法人向けエンドポイントセキュリティ新製品提供/トレンドマイクロサイバー攻撃の事前予防と事後対処を統合
EDR機能搭載「Trend Micro Apex One」

トレンドマイクロは、従来の法人向け総合エンドポイントセキュリティ「ウイルスバスターコーポレートエディション」にEDR機能を追加した新製品を発表。2019年7月から提供を開始するとしました。

EDR機能を搭載した「Trend Micro Apex One」

今回、トレンドマイクロが発表した新製品は、これまで同社が法人向けのエンドポイント向けセキュリティツールとして提供してきた「ウイルスバスターコーポレーションエディション」の後継となる「Trend Micro Apex One」。参考標準価格は、年額税別で6600円(*1)となっています。
(*1)1年間のスタンダードサポートサービス料金を含めた1ライセンス(1000ライセンス購入時)あたりの使用許諾料金。ライセンス数に応じたボリュームディスカウント制

●「Trend Micro Apex One」の提供機能(トレンドマイクロ製品資料より引用)

新製品の主なポイントとして、「巧妙化する脅威に対する“防御力”の強化」「クローズド環境への対応強化」などが挙げられています。例えば、防御力の強化では、ファイルの特徴とふるまいの特徴を組み合わせて照らし合わせることで、ファイル実行前にふるまいを予測する機能を搭載。ファイルの特徴をもとにした静的解析と、ファイルの特徴からふるまいを予測する解析を実行前に行うAI技術「ハイブリッドモデル」により、対攻撃性能が向上したとしています。

こうした従来からの機能強化もさることながら、特筆点は何といっても事後対処に対応するEDR機能を融合したことでしょう。ここ最近、セキュリティの世界で耳にする機会が増えたきたトレンドワードがEDRです。Trend Micro Apex Oneの詳細は、ホームページなどに譲るとして、ここでは注目されているEDRについて見ていくことにしましょう。

EDRとはインシデント対応のための機能

EDR(Endpoint Detection and Response)を端的に表現すると、サイバー攻撃により犯罪者に侵入された後の事後対象を行うためのエンドポイント端末(利用者端末)向けのセキュリティ・ソリューションです。

そもそもEDRが注目されるようになった背景には、「侵入を前提としたセキュリティ対策」という最近主流の考え方があります。企業や組織をターゲットにしたサイバー攻撃は巧妙かつ複雑化するばかり。内部侵入した不正プログラムが正規のプログラムを悪用したり、セキュリティ対策ツールによる検出を回避してファイルレス攻撃を行ったりと、侵入されたことに気づきにくくなっています。

トレンドマイクロによる調査でも、不正サイトの接続や遠隔操作ツール、ランサムウェア、オンライン銀行詐欺ツールといった脅威が98%の法人組織で検出された(*2)とのこと。サイバー攻撃を水際でストップしようという事前予防(EPP:Endpoint Protection Platform)だけでは対策不足というわけです。
(*2)トレンドマイクロ「国内標的型サイバー攻撃分析レポート2018年版」

さらに、最近のセキュリティ対策を取り巻く状況として、国内の個人情報保護法や昨年施行されたEU一般データ保護規制(GDPR)といった法規制、働き方改革を背景としたテレワーク環境の導入促進など、多様化するIT環境への対応が求められています。こうした中で、万一にセキュリティインシデント(保安上の脅威となる事象)が発生した場合、侵入プロセスの特定や解析による対処はもちろん、原因の報告などが求められることもあります。このためには、EDRのように侵入された後の事後対処が可能なツールが必要となるわけです。

具体的にEDRの目的は、エンドポイントでの監視を強化し、端末内に侵入したランサムウエアや標的型攻撃などのサイバー攻撃を検出すること。エンドポイント端末から収集した動作情報(ファイルやプロセスの挙動/レジストリの変更/ネットワーク通信の情報/その他)の解析や分析などを行い、挙動の異常からマルウエア感染や侵入を検知し、それらの情報をもとにエンドポイント端末の隔離やシステム停止などを行うことで、重大な社内システムへの影響を防ぎます。導入効果の詳細は、以下の通りです。

感染前提の対策が可能:エンドポイント端末の感染防止を目的とした従来型EPP製品だけでは、ファイルレスや正規OS機能の乗っ取りなどの巧妙化するサイバー攻撃を水際で完全防御することは難しい。EDRは、感染を前提とした対策を実現できるツール。

セキュリティ侵害の原因特定:エンドポイント端末における挙動を監視してログ記録を蓄積。通常操作ではあり得ない異常動作の兆候から不審なプログラムやプロセスを検知して、これらの疑わしいデータをさらに詳細に解析や分析、調査を行い、感染端末や侵入経路、被害状況などを可視化。

システム全体での脅威対策:個々のエンドポイント端末で脅威の検知と防御を行うEPPに対して、EDRではすべてのエンドポイント(システム全体)の挙動を把握できる。1つのエンドポイントで感染を検知した場合に、感染範囲を確認し被害拡大を防ぐと共に、特定した原因への対策をすべてのエンドポイントに適用することで二次被害の防止が可能

インシデント発生時の手間やコスト削減:エンドポイント端末でインシデントが発生した場合、証拠保全や対応までに消失した社内情報の調査、原因特定や拡散範囲などの状況や対応策などの説明が求められる。だが、攻撃が巧妙化する中、場合によってはこうした対応ができないケースも。EDRはエンドポイントにおける動作のログ記録により証拠を保全でき、それを解析・分析することで原因特定、封じ込めなどを迅速に行えるので、負担や時間的コスト、経営的損失の軽減が可能

このように、EDRは最近のセキュリティ対策の潮流にマッチした効果を備えていることから注目されているわけです。

同ツールは単独で使われるものではなく、エンドポイント向けセキュリティ・ソリューションの1つの機能(モジュール)として実装されることが一般的。仮に単独のツールとして導入する場合であっても、アンチウイルスやネットワークセンサー、IDS(不正侵入検知)/IPS(侵入防御システム)などのEPP製品と連携させて活用されます。今回のトレンドマイクロのTrend Micro Apex Oneにおいては、従来のEPPと融合した1つのソリューションとして前者のような形態で提供されています。

また、EDRのポイントは特定したインシデントの原因や解析結果に対して、どのような対策を講じるか。この部分は組織内のセキュリティ担当者が担うべき役割ですが、リソースや知識不足により適切な判断や対応を取れないケースも少なくありません。そうした企業や組織に対してはインシデントレスポンス支援を提供するサービスがあり、トレンドマイクロも「MSS(Managed Security Service)における豊富な知見と実績、技術を携えたパートナーとの連携を深め、Trend Micro Apex Oneを活用したMDR(Managed Detection and Response)提供を推進。法人組織に向けたタイムリーなインシデントレスポンス支援の提供を目指す」としています。

今後、IoT普及によりオフィス内はエンドポイントを入り口にネットワークにつながる機器がますます増えていくことは確実です。その中、さらなるセキュリティへの対策が求められることを考えれば、事業規模を問わずEDRは必須の機能となっていくのではないでしょうか。(長谷川丈一)