EDRの問題点を改善し、エンドポイント保護と統合--高度な保護とレスポンスの自動化を実現

渡邉利和

2020-05-27 09:30

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 フォーティネットジャパンは5月26日、エンドポイントの高度な脅威保護、検知、レスポンスを自動化する「FortiEDR」を国内パートナー各社を通じて日本市場に投入することを発表した。

 EPP(Endpoint Protection Platform:エンドポイントの保護)とEDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)の2つの機能を統合し、さらにAI(機械学習)などを活用して従来のEDR製品の課題であった「大量のアラートに対応しきれない」という問題を回避できる高度な自動化機能なども提供する。エンドポイントにインストールする軽量エージェントとクラウド側で動作するEDRサーバーの組み合わせによる「ハイブリッド構成」のほか、「クラウドのみ」や「完全オフライン」の構成も可能となっている。

当初別々のベンダーによって独立したソリューションとして生み出されたEDRとEPPがそれぞれに発展を遂げ、FortiEDRで統合されるに至ったという 当初別々のベンダーによって独立したソリューションとして生み出されたEDRとEPPがそれぞれに発展を遂げ、FortiEDRで統合されるに至ったという
※クリックすると拡大画像が見られます
FortiEDRの主な機能。「感染前」がEPPの機能、「感染後」がEDRの機能と考えれば良い FortiEDRの主な機能。「感染前」がEPPの機能、「感染後」がEDRの機能と考えれば良い
※クリックすると拡大画像が見られます

 プロダクトマーケティングマネージャーの山田麻紀子氏は、FortiEDRのポイントとして「第1世代のEDRツールの問題点/課題を解決し、“より高度な保護”と“レスポンスの自動化”を実現したEDRソリューション」だと説明した。EPP機能としては機械学習を活用したNGAV(Next Generation Anti-Virus:次世代アンチウイルス)機能を中核とし、マルウェア感染前の「発見&予測」と「保護」を実現する。

 なお、NGAV機能はカーネルレベルで実装され、ディスク上にファイルとして書き込まれるマルウェアはもちろん、メモリー上にのみ展開されるファイルレスなどのマルウェアの検知にも対応する。さらに、EDR機能はEPPをすり抜けてマルウェア感染が起こった後のリアルタイムなエンドポイント保護機能を提供する。「検知」(リアルタイムな脅威検知)、「無効化」(情報漏えい/消失の阻止)、「対応と調査」(攻撃の完全な可視化)、「修復とロールバック」(回復)といった機能が実装される。

 以前から同社が提供している「FortiGate」を中核とした“セキュリティファブリック”とも連携し、例えばEDR機能でマルウェアが外部のC&C(コマンド&コントロール)サーバーと通信しようとしたのを検知した際に、この情報をFortiGateと共有してFortiGate側で当該IPアドレス宛の通信を遮断するといった対応も可能だという。

 想定するユーザー像としては、従業員数1000〜数十万規模の企業で、製造業、重要インフラ(石油・ガス)、小売り、ホスピタリティーなどで、エンドポイント数が500程度の中規模組織にも対応可能、金融機関、医療機関、行政などでも実績があるとのこと。

 続いて、システムエンジニアの宮林孝至氏は、FortiEDRで解決できるユーザー企業の課題として、「SOCの有無によらず柔軟な運用が可能」「被害の最小化」「脆弱性の把握」の3点を挙げた。従来のEDR製品では大量のアラートが生成される傾向があり、SOCなどの対応組織が整っていない企業/組織の場合は十分に活用できないという問題があったが、FortiEDRでは検知精度の強化やユーザーによるカスタマイズ可能なプレイブック機能、オプションで提供されるMDR(Managed Detection and Response)サービスなどにより、SOCの有無にかかわらず最適な運用ができる。

FortiEDRで解決できる、ユーザー企業が直面する主な3つの課題およびFortiEDRでの解決手法 FortiEDRで解決できる、ユーザー企業が直面する主な3つの課題およびFortiEDRでの解決手法
※クリックすると拡大画像が見られます

 また、検出から対応までの流れも高度に自動化されているため、マルウェア感染から時間をおかずに対策されることで情報漏えいなどの実被害が生じる前に不審な挙動をブロックできる。脆弱性に関しては、アプリケーションごとにきめ細かく脆弱性の管理を行っており、例えばウェブブラウザーなどでは脆弱性のあるバージョンの場合は通信を禁止し、対応済みの場合は通信を許可すると行った制御が可能だという。

 マルウェア自体の進化や攻撃手法の高度化によって、従来のウイルス対策ソフトが目指していた「感染する前にマルウェアを検知して駆除する」という手法の限界が明らかになってきている。機械学習の活用など、新しい検出手法も普及してきたが、それでも検知漏れをゼロにできない以上、感染することを前提とした対策が必要になるのは必然ともいえる。

 そうした背景でEDRが注目されたわけだが、同社が「第1世代」と呼ぶ従来型の既存EDRソリューションでは、検知の結果を精査・分析するのは人手に頼っていたことから、運用負荷が高く活用の難しいシステムだった。この点を高度な自動化手法の導入で解消したFortiEDRについて、同社では“第2世代”という表現は一切使わないものの「従来製品とは世代が異なる」という自負がうかえる。EPPとEDRの融合という方向性はユーザーにとってもメリットが大きいと思われ、今後の市場の反応が楽しみな製品だ。

FortiEDRの特徴となる主要なテクノロジー FortiEDRの特徴となる主要なテクノロジー
※クリックすると拡大画像が見られます

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み
関連キーワード
フォーティネットジャパン

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]