“感染防御” “侵害検知対応” “脅威監視”をワンストップで提供
最近のサイバー攻撃状況の説明の後、菊川氏は同社のソリューションの紹介を行った。Cybereason社は、米国ボストンに本社を構え、グローバルにビジネスを展開するサイバーセキュリティ企業である。開発拠点はイスラエルにもあり、そのテクノロジーはイスラエル軍のサイバー部隊である8200部隊の知見と実践経験に基づき、そのノウハウを製品化している。
Cybereason NGAV
アンチウイルスの「Cybereason NGAV」は、他社製品でもよくある既知の攻撃や未知の攻撃だけでなく、多段の構えがあるという。たとえば、Windowsに組み込まれたツールを利用するPowerShell攻撃の場合は、正規のプログラムとされ、悪意のあるものを検知できないが、Cybereason NGAVはこれに対応している。また、ランサムウェアによるファイルの暗号化や悪意のあるマクロの動作を未然に防ぐことも可能だ。
世界のセキュリティ製品を評価しているNSS Labsは、2020年版の高度エンドポイント保護テストにおいて、Cybereason NGAVを12製品中トップと評価したという。
Cybereason EDR
侵入後の脅威を検知して対応する構えも必要だ。標的型攻撃など、侵入後の対策として重要となるのが、組織内の端末にわたる相関解析と、検知しにくいファイルレス攻撃や組織内を横展開して拡散しようとする振る舞いの分析、そして瞬時に検知して対処できる高速な解析システム。「Cybereason EDR(Endpoint Detection and Response)」ではこれらに加え、攻撃の顛末、影響範囲を素早く把握し、対処に移れるようなインターフェースも用意している。
Cybereason EDRは、エンドポイントを監視するために、端末ごとにセンサーのプログラムをインストールし、センサーから上がってくる情報を検知サーバーに送信することで、あらゆる場所にある端末をリアルタイムに監視するというものだ。単一のセンサーでCybereason NGAVもCybereason EDRも動作し、Windows、macOS、Linuxに対応。解析処理は検知サーバー上で行われる。端末の動作に影響を与えないよう、ユーザーモードで動作し、CPU負荷やデータ送信のためのネットワーク負荷も最小限に止めるよう配慮がされている。
また、2020年に発表された「Cybereason Mobile」は、iOSやAndroidで動作するモバイル端末の監視を行う製品。PCやサーバーなど、他のエンドポイント情報と統合し包括的な管理を実現する。
[画像クリックで拡大表示]
検知サーバーでは、常時毎秒800万クエリをビッグデータ解析し、集積した情報から複数端末の相関解析、AIによる異常検知と振る舞い分析など、攻撃の全体像を炙りだせるようになっている。また、監視結果を確認できるダッシュボードでは、感染規模や経過時間、深刻度などをセキュリティ管理者がすぐにとらえることができるよう、視覚的な配慮がされている。セキュリティ担当者はテレワーク環境であっても組織全体の端末の状況を瞬時に把握し、侵入などのインシデントに即座に対応可能だ。
サイバーセキュリティ強化のためのマネージドサービス
Cybereason社では、サイバーセキュリティ製品だけでなく、それを有効活用するための専門家による監視・解析・脅威度判定のマネージドサービスも展開している。菊川氏はこの背景について、総務省や警察庁の下記資料から、組織内にセキュリティ専門の部署がないことや、セキュリティの専門人材が少ないこと挙げた。
- 総務省「我が国のサイバーセキュリティ人材の現状について」(PDF)
- 警察庁生活安全局情報技術犯罪対策課「不正アクセス行為対策等の実態調査(令和元年度)」(PDF)
そのため、自社内で高度なサイバーセキュリティに対応するのは難しく、専門家の知見を活用した運用が一般的となっているとした。Cybereason社のマネージドサービスでは、顧客企業に変わって脅威を監視し、問題が生じた場合に迅速に対処できるよう、顧客に寄り添った解決法を提案。緊急の場合は電話で、脅威が低い場合はメールで報告。月次のレポートも提供している。
菊川氏は最後に、Cybereason社では製品のデモンストレーションも行っているので気軽に問い合わせしてほしいとアピールしてセッションを終えた。
