セイコーエプソンはCb Defenseでどんな成果を挙げたのか
セイコーエプソン
IT推進本部 IT基盤企画設計部
課長 征矢隆志氏
続いて、ユーザー事例として、セイコーエプソンのCarbon Black導入事例が紹介された。登壇したのはセイコーエプソン IT推進本部 IT基盤企画設計部 課長の征矢隆志氏だ。売上収益1兆1021億円、従業員数7万6391人でグローバル展開を加速させている同社は、ファイルレス攻撃など従来の対策をすり抜ける攻撃手法が増えるなかで、エンドポイントセキュリティに大きな課題を感じていた。
「ウイルス定義ファイルをベースとして従来型対策が限界に達するなか、次世代型のアンチウイルスに注目。最新の脅威に対応できること、既知のマルウェアも検知すること、既存のソフトウェアを完全に置き換えられることなどを重視してCb Defenseを採用しました」(征矢氏)
導入にあたり複数の製品を検証した。そのなかでCb Defenseは、誤検知・過検知が少なく、検知結果を管理者が理解しやすいこと、スペックの低いPCでも問題なく動作し、ネットワーク帯域への影響もごくわずかだったことを評価した。
管理サーバの調達・構築が不要で自動配信ができるため展開はスピーディーに進んだ。2018年1月までにPoC(概念実証)と効果確認などを行い、2018年4月まで3カ月かけて準備。同社には国内外に約5万台のクライアントPCが存在するが、その90%をわずか3カ月間で展開できたという。
効果としては、まず検知率が大幅に向上し、不審な振る舞いなど潜在的な脅威を検知可能になったことを挙げた。従来製品の検知率はCb Defenseに対して約12%の検知しかできない状況だった。また、EDRを活用することでインシデントの対応時間が約2日から約1時間へ大幅に短縮された。
征矢氏は最後に「ユーザーにとって真の意味で防御になるソリューションは必ず生き残ります。使いやすさの向上はもちろんですが、基本機能を磨き上げてブレイクスルーを果たしてもらいたいと思います」とCarbon Blackの今後の展開に大きな期待を寄せた。
エンドポイントにクエリする新機能や高度な脅威ハンティング機能も
カーボン・ブラック・ジャパン
テクニカルディレクター・エバンジェリスト
李奇・リチャード氏
セミナーを締めくくったのは、カーボン・ブラック・ジャパンのテクニカルディレクター・エバンジェリスト、李奇・リチャード氏による講演「カーボンブラックPSCで御社のエンドポイントを守り抜く」だ。リチャード氏は、Carbon Black製品のコンセプトと、プラットフォームPredictive Security Cloud(PSC)の新機能を、デモを交えながら詳しく紹介した。
Carbon Black製品の特徴の1つは、アンチウイルスによる防御だけに着目した従来のアンチウイルスと異なり、データを活用しながら「予測」「防御」「検知」「レスポンス」というセキュリティライフサイクルに注目している点にある。
「PSCの強みは、エンドポイントから直接データを収集し、それをストリーミング分析し、拡張性が高くオープンなアーキテクチャで処理することです。特にストリーミング分析では、1つのイベントだけで判断せず前後の動きを関連付けて『点と点をつなぐ』ことで正しい解析結果を導きます。また拡張性については、オープンAPIを使って簡単に他社のソリューションと連携できることが特徴です」(リチャード氏)
リチャード氏は、PSCを構成する製品群のうち、エンドポイントにクエリを行いリモートからアクションを実行する「Cb LiveOps」、高度なインシデントレスポンス&脅威の探索を行う「Cb ThreatHunter」、VMwareのSDDCでセキュリティを確保する「Cb Defense for VMware」の3製品について、操作感とメリットを紹介した。
最後に、カーボン・ブラック・ジャパン日本代表 西村雅博氏が閉会の挨拶に立ち、日本市場のこれからの展開を説明した。ポイントは、日本国内でのクラウド基盤の構築だ。「PSCを新たに設置される国内データセンターから提供します。これにより、データレジデンシーに厳しい規制がある金融業界や政府官公庁のニーズに対応します。運用は2019年1月から開始されます」(西村氏)
EDRのパイオニアとして順調に事業拡大を続けるCarbon Black。新機能の投入や日本リージョンの開設で勢いがさらに加速しそうだ。
EDRの運用を支援する、ディストリビューターのサービス
EDRへの期待が大きな盛り上がりを見せる一方で、「それを自社運用できるのか?」と不安を抱くユーザー企業も少なくない。
このような背景から注目されてきているのが、各ベンダーが提供するSOC(Security Operation Center)やMDR(Managed Detection and Response)といったセキュリティ製品の運用支援サービスだ。
例えば、Carbon Black製品の国内ディストリビューターであるネットワールドでは、日本語でのヘルプデスクサービスに加えて、Carbon Black製品に特化した運用支援サービスを提供している。
アラートの常時監視やマルウェア感染端末の隔離、またポリシー設定変更といった、EDR運用における初期対応をアウトソースできることが大きな強みだ。人的リソースの限られたユーザー企業でも、EDR本来の目的である「問題の早期解決」への注力が可能になる。
Carbon Black製品の導入と合わせて、こうしたサービスも検討してみてはいかがだろうか。