原因の特定から復旧までを一気通貫に対処する製品、サービスを用意
これらの状況に対し、エムオーテックスでは原因の特定から復旧までを一気通貫に対処する製品、サービスを用意している。それがEPP製品であるCylancePROTECTと、EDR製品であるCylanceOPTICSだ。両製品ともAIを活用し未知のマルウェアを99%予測し検知、隔離が可能となっている。パターンファイルやシグネチャは使用せず、日々のアップデートもない。端末のスキャンも必要ないので、負荷が小さいのが特長だ。CylanceOPTICSはCylancePROTECTのオプションに位置づけられ、AIを活用してファイルやプロセスの挙動からマルウェアを自動的に封じ込める。これにより多層防御を実現し、100%に近い防御が実現できる。
CylanceのAIでは、正常なファイルとマルウェアを10億以上収集しクラウド上で学習し、特徴点を抽出し数値化する。1つのファイル当たり最大700万点の特徴点が抽出され、それを数値化した結果を数理モデルとして各端末に配置をする。そして検査対象のファイルと700万点の特徴点を照合し、マルウェアの可能性を導き出すというものだ。
Cylanceは検知力の高さが顧客から評価されており、端末負荷が軽いことも導入の決め手となっているという。機能や性能に関する評価は10点満点で平均7.4点とかなり高く、PCの動作が軽いことも7.5点と高い。これらからも「導入目的と運用後の成果がきっちりと果たされています」と西村氏。既存のウイルス対策ソフトと比較して、約4割で運用が楽になっている。
ただ誤検知は5.3点とそれほど評価は高くないが、これは動的検査機能を有効にするとアラームが多くなるからだろうとのこと。とはいえ誤検知率は、他メーカーの製品よりも外部評価で少ない傾向にあるという。
今後、セキュリティ製品の選択ポイントとしては、事前防御でEPPを優先するか、検知目的のEDRを優先するかが挙げられる。一般的にEDRが主体になっているが、各メーカーともEDRだけではなくEPPとセットで提供するケースが多い。メーカーにより、どちらに強みがあるかなど違いがあるため、それぞれの要求に合わせて選ぶことになるだろう。
そしてもう1つ重要なポイントが、自社で運用するか外部に任せるかだ。自社運用なら画面の見た目や運用性が評価ポイントとなる。外部に任せるなら操作性よりSOCメンバーの質や実績、対応やレスポンスなどのサービス品質が重要となる。
エムオーテックスには「CylanceGUARD」があり、これはEPPのCylancePROTECTとEDRのCylanceOPTICS、そしてオンボーディングのThreat Zero、24時間365日のSOCサービスを1つのパッケージとして提供するものだ。EPPが主流のCylanceのソリューションでは、マルウェア検知率が非常に高いのが1つの特徴だ。また充実したサポート体制があり、EDRの対応では他メーカーと比べ非常にレスポンスが速くなっている。さらにMDRサービスではGUARD専用のポータルがあり、確認の必要なアラートだけに絞り込んで通知できるのも大きなメリットとなる。
CylanceGUARDで対応するメンバーには、サイバーセキュリティの修士号取得者や世界的なSOCイベントの優勝者などが数多くいる。また、平均対応時間が9分と迅速で、これにはイベント通知だけでなく調査結果や対処方法も含まれており「業界最速のスピードを誇っている」と西村氏は自信を見せる。その上で西村氏は「Cylanceの製品は無料体験キャンペーンも用意しているので、その凄さを是非一度体験して欲しいです」と語り、講演を締めた。
