攻撃を予測するにはデータが必要
次世代型のエンドポイントセキュリティソリューションでは、従来のウイルス対策ソフトが提供していたマルウェアの検知や防御に加えて、端末に侵入したマルウェアなどの活動状況を調べて拡散などの二次的な被害に備えた対応を図る「Endpoint Detection & Response(EDR)」と呼ばれる機能も注目される。EDR機能を製品に搭載するセキュリティベンダーが増えている。
EDRはその機能の特徴から、解析のために端末内部の動きに関する膨大かつ多様なデータを必要とする。さらに、ベンダーが持つセキュリティ脅威情報を組み合わせることで脅威の検出精度を高める必要があるため、クラウド型の仕組みを採用しているケースは多い。ただ、膨大なデータをベンダーのクラウド環境へアップロードすることに抵抗があるというユーザー企業は多い。また、データの機密性を懸念する場合もある。
Viscuso氏は、「現在のEDRはベンダーがそれぞれに必要だと判断した種類の情報を集めるようにフィルタリングすることで、ユーザーの懸念に対処している。ただ、それで脅威を高い精度で検出できるかといえば、難しい場合もある」と話す。
サイバー攻撃者は、侵入の踏み台になるエンドポイントのセキュリティの攻略に、あらゆる手法を駆使する。それらを補足するには、できるだけ多くの端末のデータが必要というのが、Viscuso氏の考えだそうだ。このためCarbon Blackは、ユーザーのファイルやネットワークなどに関する機密性の高い情報以外は、基本的にフィルタリングせずにユーザーから提供してもらうという。
「我々のソリューションを希望するユーザーは、深刻な被害が起きる前に攻撃を予想して対処したいというモチベーションが高く、インシデント対応に強いセキュリティの“玄人”が多い。コミュニティーを通じてユーザー同士で新たな脅威に対処することも珍しくない」
同社のいう次世代型のエンドポイントソリューションを使うには、ユーザーにも相応のスキルやノウハウ、経験などが求められ、ユーザーの規模拡大には制約があるだろう。Viscuso氏は今後、防御やホワイトリスト、EDR、インシデント調査など複数の製品を今後統合し、端末のローカル環境とクラウド環境で動作するハイブリッド型のソリューションとして提供していく考え。また市場開拓にも取り組み、4月には日本法人のカーボン・ブラック・ジャパンを設立した。「我々は日本市場への投資に力を入れていく。2018年は人員規模を2倍に増やし、セールス、サポート、サービスの体制を確立する」
日本市場では、次世代型のエンドポイントソリューションを訴求するベンダーが増えている。次世代型といっても、ベンダーごとにそのアプローチは異なり、ユーザーが適用できる手法もさまざまだ。従来のエンドポイントセキュリティは、ウイルス対策ソフトを基本としてきたが、次世代型の登場でその形は今後、大きな変化を迎えそうだ。
Viscuso氏と日本法人カントリーマネージャーの西村雅博氏(写真右)
