SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2017 イベントレポート(AD)

防御だけじゃない!検知と対応も可能な次世代型アンチウィルス「Cb Defense」とは?

ユーザーの動きを流れで監視するストリーミングプリベンション

 こうした特徴がどのように最新の脅威に有効に働くかを見ていこう。近年情報漏えいが起きた企業を見ると、マルウェアだけではなくマルウェア以外の要因が増えている。2016年にベライゾンが発表したレポートによると、実際に情報漏洩が発生した原因の53%がマルウェア以外の攻撃によるものだという。サイバー攻撃対策として多くがネットワーク対策やマルウェア対策をしているものの、その隙をつかれている形だ。マルウェア以外の攻撃への防御を高めていく必要がある。  

 

 実際にマルウェア対策というと従来のアンチウィルスの延長となるため、既知のマクロや実行ファイルなどのファイルベースの脅威に対して防御する。しかし「Cb Defense」では全てのアクティビティを監視し、その流れで未知のファイルベースの脅威や、ファイルレスな防御まで可能な「ストリーミングプリベンション」を実装している。佐藤氏はストリーミングプリベンションについて「従来のように点ではなく線で防御します」と表現する。  

 子どものいたずらを脅威としてイメージしてみよう。手にクレヨンを持ち、塗り絵をしている。一通り塗り終えて、テーブルの上にはもう紙がない。まだ塗り絵で遊びたいという表情をしている。子どもは周囲に目を向ける。そしてクレヨンを手に白い壁に向かい歩き出す。……ここまで来たら、保護者なら「次はクレヨンで壁に描く」と察知して子どもの動きを止めるだろう。これが流れで動きを追うということだ。  

 従来型マルウェア対策だとあらかじめ脅威を定義し、脅威かどうかを検知する。子どもの例なら「クレヨンではなく“ナイフ”を持っている」又は「子どもではなく“指名手配された悪人”である」などだ。一方、ストリーミングプリベンションは脅威ではない通常のアクティビティも含めてずっと監視しているため、保護者が子どもの動きを止められるように事前に脅威の兆候を検知して攻撃をリアルタイムに防御できる。

 より具体的に言うとストリーミングプリベンションではリアルタイムセンサーでWebの閲覧やPowerShell起動などの情報を常に収集し、各イベントにタグ付けをして、相関分析を行うことで脅威にスコアをつける。これをリアルタイムで処理していく。閾値を超えたところで脅威とみなし、実際の攻撃が発動する前に防御できる。そのため「Cb Defense」では従来のシグネチャを用いた防御に加え、ストリーミングプリベンションで未知の脅威も防御できる。

防御だけではない!検知から復旧までの対応もできる

 次に脅威の検知と対応を行うEDR機能について見ていこう。ガートナーの定義によるとEDRに必要な要素は次の4つの流れとなる。脅威の「検知」、端末の隔離など「封じ込め」、全エンドポイントを対象に影響範囲の「調査」、攻撃を受けた端末の「復旧」を支援する。「Cb Defense」はこれらの全てのEDR機能が実装されている。

出所:株式会社ネットワークバリューコンポネンツ佐藤 佑樹氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 「Cb Defense」の管理者画面ではイベントごとにスコアが表示されており、どのような脅威が現在進行形で起きているかを監視できる。イベントはドリルダウンで詳細を確認できるようになっており、エンドポイントにてどのようなアクティビティが行われたかを時系列で把握したり、タグからどのような攻撃かを調査できる。  

 最後に佐藤氏は「Cb Defenseではこれまで防御しきれなかった未知の脅威への対策ができることに加えて、万が一すり抜けてしまった攻撃に対して検知から復旧までの対応も可能となります。これからはEPPとEDRの両方の機能を兼ねそなえた製品が必要になります。Cb DefenseはEPPとEDRの両方を実現可能な唯一の、真の次世代アンチウィルス製品です」と特徴を強調した。

本記事の講演資料『真の次世代アンチウイルスとは 』(全26頁、PDF版)を無料ダウンロードいただけます!

進化するサイバー攻撃に対し、エンドポイントでの対策として次世代ソリューションが注目されていますが、次世代化機能はベンダーによって異なっており、ユーザーが製品選定に迷われるケースが増えています。ITセキュリテイ調査会社SANS Instituteによる次世代アンチウイルスの定義では、マルウェアだけでなく、PowerShellやメモリベースの非マルウェア攻撃と呼ばれる攻撃への対応、更にEDR機能により、インシデント発生時の対処や原因分析ができることがあげられています。

本資料『真の次世代アンチウイルスとは 』(全26頁、PDF版)は、非マルウェア攻撃をブロックし、インシデント発生時の封じ込め、調査・復旧を実現している真の次世代アンチウイルスソリューションを解説しています。ぜひダウンロードいただき、自社のセキュリティ対策にお役立てください。

講演資料(無料PDF)のダウンロードはこちら!

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9819 2017/11/14 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング