「EnCase」シリーズの強みは、フォレンジック(消去されたデータやファイルなど記録媒体の調査)で培った深層解析技術であり、「EnCase」シリーズ製品はいずれも、改ざんのないカーネル層の生のデータを取得し、解析することができるという。
「EnCase Endpoint Security」製品概要
「EnCase Endpoint Security」は、デジタルフォレンジック技術をベースに、悪意あるアクティビティを素早く検出し、機密データの漏えいや侵害を未然に防ぐ。また、米国のセキュリティ研究/教育機関であるSANS Instituteが行ったテストによると、「EnCase Endpoint Security」は市場で最も多くの機能を持ち、ほとんどのエンタープライズネットワークに対して効果的なソリューションであると評価されている。
・脅威の早期発見:受動的な「アラート」モードから、プロアクティブな「脅威探索」モードへとセキュリティワークフローを再定義し、セキュリティ侵害を示唆する異常を積極的にスキャンする。履歴によるインテリジェンスを活用して、異常動作の検出やデータ漏えい発生状況の再現に使用できる、エンドポイントアクティビティのベースラインを作成する。
・迅速な対応:データ侵害に対するネットワークセキュリティの対応時間を短縮し、データ漏えいやシステム損害のリスクを大幅に軽減。亜種やポリモーフィック型のマルウェアであっても、悪意あるアクティビティの影響を素早く検証し、優先順位を付け、アセスメントを実施する。また、サードパーティのアラートテクノロジーと統合することで、効率を向上させる。
・効率的な復旧:脅威を発見した場合、完全なワイプアンドリイメージを実行することなく、悪意あるファイル/プロセス/レジストリキーを正確に封じ込め、修復することができる。
・継続的なアセスメント:リアルタイムでの継続的なモニタリング機能によって、全てのネットワークエンドポイントを大規模に監視するために必要となるモニタリングとインサイトが得られる。
「EnCase Endpoint Investigator」製品概要
「EnCase Endpoint Investigator」は、生産性を損なうことなく、業務に影響を及ぼさずに、慎重かつ安全にリモートでの内部調査を行う、企業および政府機関向けに設計されたソフトウェア。収集したデータは、法廷で受理される形式で保存することができる。
・ネットワーク非接続のエンドポイントからの検索および収集:調査担当者は拡張エージェントを利用して、ネットワーク接続/非接続の社内外の全ての社員から、業務を妨げることなくエンドポイントの関連情報を検索し、収集することができる。
・リモート・デバイス・アクセス:地理的な位置に関わらず、任意のエンドポイント・デバイス上でのデータのリモート収集と分析が可能。
・ディスク・データ全体の調査:調査担当者は、暗号化データなど、調査対象マシンのハード・ドライブ上に格納されたデータ・コンテンツ全体を調査することができる。
・複数のシステムを一度に検索し、調査を迅速化:一度に最大5台までのマシンで検索と収集を行うことができるため、調査終了までの時間が短縮される。また、自動処理機能と索引付け機能を使用することで、調査担当者はデータ分析時間を短縮することが可能。
・フォレンジック調査に有効なフォーマット:リモート・マシンから収集した証拠は、EnCase Evidenceファイル・フォーマットで保管される。このフォーマットは、世界中の法廷でフォレンジック調査に有効であると証明されている。
・広範なOSサポート:Microsoft Windows OS、Linux、Apple Mac OS、UNIX OS、およびモバイルデバイス各種OS(Google Android、Apple iOSなど)をサポート。
・トリアージ機能:収集をする前に、リモートプレビューを利用して、マシン上に収集する必要があるデータがあるかを判定し、マシンのトリアージを行える。
