優れた検知に加え防御も可能な「Cb Defense」
現在、市場にはさまざまなEDR製品が存在する。ネットワークバリューコンポネンツでは数多の製品の中から米Carbon Black社の「Cb Defense」を推奨している。EDRはエンドポイント上の脅威を監視・検知するが、Cb Defenseはこの機能とともに、エンドポイントへのマルウェア感染を防御するための「次世代アンチウイルス」の機能も併せ持つのが特徴だという。
「従来型のアンチウイルス製品は、マルウェアの侵入前・侵入時の防御しかできません。一方、EDR製品は侵入前・侵入時・侵入後・侵害後とすべての段階における監視と検知が可能ですが、防御の機能は持ちません。その点Cb Defenseは、すべての段階において防御と監視・検知が可能になっています」(佐藤氏)
ちなみに「次世代アンチウイルス」とは、シグネチャファイルによるパターンマッチングにもっぱら依拠してきた旧来のアンチウイルスソフトとは異なり、AIや振る舞い検知、サンドボックスといったシグネチャ外の手法を用いて脅威の検知および防御を行う製品のことを指す。
最近ではCb Defense以外にも次世代アンチウイルス機能を搭載するEDR製品が増えてきているが、その多くは過去の攻撃の振る舞いパターンとマッチングを行うことで脅威の検知・防御を行う。一方Cb Defenseは、リアルタイムのすべての振る舞いを基に検知・防御を行う「ストリーミングプリベンション」という独自技術を採用しており、特に未知の脅威に対する防御に優れているという。
まずはこの次世代アンチウイルス機能によって可能な限り防御し、それでもなおすり抜けてきた脅威についてはEDR機能で迅速に検出するという「二段構え」の対策をエンドポイント上で行うことで、EDRの運用負荷を大幅に削減し、より確実に被害を防ぐことができる。インシデント対応が必要になった場合も、原因調査や端末の隔離・復旧などをサポートする様々な機能が提供されている。Cb Defenseは単一の製品でこれらすべてカバーすることで、エンドポイント対策を効率よく強化できるという。
ただし、初めてEDR製品を導入するユーザーは、やはり運用について多くの不安を抱えているかもしれない。そうしたユーザーに対して、ネットワークバリューコンポネンツは運用支援サービスを提供しているという。
「お客様に代わって、Cb Defenseから上がってくるアラート通知に24時間365日体制で対処し、脅威の分析や封じ込め、除去などの作業をサポートします。また毎月、インシデントの内容や統計を月次レポートにまとめて提供します。今見直すべきセキュリティ対策として、EDR以外にもIPレピュテーションによる出入り口対策や、ネットワークの可視化など、近年の高度なサイバー攻撃に対応するための様々なセキュリティソリューションを提供していますので、興味をお持ちの方は是非一度ご相談いただければと思います」(佐藤氏)
