2018年11月12日(月)~14日(水)にかけて、グランドプリンスホテル新高輪 国際館パミールにて開催されました、Gartner Symposium/ ITxpoに出展し、Carbon Black製品をご紹介しました。
Gartner Symposium/ITxpo は名前の通り、ITに関するコンサルや調査を行なっているガートナー社が主催する、エンタープライズのCTO、CIO向けのイベントです。
ガートナー社は毎年各IT製品の分野ごとに出している、マジッククアドラントが有名ですね。このイベントでは、ガートナーが抱えるアナリスト達の講演が高い評価を得ています。
NVCとしては、今年で3年連続の出展となり、今回はまだまだ人気の次世代エンドポイントセキュリティ Carbon Black製品を、新日鉄住金ソリューションズと一緒にご紹介しました。
NGAV+EDRで未知のマルウェア、非マルウェア攻撃にも対応!
境界防御はセキュリティの基本です。しかし、それだけではセキュリティ対策が万全である、とはもはや言えない状況になっています。
マルウェアの数は毎日、何十万という単位で増加しています。それだけではなく、マルウェアを利用しない非マルウェア攻撃も多く確認されています。このようにサイバー攻撃による脅威は日々進化しており、境界での防御だけでは不十分な状況になっているのです。
つまり、ネットワーク内に侵入してくることを前提としたセキュリティ対策、エンドポイントセキュリティの強化が必要です。
そんな状況を救うべく、生まれたのがNGAV(次世代アンチウイルス)とEDR(Endpoint Detection and Response)です。
今回NVCがご紹介したCarbon Black製品は、この2つの要素、NGAVとEDRを合わせ持つクラウド型製品CB Defenseです。
CB Defenseはシグネチャやレピュテーション、IoC(Indicators of Compromise:侵害の痕跡)といったパターン情報だけでなく、独自技術のストリーミングプリベンションによる検知・防御を行います。既知の脅威だけでなく、未知のマルウェアや非マルウェア攻撃への対策としても非常に効果的です。
ストリーミングプリベンションは、パターンマッチングやAI・学習エンジンで脅威を判断する製品とは異なり、イベントを個々のファイルベースに解析を行うのではなく、端末内の挙動全体(ストリーミング)からの解析・分析を行っています。
一見無害に見えるイベントであってもそうした挙動の流れを見ると脅威だった、とわかることがあります。その例が以下の図です。
正規のアプリケーションが攻撃に利用されることは、すでに一般的になっています。これらのアプリケーションの個々の挙動を見ていただけでは、正規な振る舞いと攻撃による振る舞いの区別を行うことが非常に困難であり、効果的な検知・防御を行うことができません。全体の挙動、流れを見ているからこそ、マルウェアを使わない非マルウェア攻撃やシグネチャの無い未知のマルウェアによる攻撃も検知・防御を可能にしています。
また、CB DefenseはNGAVだけでなくEDRによるインシデントレスポンス業務を支える豊富な便利機能を備えています。
[SMART_CONTENT]
EDRの運用に不安?MDRサービスで不安を解消!
検知力が向上することで、今までは検出できなかった脅威や不審な挙動を検出することができるようになります。つまり検出するアラート数が増加します。
EDRの導入により、今までよりも迅速に脅威に気付けるようになる一方で、検出した全てのイベントに対応を行うには莫大な人的リソースが必要になります。そのため、重要度の低いものは無視するといったある程度の割り切りと、対応が必要そうな重要度の高いイベントに絞るための効果的な優先順位付けによるイベントの精査が重要になります。
十分な人的リソースのない、もしくはセキュリティスキルに不安のある情報システム部のEDR運用をサポートするのが、MDR(Managed Detection and Response)サービスです。MSS(Managed Security Service)と大きく異なるのが、インシデントのレスポンスまでサポートする点です。
NVCのCB Defense向けセキュリティ運用サービス(MDR)では、以下の範囲をサポートしています。
情報システム部の負荷を上げることなく、EDRの導入効果を最大化させるために、是非MDRをご検討ください。
この記事に関するサービスのご紹介
Endpoint Standard
Endpoint Standardは、未知のマルウェアや非マルウェア攻撃も検知・防御するEPP機能 と、脅威の侵入後に対応するためのEDRの機能、両方を持ちます。
詳細はこちら