停滞期を経た後、エンドポイントセキュリティは現在、再評価されており、多くの新しい製品が市場に登場しています。多くの企業はエンドポイントセキュリティへの予算を引き上げることでこの動きに対応しています。

「エンドポイントセキュリティは現在、再評価されており、ユーザーデバイス上でのアンチウイルス(AV)ソフトウェアに頼った防御から、より実用的かつ現実的な戦術に基づいたユーザーデバイス上での検知およびインシデント対応へと180度方向を転換するような次世代の製品やサービスが登場しています」と、Kelly Jackson Higgins氏はDark Readingのこの記事で述べています。

同記事では、アンチウイルスからEDR(Eendpoint Detection & Response)プラットフォームへのエンドポイント市場の変化と、同カテゴリにおける多数の新興プレーヤーについて説明しています。

一方、Forrester社の主席アナリストであるRick Holland氏は次のように述べています。「買い手は、このような選択肢の多さに圧倒されています。彼らにとって多くのベンダー間の違いを見分けることは難しいからです。買い手は正しい選択をする必要があります。

現在使用している従来型のアンチウイルスを補完したい場合であれ、アンチウイルス(AV)プラットフォームからEDRプラットフォームに移行したい場合であれ、買い手は、各種のプラットフォームの適合度を判定するための適切な基準を知る必要があります」。

適切な選択が行えるよう企業を支援するために、お客様にとって適切なエンドポイント・セキュリティ・プラットフォームを判定する際に考慮すべき最も重要な5つのポイントの概要を紹介します。

1.防御だけでは十分でなく、検知を重視すること

防御は確かに重要ですが、それが組織のセキュリティ計画の唯一の構成要素であってはなりません。ハッカーはその気になれば、貴社がファイアウォールやアンチウイルスソフトウェアのようなセキュリティ製品を配備していたとしても、侵入する方法を必ず見つけ出します。

このため、企業や組織は、「検知」を自社の防御計画のカギとなる構成要素として位置付ける必要があります。次世代エンドポイントセキュリティEDR(Eendpoint Detection & Response)は、この目的のために開発されたものであり、EDRは、ファイアウォールやアンチウイルスソフトウェアのような従来型の防御ツールをすり抜けるような攻撃を検知する能力を追加することにより、防御プログラムを強化します。

2.エンドポイントへの影響をテストすること

サイバーリーズンは、カーネル内で動作するエージェントが、ユーザースペースで動作する製品よりも優れた可視性を提供するという神話を覆すことから出発しました。「私は両方のアプローチを見てきました」とHolland氏は述べています。

しかし、エンドポイント・エージェントがユーザースペースで動作するかそれともカーネルモードで動作するかは、当該エンドポイントに大きく影響します。実際、カーネル内で動作するソリューションはコンピューターのパフォーマンスを低下させる場合があるほか、最悪の場合マシンがクラッシュする可能性すらあります。これは、大規模配備環境に大きな影響を与えます。

CybereasonのEDRプラットフォームのセンサーは、ユーザースペースで動作しますが、エンドポイント上で発生するあらゆるアクティビティに関するカーネルレベルの可視性を提供します。

3.データ収集の規模は必ずしも重要ではない

ほとんどの次世代エンドポイント・セキュリティ・ソリューションは、企業ができるだけ多くの情報を蓄積できるように、ビッグデータ収集機能を備えています。しかし、単に多くのデータを集めるだけでは、組織を保護するための最良の方法とはなりません。セキュリティアナリストは大量の脅威情報により圧倒されており、どのアラートが最大のリスクを提示しているかを判断するのに苦労しています。

したがって、大きな価値があるのは、データの意味を理解する機能、脅威の検知を自動化する機能、そして人工知能を利用して誤判定されたアラートの排除や脅威の優先順位付けを行う機能などです。

4.マルウェアの先を見越すこと

絶えず進化し続ける脅威状況に対応しているHolland氏は、現在、攻撃者がマルウェアから撤退しつつあること、そして彼らは正規の手段を使って企業を攻撃しつつあることを指摘しています。

たとえば、一部の攻撃者は、悪意あるコードを一切使わずにログイン・クレデンシャルを取得してシステムにアクセスした後、権限を昇格させ、ネットワークへの侵入を拡大しています。正規のアクティビティを使用してシステムにアクセスした場合、セキュリティプログラムは、この行動を悪意あるものとしては判断できません。

このため、企業は、マルウェアの先を見越して、必ずしも悪意あるコードを利用しない悪意ある行動を見分ける能力が必要となります。攻撃の全体像を捉えるという大きなニーズが存在します。悪意ある動作(サイバーリーズンではこれを「Malop」と呼びます)全体に注目することにより、企業は攻撃を完全に遮断し、攻撃の持続を停止できるようになります。

5.データの可視化により大きく差が付く

最後に、ユーザーインターフェイスの重要性は計り知れないほど大きいことを指摘しておきます。今日の従業員は、個人的に利用しているコンシューマー向けアプリケーションを使う際に得られるユーザーエクスペリエンスと同様のエクスペリエンスを、仕事でも得られることを期待しています。

ところが、セキュリティ製品はこの分野に関して遅れていると、Holland氏は指摘しています。多くのセキュリティ製品は、細かな情報を提示しがちであり、攻撃のシナリオについては何も教えてくれません。このため、適格なセキュリティ人材が不足している場合、企業や組織は、自社が直面しているセキュリティ脅威を明確に把握するために多大な支援を必要とします。

企業や組織は、それに基づいて何らかのアクションが起こせるような情報を、理解しやすい形式で表示するインターフェイスを備えたエンドポイント製品を採用すべきです。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/

ホワイトペーパー:次世代エンドポイントのメリット