複雑なセキュリティの自社運用を可能にするSentinelOne
SentinelOneの特徴を教えてください
伊藤氏SentinelOneはEDRとしても、非常に使いやすいくふうがなされています。たいていのマルウェアは端末を侵害するとさまざまなプロセスを立ち上げるため、一般的なEDRは膨大な数のアラートを発してしまいます。これでは追うことすらできません。
SentinelOneは、複数のアラートが関連する1つの攻撃と判断すれば、複数の端末を横断していたとしても、1つのアラートにひも付けることができます。検索クエリのサンプルも用意していますので、それらを選択していくだけで詳細なスレッドハンティングを実行できます。

辻氏これはいいですね。いちばん最初にアラートが発せられて調査を開始した端末が、いちばんはじめに侵害された端末とは限りません。どの端末がどこでいつ侵害されたのかと遡って見ることができれば、原因究明に非常に役立ちます。
伊藤氏SentinelOneのラインアップとして「Singularity XDR」も注目されています。さまざまなデバイスのログをSentinelOneのプラットフォームに統合すれば、それらを相関分析してSentinelOneの脅威情報をマッチングし、より高度な脅威ハンティングを実現できます。
もしすでに何らかのSIEMを利用しているのであれば、それをユーザーインタフェースとして使い続けて、データのプラットフォームとしてSentinelOneを適用するという使い方もあります。SIEMツールによってはデータの格納に大きなコストがかかるケースもありますが、SentinelOneを組み合わせることでデータ保管コストを低減しながら、検索を高速化できるというメリットを得られます。
ランサムウェア対策としてアラート画面からワンクリックで修復・回復できる機能も盛り込まれています。コンソールからロールバックを実行すれば、端末ごとに暗号化保存されているデータからシステム情報を含めて復旧できます。侵害を受ける以前の状態に、確実に戻すことができるのが利点です。
辻氏Windowsのボリュームシャドウコピーサービスを応用し、外部から侵害されないような形でローカルに格納しているとのことですが、これは大きなメリットです。「バックアップは取得しているものの、戻せるかどうかわからない」「リストアを実行しても戻せなかった」という声もよく聞きます。バックアップは、複数の場所から複数の経路で戻せる環境が望ましいのです。SentinelOneは、バックアップを強化する仕組みとしても効果的ですね。
自分にできること、やらなくてよいことを見極める
これからの企業は、どのようなセキュリティ対策に注力すればよいのでしょうか。まず何から始めるべきでしょうか
辻氏まず自分たちを知ること、自社の“健康診断”から始めてください。組織やITの規模、現在の資産と利用方法やセキュリティ対策の状況、セキュリティ対策など運用負荷を調査します。
そのうえで、人に依存しなくてよいところを探します。自分たちでできるところ、プロフェッショナルに頼まなければならないところ、やる必要がないところと集中すべきところを見極めるのです。
昨今では「SOAR」が注目され、セキュリティ運用を自動化・効率化できる“魔法”のようにもてはやされているきらいがありますが、まだ使いこなすことは難しいでしょう。
AI技術を活用すれば、自分たちでできる範囲を広げることができますので、人材不足や予算不足という課題の解決につながるものと思います。
伊藤氏最近は、今まで外部のSOCに丸投げであったセキュリティ運用を、部分的に自社に戻していく動きが出始めています。自社運用とは言ってもレベルを下げるわけにはいかないので、AI技術などで自動化できる使いやすいツールを選ぶことが重要です。例えばSentinelOneを活用することで、日中のセキュリティ運用は手作業で行い、夜間の対応をAIで自動化している事例があります。
一方で外部SOCのご利用を希望される組織には、SentinelOne Japanでは、国内のMSSP(Managed Security Service Provider)とのパートナーシップを強化しています。
辻氏EDRが世に登場して久しいですが、どんどん進化していますね。キーワードだけで選ばず、アップデートをしっかりとキャッチアップして、中身で選んでいきたいものです。
伊藤氏プラットフォームとして提供されるSentinelOneは、搭載されるセキュリティ機能がどんどん進化していくことが特長の1つです。ユーザーサポートもいっそう強化していく計画ですから、ぜひ注目してほしいですね。

辻 伸弘
ソフトバンク・テクノロジー株式会社
技術統括 セキュリティソリューション本部 プリンシパルセキュリティリサーチャー
セキュリティ・エンジニアとして、コンピュータの弱点を洗い出し修正方法を助言するペネトレーション検査などに従事しつつ、セキュリティ情勢の調査および分析を通じて脅威情報の収集、共有を行っている。自宅では、趣味としてのハニーポットの運用、侵入検知システム(IDS)による監視も行っている。経済産業省の情報セキュリティ対策専門官も務める。
伊藤 俊明
SentinelOne Japan株式会社 執行役社長
SentinelOne Japanの執行役社長として日本における SentinelOne の営業、チャネル、技術、マーケティングチームを統括。また、業界をリードする SentinelOne の AI を活用した自律型サイバーセキュリティプラットフォームを提供することでイノベーションを続け、日本での事業を更に拡大していく役割を担う。