EDRが注目された理由と、導入に立ちはだかる壁
EDRは、テレワークなどで社内のネットワーク外に出たエンドポイントも含めて、ログ監視を行い、サイバー攻撃やマルウェアの痕跡を検知し、対処(駆除、隔離)するソリューションだ。これにより、エンドポイントから他のエンドポイントやサーバーへの感染が広がることを防いでくれる。
EDRが注目された理由として、その多くのソリューションが、未知の脅威も含めた対策方法が確立していない「ゼロデイ」攻撃にも対応することが挙げられている。
ソフォス パートナー営業本部 ストラテジック営業部
藤谷 直樹氏
セキュリティの専門家の多くが、昨今のサイバー脅威の拡大について警鐘を鳴らしている。近年では1年間で1.5億近いマルウェアが新しく生成されてきており、防御しづらいゼロデイアタックやセキュリティ対策製品を回避する新種のマルウェアの攻撃、EMOTETとIcedIDなどの被害の多発している。さらに、ランサムウェアにも新しい手法が続々と出現している。
こうしたなかEDRは脅威への対抗策として有望視されている。しかしSMBにとってEDRの導入には大きな壁が存在した。
その壁の1つがコストだ。EDRを運用するには、多くの場合セキュリティの専門知識が必要で、そうした人材が社内にいない企業では、新たに人材を採用する必要がある。しかし、昨今の脅威状況により、こうした人材の年収はうなぎのぼりになっており、そう簡単に採用できない。さらに新たにシステムコストがかかることも障壁だ。EDRはログをベースに脅威監視を行うので、ログを蓄積するストレージが必要になる。
高度なインテリジェンスを備えた「SMB向けのEDR」
しかしここにきて「SMB向けのEDR」を謳うソリューションが登場してきている。その代表格がソフォスの「Intercept X Advanced with EDR」で、ディープラーニングを活用しているのが大きな特長だ。
「当社の製品の特長は、自動化だ。マルウェアの検出だけでなく、隔離、駆除もすべて自動化される。万が一ランサムウェアによるデータ暗号化が実行されても、ファイルを自動的にロールバックする機能も搭載している。そしてインシデントのレボートも自動で作成され、そのレポートでは、次に行うとよいとされる“推奨されるアクション” が提供されるために、管理者の方の負担も大幅に軽減できます」と語るのは、同社 パートナー営業本部 ストラテジック営業部の藤谷 直樹氏だ。
ソフォスは1985年に英国で創業した会社だが、早い段階でSMB向けの高度なセキュリティソリューションの開発を目指してきた。そして2017年に米Invincea 社を買収し、AIベースの保護技術を獲得し、製品に搭載している。
このInvincea社のAI技術は、深層学習(ディープラーニング)がベースとなっている。ソフォスでは創業から現在までの36年分のマルウェアなどの脅威情報を持っており、それらを学習情報として、AI技術の向上に努めている。この技術では第三者機関のテストで最もパフォーマンスが高く誤検知が少ないスコアを記録しており、未知のマルウェアを 20ミリセカンド以内に脅威を検知・停止させる結果を出した。
機械学習は、入力したアルゴリズムの範囲内で特徴を学習し対処して動くが、それを超えた予想外の攻撃に対しては弱いというのが欠点だ。それに対してディープラーニングでは、機械学習に比べ、特徴自体も自分で学習して、より高い精度の脅威検出を実現しています。
「EDRソリューションを提供している企業で、機械学習を使っている製品はいくつもありますが、その中でディープラーニングを活用しているのは当社を含めて数社だけです」(藤谷氏)
このように高度な検知能力と隔離などの対応の自動化、そしてクラウドによるサービス提供によって、人材確保やシステムコストという壁を取り払うことが可能となった。また包括的な自動化により24時間365日の監視、駆除などの対処も行える。SMBでは、夜間のシステム監視や脅威対応が困難だっただが、Intercept Xによって、その弱点もなくなる。