Endpoint Detection and Response (EDR)

 View Only

エンドポイントセキュリティソリューションの選定で、重視したい 5 つの特長 

Aug 24, 2017 09:51 PM

昨年 1 年間だけでも、マルウェアの新しい亜種は 1 日 100 万種以上も発見され、ランサムウェアのファミリーも 3 倍に増えました(「2017 年インターネットセキュリティ脅威レポート、ISTR22」による)。ランサムウェアに伴う支払い金額の平均は昨年比 266% と急増し、1,077 ドルに達しています。こうした厳しいデータを見るだけでも、セキュリティの専門家が毎日のように直面している困難の大きさが察せられます。複雑なネットワークと、変異し続ける無数の外的な脅威から生じるセキュリティ需要に対応するには、適切なエンドポイントセキュリティソリューションの導入が不可欠です。

最近のブログで、Gartner の Avivah Litan 氏は、顧客にこう提案しています。「アプリケーションのホワイトリストおよびブラックリストや、たいていの EPP(エンドポイント保護)プラットフォームに組み込まれているコントロールなど、多層的なエンドポイントセキュリティのアプローチを用いるべきである」

まさに、我が意を得たりの提案でした。企業は、急速に変化するセキュリティ環境への対処を前提として、保護・検出・対応までのサイクルを網羅した保護を実現する、万全のエンドポイントセキリティを必要としています。運用する保護の機能に限界があれば、その結果は火を見るより明らかです。

昨今のひときわ深刻な脅威から組織を確実に保護していただくために、万全のエンドポイントセキュリティに欠かせない一連の特長を紹介しましょう。

1. 攻撃チェーンの全体をカバーする総合的なセキュリティ

感染は、ネットワーク侵害につながる大きいチェーンのなかで 1 つのリンクにすぎません。最高のエンドポイントセキュリティシステムは、実績のある技術と新世代の技術を融合して、場所や経緯にかかわらず脅威を防ぎます。これまでより包括的なアプローチをとって初めて、企業は可能な限り最大の保護を受けられるようになります。特に強力なエンドポイントセキュリティ製品になれば、侵入から感染、データ漏えい、修復まであらゆる段階で高度な機能を有しているものです。そんな各段階で必要とされる中心的な機能を、詳しく見てみることにしましょう。

侵入の段階

  1. 電子メール由来の脅威から保護する: 最近の調査によると、ランサムウェアが含まれるメールは、131 通中 1 通に及ぶといいます(ISTR22)。ステルス性を備えた攻撃から身を守るには、メール添付ファイルをすべてスキャンするエンドポイント保護が必要です。
  2. 悪質な Web ダウンロードから保護する: スキャンの対象となった Web サイトのうち 76% は脆弱性があり、攻撃者がマルウェアの侵入に悪用できるという結果が出ています(ISTR22)。着信と発信のトラフィックをすべて解析してブラウザを保護する侵入防止の技術があれば、エンドポイントに到達する前にそうしたマルウェアを遮断できます。
  3. 強力なエンドポイント保護では、アプリケーションとデバイスの制御も簡単にできる必要があります。情報のアップロードやダウンロード、ハードウェアへのアクセス、レジストリへのアクセスなどをデバイスごとに制御するためです。

感染の段階

万全のエンドポイントソリューションは、こうした保護機能を侵入レベルで実装したうえで、どんな攻撃の手口に対しても高度な保護機能を備えています。たとえば、以下に挙げるような機能です。

  1. 高度な機械学習。グローバルインテリジェンスネットワークに存在する正常なファイルと不正な兆単位のサンプルファイルを、高度な機械学習によって解析します。シグネチャに依存しない技術なので、マルウェアの新しい亜種であっても実行前に遮断することが可能です。
  2. 悪用の防止。ブラウザや生産性ソフトウェアのように広く使われているソフトウェアでは、新しいゼロデイ脆弱性が毎週のように報告されています。IT 部門でさえ、新しく公開されたパッチのテストと適用が追いつかないため、ゼロデイ脆弱性が放置されて、攻撃者による悪用を許しかねません。その多くは、メモリベースの攻撃も伴っています。悪用防止の技術があれば、このようなゼロデイ脆弱性も、メモリベースの攻撃も防ぐことができるのです。
  3. グローバルに広がる人工知能に基づくファイル評価解析。最新の解析機能でユーザー、Web サイト、ファイルからの百万単位の相互リンクを解析し、変異の急速なマルウェアも検出して防御します。最新の評価解析によって、主な属性(ファイルのダウンロード元、ダウンロードされた回数など)を解析し、ファイルがエンドポイントに到達する前に、リスクを評価して評価スコアを割り当てます。
  4. エンドポイントにおける高速なエミュレーションが、軽量かつ高速の短期サンドボックスとして機能するため、ポリモーフィックなマルウェアや変異マルウェアも検出されます。
  5. 動作モニタリング。万一、マルウェアが攻撃チェーンの奥深くまで進んでしまった場合には、動作モニタリングが機械学習の力を利用して、広範囲でファイルの動作を監視し、検出されたリスクを遮断します。これもランサムウェア対策になり、悪質な PowerShell スクリプトなどステルス性の攻撃を防ぎます。調査によると、昨年の 1 年間に解析された PowerShell スクリプトの 95% は悪質なものでした(ISTR22)

賢明な組織であれば、組織内をマルウェアが自在に移動することを警戒し、エンドポイントソリューションの漏えい対策機能にも注意を払うことでしょう。侵入防止、ファイアウォールポリシー、動作モニタリングはここでも重要な役割を果たすため、最新のエンドポイントプラットフォームには必須の機能です。これらの技術は、先日流行した WannaCry ランサムウェアの拡散防止にも絶大な効果を発揮しました。

2. 強力なインシデント捜査とインシデント対応

執拗な攻撃は必ず防御網を突破するものと、ほとんどの組織は理解しています。それでもなお、侵害があればできるだけ速やかに検出できる強力な検出機能と、インシデント操作およびインシデント対応の使いやすいワークフローが求められています。この機能を業界アナリストは EDR(Endpoint Detection and Response)と呼ぶようになりました。先進の EDR ソリューションがあれば、侵害を捜査する一方でエンドポイントを隔離し、ブラックリストを利用してマルウェアの拡散を封じ込めることができます。また、マルウェアを削除してエンドポイントを感染前の状態に戻せるので、修復も容易です。

まとめると、攻撃チェーンの各レベルから検出、対応まで徹底的に保護できるのが、効果の高いエンドポイントセキュリティということになります。「セキュリティの強さは最も弱いリンクで決まる」と、以前から言われているように、総合的なアプローチをとることが欠かせません。

3. 先進の機能に裏打ちされたパフォーマンスとスケール

以上に述べたように、攻撃チェーンに対する防御では総合性がきわめて重要です。とはいえ、パフォーマンスもけっして軽視はできません。最高のエンドポイントセキュリティは、ネットワークの速度低下によってユーザーを阻害しないよう最適化されていなければなりません。また、企業の成長に合わせたスケールアップも必要です。

4. 低い総保有コスト

通常は複数のエージェント(機械学習、悪用防止、EDR など)を利用しなければならない技術を、1 つのエージェントだけで複合できるのが、最終的には理想です。エージェントが 1つであれば、複数のエージェントの管理と維持を統合できるため IT の負荷が減り、総保有コストの削減というメリットも得られます。

5. シームレスな統合により組織化された修復

最新のエンドポイントソリューションでは、オープン API システムを介した容易な統合が重視されています。そのため、ネットワークセキュリティ、IT チケット発行システム、SIEM といった既存のセキュリティインフラストラクチャが無駄になりません。

まとめ

エンドポイントセキュリティソリューションは、どれも同じではありません。最高、最新の製品には主に 3 つの特長があります。1 つ目は攻撃チェーンの全体にわたる総合的な保護検出・対応。2 つ目は効率を損ねない高いパフォーマンスとスケーラビリティ。そして 3 つ目が、既存のインフラストラクチャとのシームレスの統合です。

この 3 つの特長が、単一の軽量なパッケージに統合されていれば、言うことはありません。複数のエージェントを管理するとなると、効率が低下し、コストもかさむからです。新しいエンドポイントセキュリティソリューションを検討する際には、以上のような特長を重視すれば、投信を無駄にすることなく最大限の保護を実現できることでしょう。

Gartner 2017 Magic Quadrant.jpg

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.