フォーティネットのFortiEDRがAV-Comparativesの2025年改ざん防止認証を取得
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「FortiEDRは、AV-Comparativesの2025年改ざん防止認証を取得」を再編集したものです。
第三者機関による試験で、改ざんの試みを100%ブロック
近年のサイバー攻撃は、セキュリティツールを無効化するなどしてから悪意のあるペイロードを展開することが増えており、すべてのエンドポイントセキュリティソリューションで、耐タンパー性(改ざん耐性)は不可欠な要素となっています。フォーティネットは、FortiEDRが、AV-Comparativesの2025年改ざん防止認証を取得したことを発表できることを嬉しく思います。これにより、FortiEDRは、脅威アクターによる介入に耐える能力が証明され、お客様のエンドポイントの防御戦略の重要な要素としての役割が強化されました。
AV-Comparativesの改ざん防止認証について
AV-Comparativesは、オーストリアを拠点とする独立系の試験機関で、セキュリティソリューションの包括的で体系的な評価で世界的に認められています。同組織による認証はサイバーセキュリティ業界全体で重要視されており、現実世界の条件下における製品のパフォーマンスの良さについて、企業や組織に対して客観的な洞察を提供します。
同組織の改ざん防止認証試験では、攻撃者が過去にシステム侵害で行った直接的な介入に耐える製品の能力を評価します。この試験は、初期アクセスやエクスプロイトを利用した攻撃に焦点を当てるのではなく、攻撃者がエンドポイントの権限を昇格したり、システムレベルの権限を利用して活動する場合の、セキュリティ侵害後のシナリオをシミュレートします。
2025年の試験の評価では、現代の攻撃チェーンにおける重要な戦術である「防御の回避」に焦点が当てられました。試験では、カーネルエクスプロイトは除外され、代わりに、現実世界で改ざんが最も発生するユーザー空間から攻撃者が実行できることに焦点が当てられました。使用された手法には、以下に挙げる攻撃の試みが含まれます。
・プロセスの終了または一時停止:攻撃者が、セキュリティのプロセスやサービスを強制停止して、保護の回避や無効化を試みます。
・レジストリキーの変更または削除:Windowsレジトリのエントリに不正な変更を加えて、構成を破損させ起動を妨害します。
・DLL(Dynamic Link Library)の改ざん:攻撃者が、セキュリティソフトウェアで使用される主なDLLの置き換えやハイジャックすることで、機能の無効化を試みます。
・カーネルドライバーの無効化または削除:保護を適用またはモニタリングに使用されるローレベルな(ハードウェアに近い)ドライバーの無効化をテストでシミュレートします。
・更新サービスへの介入:脅威インテリジェンスやソフトウェア更新を受信するFortiEDRの機能をブロックまたは破損させて、古い状態や弱い状態の保護で固定されるよう試みます。
FortiEDRのパフォーマンスは模範的
FortiEDRは、AV-Comparativesによる改ざん防止機能試験のすべてのカテゴリで合格し、防御の回避はゼロで、複数の攻撃ベクトルによるすべての改ざんの試みの阻止に成功しました。FortiEDRは、以下への介入の試みに直面した場合でも整合性が維持されることが、AV-Comparativesによって確認されました。
・ユーザー空間のプロセスやスレッド:FortiEDRは、タスクマネージャーやコマンドライン、またはスクリプトを利用したコンポーネントの停止や一時停止から積極的に保護されました。
・サービスおよびDLL:すべてのコアサービスのコンポーネントおよびDLLは、不正な変更や置換から保護されました。
・Windowsレジストリのエントリ:起動や構成、エージェントの安定性に関係する重要なレジストリキーはロックされたままで、改ざんできませんでした。
・カーネルレベルのドライバー:製品のドライバーは侵害されず、攻撃者は、適用のメカニズムの無効化や、ブラインドスポットを作成することはできませんでした。
・サービスやソフトウェアエージェントの更新:FortiEDRの更新プロセスおよびインストールされているエージェントはどちらも、アンインストール、中断、またはリダイレクトができないことが確認されました。
このような包括的な耐性により、FortiEDRは、認証に必要な厳格な基準を満たしていることが確認されました。AV-Comparativesのこの認証は、試験を行ったすべての形式の改ざんを防止したソリューションに対してのみ授与されます。FortiEDRは完璧な結果を出し、攻撃者が深くアクセスした場合でも、システムを保護できることが確認されました。
FortiEDRのレジリエンスを支えるアーキテクチャ
FortiEDRは、一元的な適用やカーネルフックに大きく依存した従来の多くのエンドポイントセキュリティツールとは異なり、自律型エージェントを介して運用することで、保護ポリシーをエンドポイント上にローカルに適用できます。
これらのエージェントの設計思想を以下に示します。
・デバイス上でリアルタイムに判断:分析や適用は、エンドポイント上で直接行うため、クラウドルックアップや一元化されたロジックへの依存を軽減できます。
・システムへの影響を最小限に抑えて運用:FortiEDRは、効率性を目指して最適化されており、保護機能によるパフォーマンスの低下や、正規ユーザーの活動が中断されることはありません。
・切断時も保護を維持:オフライン時や中核の管理サーバーから切り離されている場合であっても、エージェントは引き続きポリシーを適用し、脅威を防止できます。
・組み込まれた保護機能により不正操作を阻止:FortiEDRは、独自コンポーネントが強化されており、プロセスインジェクション、ドライバーの改ざん、またはレジストリ操作に対して高い耐性を持っています。
その結果、無効化や回避が困難で、実際のセキュリティ侵害時でも信頼性の高いプラットフォームになっています。
改ざん耐性がオプションなのは過去の話
現在の脅威アクターは、侵入する方法を探すだけでなく、一度侵入すると、防御機能を無力化する方法も探します。現在、改ざん行為は、保護を無効化してから暗号化を行うランサムウェアや、自身の痕跡の消去を試みるAPTにかかわらず、攻撃戦略の中核の一部になっています。
エンドポイントの保護がオフにされたり、アンインストールされたり、セキュリティ侵害後に不正操作されると、検知機能や対応機能は無意味になります。効果的なエンドポイント保護と時代遅れのソフトウェアを分けるのは、攻撃下におけるレジリエンス(耐性)です。
FortiEDRは、AV-Comparativesの認証を取得したことで、このような戦術に対抗できることを第三者機関によって証明されたことになり、攻撃の圧力下であっても、セキュリティチームの制御は侵害されず、信頼して運用を継続することができます。
レポートはこちらよりご覧いただけます。