センサーは、EDR（Endpoint Detection and Response）ソリューションにとって不可欠の製品です。エンドポイントセンサーとは、デバイス上に搭載される軽量型のソフトウェアコンポーネントであり、データを収集することにより、当該エンドポイントで何が起きているのかに関する一次情報を提供するものです。

広い意味でのセンサーとは、可視性の提供をはじめ、エンドポイントから得たデータの集約、対応措置の実施、アナリストや調査者への情報送信に至るまでを主に担当するものです。一方、エンドポイントセンサーとは、通常、脅威の検知と対応に不可欠となるデバイスに関する可視性を提供するものです。

その重要性を考えると、エンドポイントツールを評価する際には、ソリューション全体が持つEDR機能だけでなく、EDRセンサー自体に関しても十分に考慮する必要があります。

エンドポイントは、すべてのセキュリティ侵害や重大なセキュリティイベントに関与しているため、エンドポイントに関する可視性は非常に重要です。優れたセンサーは、エンドポイントのパフォーマンスにほとんど影響を与えることなく、リスクの軽減と攻撃者の一掃に必要となる可視性と制御を提供します。

EDRソリューションを評価する際のセンサーに関する考慮事項

センサーがもたらす負荷はどの程度か？

今日のEDRツールの中では、リソースを大量に消費するエージェントが一般的です。監視対象となるエンドポイントから多くの帯域幅を奪うようなセンサーや、分析用のエンドポイントデータをチェーン上に送信する際に大きなネットワーク負荷をかけるようなセンサーは、百害あって一利なしです。そのようなセンサーは、ビジネスの中断やユーザーの不満を引き起こす恐れがあるほか、管理しにくい環境をもたらす可能性すらあります。

同様に不満な点として、従来のEDRベンダーは、すべてのEDR機能を利用するために複数のセンサーを必要とすることが多いことが挙げられます。複数のセンサーは、アーキテクチャの断片化を意味し、この結果、全体的な環境が管理しにくいものになります。これは明らかにCISOやセキュリティチームにとって理想的なものであるどころか、逆に「採用してはならない」チェックポイントとなるべきものです。セキュリティ機能をフルに発揮するために複数の重いエージェントを必要とするようなEDRは避けるべきです。

理想的なエンドポイントセキュリティソリューションとは、環境と日々の管理を合理化するために単一のセンサーアーキテクチャを備えており、かつエンドポイントデータの収集と送信の際にエンドポイントとネットワークの両者に与える影響を最小限に抑えることができるものです。

そのセンサーは何を見て、何を集めるのか？

すべてのEDRソリューションが同じ標準に基づいて構築されているわけではありません。エンドポイントから収集すべきデータに関するアプローチや、分析用にチェーン上にサブミットできるデータに関するアーキテクチャ上の制約などは、ベンダーにより異なっています。

多くのEDRソリューションでは、脅威を発見するために収集し分析するデータが過度に単純化されており、一般的に使用されているツールの中には、プロセスや接続のような少数の主要なテレメトリソースのみに制限されており、よりニッチなデータソースを避けるものもあります。これは、攻撃者がセキュリティアナリストから隠れて自らのオペレーションをエスカレートさせる余地が十分にあることを意味します。

データ収集のアーキテクチャ上の制限により、一般的に使用されている競合他社のツールは、グラフまたは脅威検知サーバーにストリーミングされるエンドポイントからのデータをフィルタリングします。メッセージングにおいていくら言葉巧みにユーザーを誤魔化したとしても、デフォルトで行われているデータフィルタリングは、可視性が100%に満たないことを意味するという事実は変えられません。

セキュリティチームがエンドポイントの活動を完全にかつ正確に把握したいのであれば、データフィルタリングは避けるべきです。EDRソリューションを評価する際には、特定のセンサーによって何が収集され、何が除外されるのか、そしてエンドポイントからのデータフィルタリングが行われるのかどうかを理解する必要があります。

そのセンサーには、お使いの環境とどの程度互換性があるか？

監視されていないシステムやエンドポイントは、サイバー攻撃からの保護が行えないため、成功のためには、所定のIT環境のシステムに合わせて柔軟に拡張が可能なセンサーが不可欠となります。ほとんどのエンドポイントセキュリティソリューションは、Windows、Mac、Linuxの環境に導入できますが、いずれもWindowsを重視しており、MacやLinuxのエンドポイントに対する有効性のレベルはさまざまです。

価値あるEDRツールは、機能的な等価性を有しており、エアギャップ構成にも導入可能であり、そして今もなお使用されているレガシーバージョンのオペレーティングシステムをサポートしている必要があります。

そのセンサーは外部からの改竄に対してどの程度セキュアであるか？

攻撃者は、エンドポイントセキュリティソリューションの機能と弱点を熟知しており、侵入プロセスにおいて脆弱なセンサーを無効化しようとするため、センサーの改竄が懸念されます。理想的なエンドポイントソリューションのためのセンサーは、センサーを保護するためにはどんな苦労も惜しまないものでなければなりません。

一般的に使用されているエンドポイントセンサーの中には、暗号化されていない状態でエンドポイントにインストールされているものもあます。その場合、攻撃者はエージェントがどのようにプログラムされているかを容易に理解できます。これは、そのエージェントをバイパスしたり無効にしたりする作業が、エンドポイントベンダー自身により支援されていることを意味します。

Cybereason Sensorの特長

Cybereason Sensorは、軽量で動作環境に与える影響が少ない、あらゆるデバイスに導入可能なセンサーであり、エンドポイント市場のあらゆるセンサーの中で最もディープな可視性を提供します。Cybereason Sensorには次の特長があります。

悪影響を与えない

当社の研究開発のモットーは、当社のエンドポイントセンサーが悪影響を与えないようにすることであり、EDRソリューションの日々の利用に関連するブルースクリーンや高コストのビジネス中断を回避することです。

Cybereason SensorのCPU使用率は5%を超えることはなく、スキャン中やエンドポイントでの重いセキュリティ負荷がかかっているときでも平均1～3%となります。これは無視できるほどの数字であり、競合ソリューションよりも劇的に低くなっています。メモリ使用量は、エンドポイントおよびユーザーごとに70～100MBの間にとどまりますが、総メモリ使用量の5%という上限が設定されています。

最高レベルの可視性

可視性はEDRソリューションにとって不可欠であり、可視性がなければ、攻撃者は侵入先のネットワーク内を検知されずに移動できます。Cybereason Sensorは、エンドポイント上のデータに対して最高レベルの可視性を提供するものであり、データフィルタリングを行うことなく、すべてのエンドポイントアクティビティの全体像を提供することを可能にします。Cybereason Sensorは、ユーザー空間を調査するほか、オペレーティングシステムの内部を見るためのカーネルレベルのアクセスも提供します。これにより、ノイズのないデータを収集することで、セキュリティアナリストが真の検知を行えるようになります。

Cybereason Sensorは、あらゆる手段を通じて、市場における競合他社ソリューションよりも多くのテレメトリを収集します。これには次のデータが含まれます。

• プロセスアクティビティ
• ネットワーク接続
• ファイルイベント
• デバイス情報
• ユーザー情報およびアクティビティ
• 自動実行設定
• プロセス間通信
• その他

柔軟性と拡張可能性

Cybereason Sensorは、複雑な環境を持つチームのニーズを満たすだけでなく、企業全体へと簡単に拡張できます。ITおよびセキュリティチームは、サイバーリーズンの顧客になってから30日以内に、数10万台のセンサーを完全に導入でき、ほぼ即時のタイムトゥバリューを実現できます。当社のカバレッジには、標準的なIT構成、エアギャップシステム、オフラインエンドポイント、クラウドおよびハイブリッド環境、オンプレミスデータセンターが含まれています。

Cybereason Sensorは、予防アクションやデータ収集のために、当社のグラフ（MalOp™ Detection Engine）と独立して動作できます。これにより、常にpingを実行する必要もなければ、検知サーバーへの接続を中断させることもなく、意味のあるセキュリティアクションを実施することが可能となります。完全な検知と対応には、グラフおよび検知サーバーとのタッチポイントが必要となりますが、隔離された構成であっても、多くの脅威をセンサー経由で直接ブロックできます。

Cybereason Sensorは、現在市場に出回っているエンドポイントベンダーの中で、最も幅広いオペレーティングシステムのサポートを誇っています。これには、Windows、Mac、Linuxのような標準的なオペレーティングシステムはもちろんのこと、今もなおチームで使用されている数10年前のニッチなOSのサポートも含まれています。

セキュリティ

Cybereason Sensorは、悪質な攻撃者による改竄行為から保護されています。当社は、独自の内部監査とペネトレーションテストに加えて、サードパーティーと相談した上で同センサーのペネトレーションテストを実施することで、潜在的な脆弱性がないかどうかを調査し、発見された問題を研究開発部門で解決しています。

多くのセキュリティ担当者が記憶しているように、2020年12月、ITインフラ管理プロバイダーであるSolarWindsは、早くは2020年春に始まり、最終的に世界中の数万件の組織に影響を及ぼした「非常に高度な」サプライチェーン攻撃を経験した後、セキュリティアドバイザリーを発行しました。

悪意ある攻撃者は、SolarWinds製品のアップデートプロセスを利用してSolarWindsのクライアント環境にアクセスし、パーシステンスを確立し、悪意あるコードを実行しました。攻撃者は、多くのセキュリティソリューションとそのセンサーを無効化した後、ターゲットネットワーク内でラテラルムーブメントを実行しました。これらの活動は、すべて検知されないままでした。

サイバーリーズンのお客様にとって嬉しいことに、Cybereason Defense プラットフォームをネットワーク上で検知した場合、攻撃者は、偵察の段階で侵入の試みを即座に中止したという事実があります。これは、当社のセンサーがいかにセキュアであるかを証明するものです。攻撃者は意図的にCybereason製品を避けており、同製品が見つかった時点で、早々に攻撃を止めてしまいました。

対応の自動化とオーケストレーション

Cybereason Sensorは、エンドポイントからのデータを集約して検知するという重要な役割を担う一方で、脅威が発生した際にはいつでもエンドポイント上での対応アクションを促進するという二重の役割を担っています。

セキュリティチームは、プロセスの強制終了、レジストリの削除、DFIR調査でのファイルの検索と収集、暗号化されたファイルの以前の破損していない状態への復元、およびその他、多数の対応アクションを実施できます。Cybereason Sensorは、エンドポイント制御を可能にするほか、ファイアウォールなどのコンポーネントと連動して、既知の悪意ある活動をブロックすることもできます。

Cybereasonは、対応の自動化とオーケストレーションを実現しています。MalOpは、攻撃の完全なストーリーを理解しているため、すべての検知に対してカスタマイズされた対応のプレイブックを自動的に割り当てることで、影響を受けるすべてのユーザーとデバイスへの対応のオーケストレーションをワンクリックで実行できます。

統合

CISOやCIOは、ITスタックを統合するあらゆる機会を敏感に察知することで、単一のベンダーやソリューションを通じてより多くのセキュリティ業務を行えるようになります。Cybereason Sensorは、単一のコンソールにデータを送信する単一のセンサーであり、次のような統合を実現するための多くの機会を提供します。

• 老朽化したAV技術や効果のないAV技術の置き換え
• 複数のエージェントを必要とする新しいEDRソリューションの置き換え
• 単一のセンサーアーキテクチャを通じて、クラウドソース、生産性アプリケーション、SaaSアプリケーション、アイデンティティソースを含めるよう、検知と対応を拡張（XDRへの移行）

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/