- 2019/05/23
- EDR
EDR製品は「採用するテクノロジー」によって大きな違いが生まれる
Post by : Yukimi Sohta
機械学習を駆使して脅威をリアルタイムに分析
少し前までEDRは多くの方にとって目新しい技術でしたが、現在ではある程度成熟が進み、どのベンダーの製品も少なくともカタログスペック上は大きな機能差はないように見えます。しかし、一見同じように見える機能でも、その裏で動いている技術は各ベンダーごとにかなりの違いがあり、そのことが各製品のキャラクターを決定付けているとさえ言えます。
カタログスペック上は同じような機能を備えているように見えても、採用するテクノロジーによって性能や安定性、使い勝手などに大きな差が生まれることもあります。そのため、EDR製品の採用を検討する際には、表面的な機能だけではなく、その背後で使われているテクノロジーについても情報を収集しておきたいところです。
ちなみに弊社が提供するEDR製品「Cybereason EDR」は、先進的かつ独創的な技術を数多く採用しており、それによってほかのEDR製品との差別化に成功しています。例えば、エンドポイント上で取得した膨大な量のログデータの中から脅威を検知するために、機械学習を駆使したリアルタイム分析エンジンを採用しています。これによって、人間では分析しきれない膨大な情報をAIによってリアルタイムに計算・処理し、エンドポイント上での異常な振る舞いと攻撃パターンからより正確かつ短時間で攻撃を検知できるようになっています。
機能ごとにエージェントのコンポーネントを分割
エンドポイントに導入するエージェントソフトウェア(センサー)にも、独自のアーキテクチャを採用しています。Cybereason EDRはEDR製品としての機能のほかにも、アンチ・ランサムウェアや次世代アンチウイルスなど、オプションも含めてさまざまな機能を提供しています。エージェントソフトウェアにはこれらの機能が含まれていますが、単一のソフトウェア内にすべての機能を詰め込む代わりに、機能ごとにコンポーネントを分けたアーキテクチャを採用しています。
ユーザーは、実際に利用する機能のコンポーネントを選んで組み合わせることで、エージェントソフトウェア全体を構成します。こうしたアーキテクチャには、幾つものメリットがあります。例えば、ある機能に不具合が生じたとしても、動作に不具合が生じるのはその機能を実装したコンポーネントだけであり、ほかのコンポーネントの動作には影響を及ぼしません。そのため、ソフトウェア全体の安定性や堅牢性を常に高レベルに保つことができます。
また、利用する機能分のコンポーネントのみを動作させるため、システムに与える負荷は最小限で済みますし、コンポーネントごとに消費リソース量を監視することで、各機能に応じたリソース利用の上限設定も可能になります。加えて、Cybereason EDRでは複数のコンポーネントを一元管理できる仕組みを備えていますから、管理の効率や柔軟性という面でもメリットがあります。
動的かつインテリジェントなネットワーク制御
ネットワーク管理の面でも、Cybereason EDRは独自の技術を採用しています。Cybereason EDRは、エンドポイントで収集したログ情報を、クラウド上にあるサーバーに定期的に送信します。このときの通信の効率や安定性に問題があると、十分な性能を発揮できないだけでなく、ネットワークに余分な負荷を与えることでシステム全体のスループットや安定性にも悪影響を与えかねません。
その点Cybereason EDRは、クラウドとの通信時に最も負荷の高いTCP/IPハンドシェイクを最適化することで、システムやネットワークに与える負荷を最小限に抑えています。エラーが発生した際のリトライメカニズムにも工夫を凝らすことで、優先順位と接続方法ごとに最適な接続方法を自動的に判断してくれます。
またクラウドとの通信がネットワーク帯域をひっ迫しないよう、帯域制御を自動的に行ってくれる機能も備えています。例えば、接続時の帯域制御の設定に応じて最適な接続方法を動的に探索してくれたり、あるいは接続時の帯域幅を制限して送信データ量やタイミングを自動的に制御してくれる機能も備えています。
「グラフデータベース」による脅威技術の高速検索
脅威情報を管理・検索するためのデータベースにも、先進技術が採用されています。具体的には、「グラフデータベース」というタイプのデータベースで脅威データを管理することで、一般的なリレーショナルデータベースよりはるかに高速に脅威情報を検索し、その結果を基に問題の根本原因に素早くたどり着けるようになっています。
脅威をリアルタイムに検知して、即座に対応できるようにするためには、脅威データベースの検索パフォーマンスが重要な鍵を握ります。Cybereason EDRはグラフデータベースを採用することで、これを可能にすると同時に、クラウド上のコンピューティングリソースを節約する上でもグラフデータベースの採用は大いに貢献しています。
このようにCybereason EDRは、脅威データベースの構造や、分析エンジン、ネットワーク制御など、EDR製品のパフォーマンスや安定性を大きく左右するコア技術に先進テクノロジーを積極的に採用しており、このことがほかのEDR製品との大きな差を生む要因となっています。EDR製品の導入を検討する際には、ぜひこうした「機能の背後にあるテクノロジー」にも着目しながら、真に優れた製品を選びたいところです。
「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中
CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033
