EDRの問題点を改善し、エンドポイント保護と統合--高度な保護とレスポンスの自動化を実現

渡邉利和

2020-05-27 09:30

 フォーティネットジャパンは5月26日、エンドポイントの高度な脅威保護、検知、レスポンスを自動化する「FortiEDR」を国内パートナー各社を通じて日本市場に投入することを発表した。

 EPP(Endpoint Protection Platform:エンドポイントの保護)とEDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)の2つの機能を統合し、さらにAI(機械学習)などを活用して従来のEDR製品の課題であった「大量のアラートに対応しきれない」という問題を回避できる高度な自動化機能なども提供する。エンドポイントにインストールする軽量エージェントとクラウド側で動作するEDRサーバーの組み合わせによる「ハイブリッド構成」のほか、「クラウドのみ」や「完全オフライン」の構成も可能となっている。

 プロダクトマーケティングマネージャーの山田麻紀子氏は、FortiEDRのポイントとして「第1世代のEDRツールの問題点/課題を解決し、“より高度な保護”と“レスポンスの自動化”を実現したEDRソリューション」だと説明した。EPP機能としては機械学習を活用したNGAV(Next Generation Anti-Virus:次世代アンチウイルス)機能を中核とし、マルウェア感染前の「発見&予測」と「保護」を実現する。

 なお、NGAV機能はカーネルレベルで実装され、ディスク上にファイルとして書き込まれるマルウェアはもちろん、メモリー上にのみ展開されるファイルレスなどのマルウェアの検知にも対応する。さらに、EDR機能はEPPをすり抜けてマルウェア感染が起こった後のリアルタイムなエンドポイント保護機能を提供する。「検知」(リアルタイムな脅威検知)、「無効化」(情報漏えい/消失の阻止)、「対応と調査」(攻撃の完全な可視化)、「修復とロールバック」(回復)といった機能が実装される。

 以前から同社が提供している「FortiGate」を中核とした“セキュリティファブリック”とも連携し、例えばEDR機能でマルウェアが外部のC&C(コマンド&コントロール)サーバーと通信しようとしたのを検知した際に、この情報をFortiGateと共有してFortiGate側で当該IPアドレス宛の通信を遮断するといった対応も可能だという。

 想定するユーザー像としては、従業員数1000〜数十万規模の企業で、製造業、重要インフラ(石油・ガス)、小売り、ホスピタリティーなどで、エンドポイント数が500程度の中規模組織にも対応可能、金融機関、医療機関、行政などでも実績があるとのこと。

 続いて、システムエンジニアの宮林孝至氏は、FortiEDRで解決できるユーザー企業の課題として、「SOCの有無によらず柔軟な運用が可能」「被害の最小化」「脆弱性の把握」の3点を挙げた。従来のEDR製品では大量のアラートが生成される傾向があり、SOCなどの対応組織が整っていない企業/組織の場合は十分に活用できないという問題があったが、FortiEDRでは検知精度の強化やユーザーによるカスタマイズ可能なプレイブック機能、オプションで提供されるMDR(Managed Detection and Response)サービスなどにより、SOCの有無にかかわらず最適な運用ができる。

 また、検出から対応までの流れも高度に自動化されているため、マルウェア感染から時間をおかずに対策されることで情報漏えいなどの実被害が生じる前に不審な挙動をブロックできる。脆弱性に関しては、アプリケーションごとにきめ細かく脆弱性の管理を行っており、例えばウェブブラウザーなどでは脆弱性のあるバージョンの場合は通信を禁止し、対応済みの場合は通信を許可すると行った制御が可能だという。

 マルウェア自体の進化や攻撃手法の高度化によって、従来のウイルス対策ソフトが目指していた「感染する前にマルウェアを検知して駆除する」という手法の限界が明らかになってきている。機械学習の活用など、新しい検出手法も普及してきたが、それでも検知漏れをゼロにできない以上、感染することを前提とした対策が必要になるのは必然ともいえる。

 そうした背景でEDRが注目されたわけだが、同社が「第1世代」と呼ぶ従来型の既存EDRソリューションでは、検知の結果を精査・分析するのは人手に頼っていたことから、運用負荷が高く活用の難しいシステムだった。この点を高度な自動化手法の導入で解消したFortiEDRについて、同社では“第2世代”という表現は一切使わないものの「従来製品とは世代が異なる」という自負がうかえる。EPPとEDRの融合という方向性はユーザーにとってもメリットが大きいと思われ、今後の市場の反応が楽しみな製品だ。

FortiEDRの特徴となる主要なテクノロジー FortiEDRの特徴となる主要なテクノロジー
※クリックすると拡大画像が見られます

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]