目次
アンチウイルスソフトだけでは防げない脅威が増加している
かつてはセキュリティ対策の主流であったアンチウイルスソフトも、マルウェア自体が高度化・巧妙化している近年の状況下では十分な効果をあげることが難しくなってきている。ある調査によれば、アンチウイルスソフトで阻止できる脅威は、企業などが受けるサイバー攻撃の脅威のうち、全体の約45%にまで効果が低下しているという。
岩佐 「昨今の状況として、いわゆるパターンマッチングで検知でき、防御できるサイバー攻撃が非常に少なくなっています。それに加えて、ランサムウェアの被害が急増する傾向にあります。以前のランサムウェアは企業などの重要データを暗号化して金銭を要求するものが主流でした。しかし、ここ1~2年は暗号化しないノーウェアランサム、あるいはノーエンクリプションランサムといったものが増加しており、気づかないうちに被害が拡大するような脅威が増えています。そのため、これからのセキュリティ対策としては、侵入を防ぐアンチウイルスソフト以上に、EDRの重要性が高まっています。」
企業が抱えるセキュリティ上の課題と取り組むべき対策
マルウェアやランサムウェアが高度化・巧妙化していることも大きな課題だが、企業が抱えるセキュリティ上の課題はそれだけではないと岩佐は警告する。
岩佐 「企業のセキュリティ部門やセキュリティ担当者が抱える課題は多様化しています。高度化するサイバー攻撃への対処は、その一部に過ぎず、エンドポイント環境の管理や、発生する膨大なログの管理や、アラートが出た場合の対応や管理、組織的な対応の構築などにも対処しなければなりません。しかも昨今は人材不足という構造的な問題もあり、少ない人的リソースで、これら山積する問題・課題に対処する必要があります。」
このように、対処すべき課題や問題が山積する、企業のセキュリティ部門や担当者が、より効率的・効果的なセキュリティ対策を実現する上で、ぜひ活用すべきなのが、EDRである。
セキュリティ対策の中核として活用すべきEDRの重要性
ある調査によれば、企業がセキュリティ対策のために導入しているセキュリティソリューションは、以前は25種程度だったものが、最近では45種ほどに増加しているという。しかし人手不足がいわれる中で、これほどのソリューションを管理・運用するのは現実的とはいえないだろう。
岩佐 「今後は、エンドポイントセキュリティを強化することで、セキュリティ対策を効率的に進められようにすべきだと考えています。そしてエンドポイントセキュリティにおいて中核に位置付けられるのがEDRです。あまりにたくさんのセキュリティソリューションを導入すると、結果的に何か問題が発生した際に、きちんと調査して問題を可視化することが、逆に難しくなってしまうこともあります。そうした点に鑑みても、EDRの重要性が高まっていますし、企業のセキュリティ対策の一丁目一番地にしてほしいですね。」
AIによる脅威検知から対応、復旧までを自動化し、セキュリティ対策の高度化を実現する「SentinelOne」
数あるEDRソリューションの中でも、I-DIGIOが展開する「SentinelOne」は、活用価値の高いEDRだといえる。
「SentinelOne」は、EDRとしてエンドポイントのセキュリティ対策になるだけでない。認証のチェックやクラウドの設定状況の確認をできるなど、セキュリティに必要なポイントのカバレッジが向上しており、セキュリティ強化に有効なソリューションといえる。
岩佐 「『SentinelOne』は統合型のプラットフォームです。アンチウイルスの機能もあり、AIと機械学習を活用してエンドポイントの脅威をリアルタイムで検出、対応、修復する機能を持っています。AIについては独自のエンジンを積んでおり、既知の脅威だけじゃなく、未知の脅威に対しても、振る舞い分析などの手法によって高度な検知を実現しています。
また、自動修復機能とロールバック機能を備えているので、サイバー攻撃などの被害を受けた際、それを自動的に隔離・駆除した上で、システムの状態を、攻撃を受ける以前の状態に自動で戻すことができます。これによって、システムの復旧時間を大幅に短縮でき、また復旧にかかる作業も大幅に軽減できます。」
また一般的なEDRの場合、Detectionつまり脅威検知についてはEDR製品が行うが、そこで検知された脅威についてのResponse、つまり対処については人的に対応することが前提となっているものが多い。そのため、対処作業に人的な負荷が大きくなりがちであった。その点、「SentinelOne」の場合には、人的な対処が大幅に削減されているので、効率的な運用が可能になっている点は、大きなメリットといえる。脅威を検知し、その脅威を取り除いて、脅威発生前の状態にシステムをロールバックするところまでワンストップで処理できるEDRは決して多くはない。
岩佐 「自律型脅威対応、自律型修復対応、自律型ロールバック対応が可能であることによって、インシデント対応という点では、非常に迅速かつ効率的な対応が実現しています。
また軽量でシンプルなエージェントによって統合されているというのも、『SentinelOne』の特徴のひとつです。複数のセキュリティ製品や、それらに対応するエージェントを別々に管理する必要がなく、『SentinelOne』の場合は全機能を単一エージェントに集約しています。『SentinelOne』は、ミニマムの機能で構成されているCoreというエディションや、すべての機能を活用できるCompleteというエディションなど、複数のエディションがあります。最初にミニマムの機能のCoreを導入し、その後にクラウド上でライセンスをバージョンアップすることになっても、既存のエージェントをそのまま使用して機能拡張することが可能です。エディションをバージョンアップするたびにエージェントを入れ替える必要がなく、運用面も非常に効率的です。
そして、『SentinelOne』の最大のメリット、強みは、やはり万が一の際のダウンタイムが極めて短時間で済むという点です。一般的なEDRの場合、何らかの脅威を検知すると、その端末を論理的に隔離して、その後にフォレンジックあるいはアナリストなどが状況を調査します。脅威検知から端末の隔離までは多くのEDRが短時間で対応できます。しかし、その後の調査は人的な対応になるため、相当な時間がかかります。分析・調査を担当する人員が即対応できない場合には、1時間、半日、1日などダウンタイムが継続してしまうリスクもあります。しかし、『SentinelOne』であれば、脅威発生以前の状態にシステムをロールバックしてくれるので、ダウンタイムを極めて短時間に抑えて、PCの利用を継続できます。そして、同時進行で分析・調査を進めることが可能です。」
これまでは、サイバー攻撃の標的となるのは大企業ばかりだといわれてきた。しかし近年では中小企業も標的になっている。場合によっては、セキュリティ対策が不十分な中小企業が攻撃され、サプライチェーン内の大企業に影響が波及するような事態も想定される。今日においては、企業規模とは無関係に多くの企業がサイバー攻撃の脅威に晒されているといえる。
また企業のみならず、病院などが攻撃対象となる事例も発生しており、より広範な組織・団体などにおいても、EDRの活用が不可欠な時代になっているといえよう。そうした状況において、複数のエディション・バリエーションがあり、自社の状況とニーズに応じて最適なエディションを選択できる「SentinelOne」の活用余地は大きい。
I-DIGIOなら、MDR(Managed Detection and Response)で、初期対応からレポーティングまでワンストップで対応
しかし、どんなに「SentinelOne」の機能が優れていても、それを運用する企業内のセキュリティ部門が人員不足などの理由で、適切に運用できなければ意味がない。I-DIGIOでは、そうした企業に向けて、MDRサービスも展開している。
岩佐 「EDRを効果的に運用するためには、しっかりとログをチェックして、リスクを洗い出し対処することが不可欠です。しかし、十分な人員を確保できていないために、適切な対応ができず、一連の監視、対処についてアウトソーシングしたいと考える企業も少なくありません。そうしたニーズに対応するために、当社がご用意しているのが、SentinelOne MDRサービスです。「SentinelOne」側のクラウドを常時監視して、クリティカルなアラートが出た場合には、即時に当該端末をネットワークから論理隔離します。その上で、調査を実施し、レポートを出して、その後の対処に繋げるといった一連のサービスをワンストップでご提供できます。」
オプションサービスのMDRサービスとセットにすることで、より安心が広がる。
企業における導入実績も豊富で、世界中で1万社に近い企業が「SentinelOne」を活用しているという事実が、ソリューションとしての確かさを物語っている。
脅威の監視・分析からデータの自動復旧「SentinelOne」
エンドポイントにAI搭載 自律型サイバーセキュリティ
