EDRで複数台の端末に対して一斉に対処
EDRはどうだろう。EDRは各端末に入れたエージェントから、顧客専用の解析サーバーにリアルタイムにデータをアップロードして監視・解析する。怪しいアクティビティなどを検知するとアラートを上げるというものだ。
CybereasonのEDRでは、エージェントがサイレント・センサーとしてCPU使用率/通信量が比較的低く、端末やネットワークへの負荷が少ないこと、Windows/Mac OS/Linuxなど幅広く対応し、他のアプリケーションやOSとのコンフリクトが少ないことなどの特徴がある。解析では、インメモリデータベース上で毎秒800万回の問い合わせを行い、異常な振る舞いから未知の攻撃を絞り込むなど、様々な特徴を持つ。
今村氏は、「可視化と検知」「対処・対応」の2つから、EDRのメリットを説明した。
可視化と検知では、「どのユーザー(端末)がマルウェアを実行したのか、マルウェアを開いたときにどのようなプロセス(子プロセス)が生成されたのか、実行されたコマンドラインはどのようなものか、などがしっかりと可視化される」と今村氏。
業務端末を使用するユーザーが不審なファイルを開いてしまったとき、不安を感じてPCを再起動もしくはシャットダウンするケースをよく見る。すると、感染後フォレンジックやインシデントレスポンスなどの調査を実施する際に、実行されたコマンドログなどが、消えてしまうことで後追いができず、何が起こったのか特定することが困難となる可能性もあるという。EDRを導入していれば、マルウェアが動作したタイミングに発生した様々な情報がデータとして残る。そのため、どこの外部サーバーからどのようなファイルがダウンロードされて、どのフォルダに配置され、いつ実行されたのかなどが一元的に把握でき、詳細な調査を実施しやすくなるとした。
対処・対応とは、上がったアラートに対するアクションとなる。怪しいプロセスが動いている状態なら管理者側から該当のプロセスを強制的に終了させたり、アラートを発報した端末をネットワークから即座に隔離させるなどのアクションを行うことが可能だ。CybereasonのEDRでは、同じ攻撃を受けた複数台の端末に対して一括でこれらの対応アクションを投げることができるという。たとえばグループメンバーを複数人含むようなメールアドレスに対して、悪意のあるファイルが添付されており、複数のユーザーがそのファイルを開き、実行してしまった場合、アラートがそれぞれ大量に発報されるのではなく、攻撃の種類ごとにまとまって発報される。そのアラートに対して、一括で対応アクションを行うことで複数台の端末に迅速に対応可能な仕組みだ。
このような機能があることで、リモートワークを行うユーザーやオフィス外で働く社員の端末に対しても即座に対応し、被害を素早く最小限に抑えることができる、と今村氏。
日本企業に支持される3つのポイント
EDRなど製品の機能、MITRE Engenuity ATT&CK評価 第5ラウンドで評価された検知率や防御率以外にも、Cybereasonが評価されているポイントがある。今村氏は次の3つを挙げた。
1. では、製品そのものの画面やUIが日本語に対応しており、顧客に製品を提供する前にも日本の様々なメンバーで不具合やユーザインターフェースをチェックしたのち提供する体制も整えているため、詳細な部分まで掘り下げても日本語で表記されるという。また、レポートや製品マニュアルもすべて日本語をサポートしているという。
2. については、「セキュリティ製品は専門的な知識や知見が必要でプラットフォームの画面が複雑な場合が多いが、Cybereasonは直感的にインシデントを表現する設計になっている」と今村氏。何が起きたのかわかりやすく表示されるなど、運用視点を重視した画面設計になっているのでぜひ一度使ってみてほしいという。
3. は先述の1クリックで複数台の端末へ一括対応ができ、対応時間を短縮できるというものだ。それに加え、MDRサービス(SOC)も提供しており、運用も任せることができる。「MDRなどの監視サービスまで一貫して提供しているEDRメーカーはそう多くない」と今村氏は胸を張る。
