ハッカーは常にツールを進化させ、高度化なハッキング手法や戦術を利用しているため、サイバー攻撃は日ごとに巧妙さを増しています。このため、従来型のセキュリティツールから脱却することが企業にとって非常に重要となっています。ファイアウォールやアンチウイルスソフトウェアによる防御は、高度な脅威に対する防御としてはもはや不十分です。

エンドポイントを重視する理由

最新のサイバー犯罪の脅威に対抗するためには、企業は自社で使用しているエンドポイントに改めて注目する必要があります。

EDR（Endpoint Detection & Response）プラットフォームは、企業が抱えている環境全体におけるアクティビティを監視する機能を提供することで、悪意ある行動の検知やその行動への対応がより適切に行えるようにします。

サイバーセキュリティ業界における最新分野であるEDRは、サイバー犯罪との戦いにおいて重要な武器を提供するほか、ハッカーが深刻な被害をもたらす前に企業がハッカーの行動を阻止するための戦略を大きく発展できるようにします。

サイバーリーズンのCEO兼共同設立者であるLior Divは、堅牢なセキュリティプログラムにおける調査の主要点としてのエンドポイント・セキュリティの重要性について、過去に次のように述べています。

「我々は当初、エンドポイント・コンポーネントを含まない攻撃者検知機能の開発を試みました。しかし、さまざまな可能性を検討した結果、1つの明確な結論を得ました。それは、エンドポイントに関する可視性を利用することなく複雑なハッキング行動をリアルタイムで検知し、かつ効果的に対処するために十分なハッカーのアクティビティに関する可視性を確保する方法は存在しない、ということです。エンドポイントは、ハッカーのアクティビティが発生する場所であるため、ハッキング行動が展開される際に、エンドポイントはそのハッキングに関する正確で直接的な情報を提供してくれます」。

アンチウイルス・ソフトウェアだけでは不十分でEDRが必要な理由

EDRは、一般的に「次世代アンチウイルス（NGAV）」ソリューションと混同されています。これはEDRとNGAVが両方ともエンドポイント・ソフトウェア・コンポーネントに基づいているためです。

しかし、実際のEDRは、既知のシグネチャやハッシュに基づいて検知を行うアンチウイルスやNGAVとは異なります。新興カテゴリであるEDRソリューションはシグネチャの先を見越しており、シグネチャベースではない悪意ある行動を見分けるための追加機能を配備することで、企業や組織の検知機能を向上させます。

また、EDRは、ハッカーが企業環境内にすでに足場を確保している基盤の上に構築されます。データ漏洩やセキュリティ侵害に対するこのような「not if but when（起こるか起こらないかではなく、いつ起こるかを問題にする）」式のアプローチは、企業や組織が、すでに自社ネットワークに侵入している攻撃者を検知するために役立つソリューションに投資する必要があることを意味します。サイバーリーズンのEDRプラットフォームはそのようなソリューションの1つです。

サイバーリーズンは、「ハッカーの考え方」をサイバーセキュリティに取り込むというアイデアに基づいて構築されました。このプラットフォームは、ハッカーによる攻撃を待つのではなく、プロアクティブな自動化されたハンティング機能を提供することで、企業が攻撃の初期段階で自社環境における悪意ある行動を検知し、悪意の連鎖を断ち切り、攻撃を停止させるためのより適切な戦略を開発できるようにします。

Cybereason EDRを選ぶ理由

1. 一夜にしてサイバーハンターになることができる

「not if but when」時代のサイバーセキュリティにおいて、企業や組織は、各自の環境において自分自身がハッカーを追い求めるプロアクティブなハンターとなる必要があることを理解しています。

しかし、これを実現するために十分な人材とスキルを備えた自社のセキュリティチームを持つ企業はほとんど存在していません。プロアクティブなハンティングを行うには、無数のクエリを構築することに加えて、それらのクエリにより生成された数えきれないほどのアラートに対処できる有能なインシデント対応チームが必要となります。

労働統計局の報告によれば、あらゆる業種でセキュリティ人材がますます不足しているとのことであり、この問題を抱えているのは貴社だけではありません。

ほとんどのツールでは、プロアクティブなハンティングを実施するためには手動でのクエリ構築が必要となりますが、Cybereason EDRは組み込み型の自動ハンティング機能を備えているため、これを使うことでセキュリティチームは、最も単純なシグネチャベースの攻撃から、洗練された非シグネチャベースのまったく新しいAPT攻撃（高度標的型攻撃）に至るまで、あらゆる種類の攻撃を見分けることが可能となります。

Cybereason EDRはゲームチェンジャーであり、これを導入することで企業や組織は一夜にしてサイバーハンターになることができます。

2. アラート疲れに別れを告げる

我々は、サンドボックス、SIEM、IDS/IPSなどの各ソリューションによって、ずっと苦しめられています。

これらのソリューションは、毎日数百件または数千件ものアラートを生成してセキュリティチームを悩ましているからです。

セキュリティチームが、自社環境にインストールされているマルウェアに関してセキュリティプロバイダーからアラートを受け取ったが、同イベントと同時に40,000件もの他のアラートに対処していたために、同チームはその重要なアラートを見逃してしまったという事例もありました。アラート疲れは、企業や組織のセキュリティ体制を確実に脅かします。

Cybereason EDRの意思決定アルゴリズムは、数学的モデルとセキュリティに関する知識を自動的に適用することで、アラートを検証し、悪意ある行動を誤判定から区別し、悪名高い“アラート疲れ”を一掃します。

この結果、セキュリティチームは、異常だが無害のユーザー行動に関してではなく、真の脅威に関してのみアラートを受け取ることになります。

3. 攻撃の内部で何が起こっているかを即座に知ることができる

インシデント・レスポンス（IR）スタッフがアラートへの対応を開始するまでにかかる時間は平均で1時間です。しかし、時には、インシデント・レスポンス（IR）チームがCEOによる「何が起こっているか？」という単純な質問に回答するために、攻撃の根本原因、感染の拡大、感染したマシンの台数などを把握しようとして数日または数週間も時間をかけているケースも我々は目撃しています。

Cybereason EDRでは、情報の収集において一瞬たりとも無駄にしません。Cybereason EDRを導入すると、セキュリティチームは、あらかじめ計画された方法に従って行動方針を即座に決定し、同方針に基づいて行動できるようになり、これらの要素に関して無駄な時間を費やす必要はなくなります。

また、Cybereason EDRの高度に視覚的なインシデント・レスポンス・コンソールは、攻撃のタイムライン、根本原因、攻撃アクティビティ、通信、感染したエンドポイントやユーザーを含む、完全な攻撃シナリオをセキュリティアナリストに提供します。

これにより、セキュリティチームは、攻撃の開始時期、感染経路、これまでの被害状況を正確に把握した上で、適切な対策を実施できるようになります。

4. エンドポイントやネットワークへの干渉なし

Cybereason EDRは、「セキュリティは干渉することなく、エンパワーメントを実現すべきである」という信念に基づいて開発されています。

セキュリティ・ツールが、ユーザーエクスペリエンスやネットワークパフォーマンスに干渉することがあってはなりません。

万一そのような干渉があると、結局それらのツールは重荷となり、最悪の場合、使われないソフトウェアとなってしまいます。これが、Cybereason EDRがそのエンドポイントのサイレントセンサーを、カーネルレベルではなく、当該エンドポイントのユーザーレベルに搭載する独自の設計を行っている理由です。

また、これは、ユーザーエクスペリエンス、マシンの安定性、ネットワークフローがすべてスムーズに継続していることを保証するために差分送信のユニークなメカニズムを構築している理由でもあります。

これにより、エンドユーザーにとって完全に透過的となる堅牢なデータ収集メカニズムがもたらされます。

Cybereason EDRプラットフォームは、あらゆる規模の組織を対象とした包括的なEDRプラットフォームを提供します。自動化されたハンティング機能や行動分析機能を含むCybereason EDRの機能の詳細はこちらをご確認ください。

「次世代エンドポイント（EDR）のメリット」とは？ Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/