10月11日~13日に東京ビッグサイトで開催されたITpro EXPO 2017の会場で、興味深いEDR(Endpoint Detection & Response)製品をSCSKブースで発見した。SCSKは、2011年10月に住商情報システムとCSKが合併して誕生した企業で、フルラインナップでのITサービスを提供している。グローバル化を推し進めていくなか、グループ企業とのシナジー効果のひとつとして、今回様々なアプローチのセキュリティ製品が展示されていた。

ITpro EXPO 2017会場内SCSKブースより

まずピックアップするのが、次世代エンドポイントセキュリティ「enSilo(エンサイロ)」だ。先に述べた“興味深いEDR製品”というのが本ソリューションなのだが、既存のEDR製品とは完全に異なり、enSiloは不審なプロセスを一旦“保留”することで被害を文字通り未然に防いでくれるのだ。従来のEDR製品では、マルウェアが実行された後の挙動を監視し、有害なモノであれば今後の対応に必要な証拠や痕跡等の情報を収集して対処するのが一般的。対するenSiloは、マルウェアを実行させることなく、カーネルレベルで不正な挙動を検知し、次世代アンチウイルスと自動インシデント対処機能により高精度で脅威を排除してくれる。

ファイルの書き換えや消去、暗号化やデータ流出等の動きが開始される際にその動き自体を自動的に遮断してくれるため被害を極小に留めることが可能なのが特徴だ。enSiloはランサムウェア対策にも効果を発揮してくれるそうで、暗号化処理プロセスの実行直前に一旦保留し、ランサムウェアか否かを判断しブロックしてくれる。万一、未知のものですり抜けてしまい実行されたとしても、途中で暗号化処理プロセスを止め、既に暗号化されたファイルを暗号化以前のコピーデータから自動的に復元する。ちなみに、このenSiloを用いたエンドポイントの監視・運用サービス(MDR:Managed Detection & Response)を2018年初旬に提供開始する予定とのこと。

enSiloの特徴を示したスライド。一般的なEDR製品とenSiloの違いが示されている。enSiloは悪意あるプログラムを実行させることなく、その脅威を未然に防ぐのだ

モニター上で表示されているこの画面は、「NGAV(次世代アンチウイルス)」「Automated EDR」とともにenSilo用意されている「Forensics」のイメージ。実行された内容の事後調査や各種対策を実施することが可能

このenSiloも含め、今回SCSKブースに展示されていたソリューションは海外の最先端技術を駆使したものが多数出展されていた。次世代マルウェア対策「enSilo」、わずか90秒で内部脅威と情報漏洩調査が可能な「THINAIR」、ドローンによるテロを未然に防ぐ探知システム「Dedrone」、コンテナのスキャンを行い疑わしいアクティビティや攻撃を検出・防御する「aqua」、セキュリティとユーザビリティを両立させた次世代認証技術「SECRET DOUBLE OCTOPUS」、Webとファイルの無害化をシングルプラットフォームで行う「Light Point Security」、モバイル版VDIソリューション「sierraware」、クラウドサービスの機能はそのままにデータを暗号化する「Vaultive」、ファイル・メールの無害化ソリューション「SasaSoftware」と、数多くのソリューションが紹介されていた。

何故これだけのユニークな最先端ソリューションを紹介できたのか?そのココロを解説員に伺ったところ、グループ企業内のベンチャーキャピタルが出資した案件の成果として「こんなソリューションができたけど、何かで使えそうだよね!」と“種まきから収穫”の過程で得られた結果なのだそう。ユニークなものが多いだけに、enSilo同様近い将来サービスとして展開して欲しいし、されるのではないだろうか。

企業からのニーズが高いというSIEMの次世代版「Microfocus ArcSight UBA」のデモンストレーションも多くの来場者の興味を惹いていた。内部の人間による情報漏洩を未然に防ぐソリューションで、普段のPC使用状況を学習し普段とは異なる異常行動を検出してくれる