ホーム > PC-Webzineアーカイブ > トレンドマイクロ、シスコシステムズ、マカフィーが提案する対策

トレンドマイクロ、シスコシステムズ、マカフィーが提案する対策

トレンドマイクロ、シスコシステムズ、マカフィーが提案する対策

2020年12月11日更新

セキュリティベンダー3社が提案するエンドポイント対策

トレンドマイクロ、シスコシステムズ、マカフィーの3社に語ってもらったコロナ禍のセキュリティインシデント。それでは、それらのインシデントへの対策に求められる製品は何だろうか。エンドポイント保護の視点を中心に、製品を紹介してもらった。

EDRから発展したXDRで攻撃の全体像を把握

TrendMicro

SaaS型のセキュリティを

「コロナ禍の今、エンドポイント対策の強化の必要性がより強まっています」と指摘するのは、トレンドマイクロの釜池聡太氏。エンドポイント対策の観点から、求められる強化ポイントを二つ挙げた。

 一つ目は、防御力の強化。テレワークや新型コロナウイルスに便乗した脅威によって、マルウェアの感染リスクが高まっている。しかし、テレワーク環境下では情報システム担当者に気軽に相談することが難しく、セキュリティインシデントが見逃されてしまう可能性がある。

 二つ目に、侵入後の事後対処を強化することがある。テレワーク環境下においては、万が一端末がマルウェアに感染しても被害端末を回収して調査することが難しい。また情報システム管理者もテレワークを行っている場合、遠隔からインシデント対応を行う必要がある。

「こうしたテレワーク環境のエンドポイント対策に、EDRの導入は特に求められています。サイバー攻撃からの対策は、事前予防と事後対処のセットが何よりも重要となるからです。しかし、EPPを導入していてもEDRを導入していない企業は少なくありません」と釜池氏は指摘する。

 トレンドマイクロでは、「Trend Micro Apex One SaaS」によって、EPPとEDRをシングルエージェントで提供している。2019年7月にリリースしたオンプレミス版の「Trend Micro Apex One」のSaaS版であり、2020年3月から提供をスタートしている。

 特にテレワーク環境のセキュリティ対策に必要なのは、SaaS型のTrend Micro Apex One SaaSだ。社外の端末も一元的に管理でき、運用構築の手間もかからない。また、SaaS型の本製品は管理コンソールがクラウド上にあるため、テレワーク環境の情報システム管理者も管理がしやすい。EPPの機能だけを見ても、機械学習技術、ファイルレス攻撃の検出、脆弱性(ゼロデイ)対策を1製品で対応できる次世代型のアンチウイルス製品で、十分なセキュリティ対策が可能になる。

EDRを発展させた“XDR”とは

 Trend Micro Apex One SaaSはアドオンを導入することで、EPPとEDRをシームレスに統合できる点も大きな強みだ。事前予防のEPPと事後対策のEDRを組み合わせて利用することで、簡単かつ迅速なインシデント対応が可能になる。

 EDRでは、検出されたキーワードを基に検索を行い、組織全体の影響範囲を分析したり、インシデント発生の流れを可視化して原因分析を行える。インシデント対応に必要な情報を整理し、対策を講じることで被害を最小限に抑えられる。「EPPが一緒になっていることで、調査した結果マルウェアと疑われるものをEPPでブロックリストに追加し、起動させないなどのスムーズな連携が可能になります」と釜池氏は語る。

 トレンドマイクロではEDRの考え方を新たに推し進め、エンドポイント以外のセキュリティレイヤーを含めた“XDR”(Cross-Layer Detection & Response)による脅威の可視化に取り組んでいる。2020年9月にリリースした「Trend Micro XDR」では、エンドポイントだけでなく、メールやサーバー、クラウド、ネットワークなどの各レイヤーのセキュリティ製品をセンターとして統合し、サイロ化された情報を集めて攻撃の全体像を把握する手法を採用している。トレンドマイクロのEDR製品も、このXDRにおけるセンサーの一つとなるため、2020年9月に「Trend Micro XDR Add-on:Apex One SaaS」と名称を変更している。

 今後は、ますますTrend Micro Apex One SaaSの導入を拡大していきたい考えだ。XDRはSaaSにデータをアップロードするため、XDR連携がしやすくなる。

EPPとEDRの複合的対策でインシデントから守る

Cisco Systems

攻撃サイクルへの包括的な対策

 テレワークに必要なセキュリティ対策は幅広い。特に必要な対策を、シスコシステムズの西 豪宏氏は四つ挙げる。「一つ目は、ボトルネックが発生しないリモートアクセス。二つ目はクラウドやインターネットへの直接通信の対応。三つ目は多要素認証の利用により不正利用を防ぐこと。四つ目は脅威の始まりであるメールと、攻撃目的(マルウェア)への対策です」

 シスコシステムズでは、これらの幅広い検討事項に対して、トータルで対応できる製品群をそろえる。リモートアクセスに関しては「Cisco AnyConnect」、クラウドやインターネットへの直接通信のセキュリティ担保には「Cisco Umbrella」、多要素認証には「Cisco Duo Security」、そしてメールへの対策となる「Cisco ESA/CES」とマルウェア対策やエンドポイント保護を実現する「Cisco AMP for Endpoints」によって、企業のテレワーク環境を包括的に保護することで、ユーザー企業の事業継続をサポートする。シスコシステムズの福留康修氏は「特にコロナ禍において需要が高まったのはCisco Umbrellaです。DNSレイヤーとセキュアWebアクセスの両方をカバーし、外に出て行く通信を制御するため、テレワーク環境との相性がよいのです」と指摘する。

 また、脅威が侵入してきた際に備え、エンドポイントの保護を行っておくことも重要だ。エンドポイント保護を万全に行っていくことで、マルウェアの入り口や出口を可視化しやすくなる。

 エンドポイント保護を実現するCisco AMP for Endpointsは、EPPとEDRを兼ね備えた次世代エンドポイントセキュリティだ。サーバーからデスクトップ、モバイルデバイスまで、幅広いエンドポイント端末に実装可能なCisco AMPコネクタと、セキュリティ分析及び管理プラットフォームとなるCisco AMPクラウドで構成される。EPPとEDRが一体となったことにより、従来は複数の製品やソリューションが必要とされていた「攻撃前」「攻撃中」「攻撃後」といった攻撃サイクルへの対策を包括的に実現できるのだ。

脅威情報を自動的に統合

 Cisco AMP for Endpointsは15の検知および防御エンジンによって脅威の侵入を阻止する。特長的なのは、通常のEPPのようにエンドポイント上のエージェントやクライアントで検知エンジンや防護エンジンを実装するのではなく、Cisco AMPクラウド上に実装している点だ。クラウド ルックアップ方式にすることでエンドポイント上での検査によるマシン負荷がかからないことに加えて、最新の脅威情報の反映タイムラグを回避でき、脅威のブロックをリアルタイムに実現可能なのだ。

 EPPの守りをすり抜けた未知の脅威に対しては、EDRでの対策が必要になる。Cisco AMP for Endpointsでは、継続的なアクティビティのモニタリングを行っており、最初の検査で安全と判断されたファイルが後からマルウェアと判明した場合、遡って迅速に対応するための情報取得が可能だ。また、Cisco AMP for Endpointsの管理者はCisco AMPクラウドの管理コンソールとは別に、統合型セキュリティツール「Cisco Threat Response」が利用できる。自社で導入しているシスコ製品からの脅威情報を自動的に統合し、脅威ハンティングの調査をシームレスに行える。

「当社の幅広いセキュリティポートフォリオにより、各セキュリティ製品の連携が非常にスムーズに行えます。また、サイバーセキュリティインテリジェンス&リサーチグループ『Cisco Talos』からの脅威情報とも連携し、マルウェアの検知率を押し上げてお客さまのビジネス環境を保護できます。誤検知が少ないため、管理負担が少ないこともメリットです」と西氏は語った。

攻撃者の先手を打つ“予測防御”の技術

McAfee

まずはEPPの強化を

「基本的に、攻撃者が狙うデータが存在しているのはエンドポイント端末、もしくはクラウドです。まずはこのエンドポイントとクラウドを守る製品を導入することが必要です」とマカフィーの櫻井秀光氏は指摘する。マカフィーでは、統合セキュリティソリューション「MVISION」を提供しており、デバイスとクラウドを2大コントロールポイントとして包括的に保護している。

 その中でのエンドポイント端末を保護しているのが、「MVISION DEVICE」の製品群だ。大きく分けてEPPとEDRによってエンドポイント保護を行っており、EPP製品として「MVISION Endpoint Protection」、EDR製品として「MVISION EDR」をラインアップしている。

「1999年にWinn Schwartau氏が提唱した『Time-Based Security』という防御システムの定量評価手法があります。防御時間>検知時間+対応時間という不等式が成立している限り、防御システムが有効だと判断できる指標です。20年以上前に提唱されたコンセプトですが、これは現代でも通用します。例えば侵入されても、データがあるサーバーを特定して到達して盗むまでの時間が長ければセキュリティソフトウェアでの対応が可能になります。多層防御やプロアクティブ対応によって防御時間をできるだけ長くすると同時に、侵入を早期に検知して迅速に対応できるようにすることで、検知時間と対応時間を極力短くして、セキュリティ被害を防げるのです。つまり、エンドポイントセキュリティで重要なのは、EPPを強化しEDRの運用負荷を軽減することであり、まずは現状のEPPで最適な防御ができているかを確認することが自組織のセキュリティ対策強化に重要になります」(櫻井氏)

 もちろんEDRによる対策も重要で、万が一感染した後に何が起こったかを分析するために役に立つ。EDRの浸透率は低く「まずはEPPの強化を行った上で、EDRの導入も進むべき」だと櫻井氏は指摘する。

 櫻井氏は「エンドポイントセキュリティ製品は多くのセキュリティベンダーが提供しています。当社製品の重要なポイントとしては、EPPとEDRがどちらも一つの管理コンソールから管理できる点です。また、マカフィーではエンドポイントセキュリティに対して新しい考え方を発表しています。EPPやEDRは、組織にマルウェアなど攻撃が着弾してからの対処をする製品でした。しかし、当社では攻撃が着弾する前に、グローバルの脅威動向を把握して先手を打った対策を実現できる『MVISION Insights』を新たに提供しています。MVISION Endpoint Protectionさえ導入していればMVISION Insightsは使えますが、EDRとの親和性が非常に高いため、MVISION EDRと組み合わせた活用がお薦めです」と語る。

 MVISION Insightsは、既存の侵入を目的としたセキュリティ対策に攻撃発生前に対策を行う“プロアクティブな対策”を実現できる製品だ。攻撃が開始され、拡散される状況を、自組織に着弾する前の段階で、攻撃の概要や詳細、ツールの情報を分析し、推奨対策を指南する。有効にした方がいい対策を提示するため、EPPやEDRと連携することで、包括的な事前対策が可能になるのだ。

脅威情報から攻撃を予測

 MVISION Insightsによるプロアクティブな対策が実現できる背景には、マカフィーが持つ“脅威インテリジェンス”の情報がある。同社のセキュリティ製品がインストールされた10億以上のエンドポイントやネットワーク、クラウドをセンサーとして活用し、どんな攻撃キャンペーンがグローバルで進行中かを把握する。また、グローバルや同業他社と比較した際の自社への攻撃可能性を分析し、セキュリティ状況に基づく脅威の優先順位付けを行うなど、自社環境固有の脅威を分析できるのだ。自組織に対する攻撃が発生する前に、攻撃者に先手を打つ“予測防御”を行うことが、今後のセキュリティ対策に重要になる。

 クラウド領域に対するセキュリティ対策として、マカフィーは「MVISION CLOUD」の製品群を提供している。その中でも特にテレワーク時のセキュリティ対策に役立てられるのが、CASB(Cloud Access Security Broker)製品「MVISION Cloud」だ。シャドーITの利用を防いだり、認可済のクラウドサービスが安全に利用されているかといった監視・制限を行ったりする。

 また、ガートナーが提唱したクラウド時代の新しいセキュリティフレームワーク「SASE」(Secure Access Service Edge)を単一のプラットフォームで提供する統合セキュリティプラットフォーム「MVISION Unified Cloud Edge」(以下、MVISION UCE)の提供を2020年3月からスタートしている。

 MVISION UCEでは、作業が行われる全ての場所でデータを保護し、クラウド固有の脅威を阻止するCASB、SWG(Secure Web Gateway)、DLC(Data Loss Prevention)を一つに統合している。また、2020年10月30日には新たに、リモートブラウザ分離(RBI)を統合し、単一の管理画面で複数の攻撃経路を監視できるよう機能強化を果たしている。この機能強化により、疑わしいサイトのみをWeb分離し、セキュリティと低コストを両立した。MVISION UCEの利用によって、作業が行われる全ての場所でデータを保護し、クラウド固有の脅威を阻止できる。

「働き方改革やテレワークの普及に伴い、重要なデータにアクセスするデバイスがどこにでもある状況になりました。これらの端末とデータをいかに効率的に保護するかが、働き方を見据えたセキュリティ対策の上で重要になります。クラウドからデバイスまで、トータルで対策製品を提供しているマカフィーが、企業のデジタルトランスフォーメーション(DX)を強力に支援していきたいですね」と櫻井氏は語った。

キーワードから記事を探す