コストや工数をかけずにエージェントを管理する
ポイント3:できる限り工数やコストをかけずにエージェントを管理できるか
これまでに挙げたような、エンドポイントセキュリティのエージェントに実装されるべき機能について、できる限り工数やコストをかけずに管理していくためにはどうしたら良いのか。ここでは藤田氏の所属するSentinelOne「Singularity Platform」を例にして紹介していく。
Singularity Endpointでは、3つの基本ライセンス「Core」「Control」「Complete」が提供されている。CoreはEPP(エンドポイント保護プラットフォーム)にあたり、従来型アンチウィルス機能に加えて、自律型AIを活用したふるまい検知による未知の不正プログラムへの対応も可能だ。また、ControlではUSBやBluetoothなど、デバイス制御とアプリケーション脆弱性の可視化機能を追加。そしてCompleteではEDR機能を加えることで、エンドポイントセキュリティに必要なすべての機能をカバーする。
AIによる検知技術はファイルが動作していない状態(静的な状態)での検知と、ファイルが動作している状態(動的な状態)での検知、この両方に対応している。マルウェア感染からの修復、ランサムウェアからの復旧といった感染後の対処も管理コンソールから実施できることが大きな特徴だ。
また、エンドポイントのエージェント管理は「Singularity Ranger」、OSの脆弱性を可視化するには「Singularity Ranger Insights」というアドオンが用意されている。ネットワークに接続されているデバイスをエージェント経由でスキャンして可視化するだけでなく、自動的にエージェントを導入可能かどうかラベル付けしてくれ、ピア・ツー・ピアでのエージェント展開も可能だ。
他にもユーザーアカウントのセキュリティ強化には「Singularity Identity」を用意。“おとり”オブジェクトで認証情報を狙うようなActive Directly(AD)への攻撃を検知して防御する機能、認証情報を悪用したラテラルムーブメントや偵察行為などの不審な通信も検知できる。他にもADを外部監視することでADへのアセスメントや攻撃検知を行う「Singularity RangerAD」、ADへの攻撃検知や防御を行う「Singularity RangerAD Protect」もあり、それぞれを連携して機能させることも可能だ。
前述したようにサイバー攻撃のリスク軽減とコスト抑制を両立するには、3つポイントがあった。まずは攻撃対象領域を評価し、そして攻撃対象領域を最小限に抑える。さらにコスト抑制のために複雑さを軽減することだ。「これら3つを実現する上で望ましい機能はSentinelOneのソリューションですべてカバーできます」と藤田氏。クラウドアプリケーション保護やネットワークの脅威に対応する製品も用意しており、気軽に問い合わせてほしいとして講演を締めくくった。
