運用を省力化、効率化する機能も強化されている。たとえばアラートが発生した際に、初動対応となる「検体の取得」「不審なプロセスの停止」「侵害が疑われる端末のネットワーク隔離」といった各種操作をWebコンソールからワンクリックで行えるようになっている。さらには、あらかじめ用意したルールに従ってこれらのアクション実行を自動化することも可能で、対処を迅速化しつつセキュリティ管理者の業務負担を減らせるようになっている。

 またEEIは、SIEMやSOARといった外部統合運用ツールとAPIで連携できる。たとえばEEIが収集/分析したデータをSIEMやSOARに連携することで、SIEM上で他の情報と統合したうえで閲覧したり、SOARによるアクションの自動化に役立てたりすることができる。さらにV1.5からはEEIへのルールのインポートも可能になっており、より高度な連携と自動化を図ることができる。

スキル人材確保という課題を解消する「EDR運用監視サービス」も

 EDRは「導入すれば効果が出る」タイプの製品ではなく、セキュリティスキルを持った人材がそれを使いこなしてこそ意味を持つ。そのためEDR導入に際しては、高度なスキルを持つセキュリティ人材をどう確保するのかも大きな課題となる。人材確保ができないためにEDRを導入できない、という企業も少なくない。

 そこでキヤノンマーケティングジャパン(キヤノンMJ)では、EEIの運用監視業務をアウトソーシングできる「EDR運用監視サービス」を提供している。導入後のルール作成から24時間365日の監視、ログ収集、アラートのトリアージ、初動対応までを、SOCのセキュリティエンジニアが代行するサービスだ。これによりEDR導入のハードルを大幅に引き下げる。

 EDR運用監視サービスは「コストパフォーマンスの高さ」が大きな魅力だ。エントリープランがエンドポイント1台あたり年額2300円、スタンダードプランが同 年額3800円で、別途必要なEEIと管理サーバーのライセンス費用を合計しても、1台あたりの年額が1万円未満に収まる。これまで人材とコストの両面が課題でEDR導入に踏み切れなかった企業でも、十分に検討できるだろう。

幅広い企業/組織へのEDR製品普及を可能にするEEI

 EEIの国内販売開始から2年近くが経つが、最近の市場や顧客企業の反応はどうか。最後になるが、キヤノンMJでESET製品の製品企画を担当する植松智和氏、キヤノンITソリューションズで技術検証にあたる西村亮氏に、そうした質問を投げかけてみた。

 西村氏はまず、最近では大企業だけでなく中堅中小企業からもEEIへの問い合わせが増えていると説明する。これは事前対策だけでなく、事後対策も含めた包括的なセキュリティ対策の重要性が広く認識されるようになってきた証だろう。

 ただし、特に中堅中小企業では「従来のアンチウイルスと同じようなコスト感覚で問い合わせてこられるお客様が多いとも感じます」と語る。前述のとおり、EDRはそれを使いこなす人材がいてこそ価値を持つ製品だ。システムの導入コストだけでなく、その部分の人的コストも考えなければならない。

 そのため、コストパフォーマンスの高いEDR運用監視サービスに対する引き合いは大きいという。植松氏によると、EEIの提案を求める顧客の「おおむね9割以上」が、EDR運用監視サービスとセットでの見積もりを要望するという。

 また植松氏は、やはりテレワーク/在宅勤務の増加にともなうEDR導入検討も増えていることも実感していると語った。従来の境界防御で守られていない社外の従業員を狙うサイバー攻撃も増加しており、EDRはそれに対抗するセキュリティ強化策として有効だ。

* * *

 セキュリティ市場にEDRが登場してから数年が経つが、導入の中心はやはり大企業であり、普及率としてもまだまだ高いとは言えないのが現状だ。しかし、ビジネスのデジタル化が急速に進む中では、あらゆる規模の企業においてセキュリティ対策のステップアップが求められる。

 今回見てきたとおり、ESET Enterprise Inspectorは、幅広い層の企業にEDRを浸透させていくうえでの要件を満たしたEDR製品である。セキュリティ対策の高度化に取り組む皆さんは、ぜひともEEIに注目していただきたい。

(提供:キヤノンマーケティングジャパン)