Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

防御だけじゃない!検知と対応も可能な次世代型アンチウィルス「Cb Defense」とは?

edited by Security Online   2017/11/14 11:00

ユーザーの動きを流れで監視するストリーミングプリベンション

 こうした特徴がどのように最新の脅威に有効に働くかを見ていこう。近年情報漏えいが起きた企業を見ると、マルウェアだけではなくマルウェア以外の要因が増えている。2016年にベライゾンが発表したレポートによると、実際に情報漏洩が発生した原因の53%がマルウェア以外の攻撃によるものだという。サイバー攻撃対策として多くがネットワーク対策やマルウェア対策をしているものの、その隙をつかれている形だ。マルウェア以外の攻撃への防御を高めていく必要がある。  

 

 実際にマルウェア対策というと従来のアンチウィルスの延長となるため、既知のマクロや実行ファイルなどのファイルベースの脅威に対して防御する。しかし「Cb Defense」では全てのアクティビティを監視し、その流れで未知のファイルベースの脅威や、ファイルレスな防御まで可能な「ストリーミングプリベンション」を実装している。佐藤氏はストリーミングプリベンションについて「従来のように点ではなく線で防御します」と表現する。  

 子どものいたずらを脅威としてイメージしてみよう。手にクレヨンを持ち、塗り絵をしている。一通り塗り終えて、テーブルの上にはもう紙がない。まだ塗り絵で遊びたいという表情をしている。子どもは周囲に目を向ける。そしてクレヨンを手に白い壁に向かい歩き出す。……ここまで来たら、保護者なら「次はクレヨンで壁に描く」と察知して子どもの動きを止めるだろう。これが流れで動きを追うということだ。  

 従来型マルウェア対策だとあらかじめ脅威を定義し、脅威かどうかを検知する。子どもの例なら「クレヨンではなく“ナイフ”を持っている」又は「子どもではなく“指名手配された悪人”である」などだ。一方、ストリーミングプリベンションは脅威ではない通常のアクティビティも含めてずっと監視しているため、保護者が子どもの動きを止められるように事前に脅威の兆候を検知して攻撃をリアルタイムに防御できる。

 より具体的に言うとストリーミングプリベンションではリアルタイムセンサーでWebの閲覧やPowerShell起動などの情報を常に収集し、各イベントにタグ付けをして、相関分析を行うことで脅威にスコアをつける。これをリアルタイムで処理していく。閾値を超えたところで脅威とみなし、実際の攻撃が発動する前に防御できる。そのため「Cb Defense」では従来のシグネチャを用いた防御に加え、ストリーミングプリベンションで未知の脅威も防御できる。

防御だけではない!検知から復旧までの対応もできる

 次に脅威の検知と対応を行うEDR機能について見ていこう。ガートナーの定義によるとEDRに必要な要素は次の4つの流れとなる。脅威の「検知」、端末の隔離など「封じ込め」、全エンドポイントを対象に影響範囲の「調査」、攻撃を受けた端末の「復旧」を支援する。「Cb Defense」はこれらの全てのEDR機能が実装されている。

出所:株式会社ネットワークバリューコンポネンツ佐藤 佑樹氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 「Cb Defense」の管理者画面ではイベントごとにスコアが表示されており、どのような脅威が現在進行形で起きているかを監視できる。イベントはドリルダウンで詳細を確認できるようになっており、エンドポイントにてどのようなアクティビティが行われたかを時系列で把握したり、タグからどのような攻撃かを調査できる。  

 最後に佐藤氏は「Cb Defenseではこれまで防御しきれなかった未知の脅威への対策ができることに加えて、万が一すり抜けてしまった攻撃に対して検知から復旧までの対応も可能となります。これからはEPPとEDRの両方の機能を兼ねそなえた製品が必要になります。Cb DefenseはEPPとEDRの両方を実現可能な唯一の、真の次世代アンチウィルス製品です」と特徴を強調した。

本記事の講演資料『真の次世代アンチウイルスとは 』(全26頁、PDF版)を無料ダウンロードいただけます!

進化するサイバー攻撃に対し、エンドポイントでの対策として次世代ソリューションが注目されていますが、次世代化機能はベンダーによって異なっており、ユーザーが製品選定に迷われるケースが増えています。ITセキュリテイ調査会社SANS Instituteによる次世代アンチウイルスの定義では、マルウェアだけでなく、PowerShellやメモリベースの非マルウェア攻撃と呼ばれる攻撃への対応、更にEDR機能により、インシデント発生時の対処や原因分析ができることがあげられています。

本資料『真の次世代アンチウイルスとは 』(全26頁、PDF版)は、非マルウェア攻撃をブロックし、インシデント発生時の封じ込め、調査・復旧を実現している真の次世代アンチウイルスソリューションを解説しています。ぜひダウンロードいただき、自社のセキュリティ対策にお役立てください。

講演資料(無料PDF)のダウンロードはこちら!



著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

バックナンバー

連載:Security Online Day 2017 イベントレポート

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5