カスペルスキーは5月31日、法人向けEDR製品「Kaspersky Endpoint Detection and Response」をパートナー経由で販売開始すると発表した。同製品は、エンドポイントへの高度な攻撃の兆候をいち早く検知・分析して影響範囲を把握し、速やかな対応の実行をサポートする。
専務執行役員の宮橋一郎氏は、同製品の位置づけについて、「脅威を可視化し管理下に置くことで被害を防止するというコンセプト『Kaspersky Threat Management & Defense』を実現する製品の1つ」と説明した。同社は、高度な標的型攻撃に対するセキュリティ対策を支えるテクノロジー、スキル、プロセスは、従来の「防御」から「発見と対処」を中心としたものに変革する必要があると考えてる。
「Kaspersky Threat Management & Defense」は、「Kaspersky Endpoint Detection and Response」のほか、標的型対策ソリューション「Kaspersky Anti Targeted Attack Platform」、 セキュリティサービス「Kaspersky Cybersecurity Services」によって実現する。
これら3つの製品によって、攻撃の準備、初期侵入、指令制御、内部活動、目的実行とすべての攻撃のプロセスにおいて異常を検知し、収集した情報を解析・判定し、脅威を無害化、システムの復旧を行う。
「Kaspersky Endpoint Detection and Response」の詳細については、コーポレートビジネス本部 技術統括部 統括部長 関場哲也氏が説明を行った。
同製品は、エンドポイントの動作情報を収集する「エンドポイントセンサー」、収集した情報を分析する「セントラルノード」、さらに高度な分析を実行する「アドバンスドサンドボックス」の3つのコンポーネントで構成される。
セントラルノードでは、エンドポイントセンサーから収集したエンドポイントの動作情報を、機械学習を搭載した標的型攻撃アナライザー、アンチマルウェアエンジンを含む複数の技術と、クラウドベースの脅威情報基盤「Kaspersky Security Network」から提供される情報を組み合わせて分析を行う。
関場氏は、同製品の特徴的な技術として、「標的型攻撃アナライザー」と「アドバンスドサンドボックス」を挙げた。標的型攻撃アナライザーはデータ処理エンジンで、機械学習を用いて、エンドポイントセンサーから収集した情報をもとに平常時のエンドポイントのプロセスを継続的に学習する。学習したものと比較して、エンドポイントで不審なふるまいが見られた場合はインシデントとして検知する。Kaspersky Security Networkから配信される新しい学習ロジックを常に反映し、新しい脅威にも対応する。
一方、アドバンスドサンドボックスは、同社が独自に開発したサンドボックスで、サンドボックスを回避する機能を備えたマルウェアへの対応を行う。具体的には、マルウェアを一定時間動作させて、生み出すさまざまな結果を収集する。
さらに、関場氏は同製品の特徴として、業界の標準技術である「IOC(Indicator of Compromise:セキュリティ侵害の痕跡)」と「YARA」を採用している。そのため、幅広いインテリジェンスを利用することができ、カスタマイズ可能な検知ルールが実装可能となっている。
そのほか、「Kaspersky Threat Intelligent Portal」とシームレスな連携によって、「Kaspersky 脅威情報ルックアップサービス(属性情報、IOC)」、APTインテリジェンスレポート(IOC)」のデータを活用できる。
2017年度の国内法人ビジネスは二桁成長
説明会では、代表取締役社長の川合林太郎氏が、透明性の向上に向けた取り組み「Global Transparency Initiative」とデータの取り扱いについて説明した。
同社はロシアに本拠を置いていることから、米国などの政府機関でロシア政府からの影響を受ける可能性を懸念があるとして、同社製品の利用を停止するという発表がなされている。それを受けて、同社は2017年10月に、「Global Transparency Initiative」を発表した。
「Global Transparency Initiative」では、情報セキュリティコミュニティや関係者とこれまで以上に幅広く連携し、同社の製品、社内プロセス、事業運営における信頼性の検証と実証を図るとともに、説明責任に関する新たな仕組みを導入することで、同社があらゆるセキュリティ問題に迅速かつ徹底的に対処していることを証明していく。
川合氏は既に実施した取り組みとして「バグ報奨金プログラムの報奨金を最大10万米ドルに増額」を紹介し、今後は「独立機関による検証・評価・策定の実施」「Transparency Centerをアジア、欧州、米国の3カ所に開設」に取り組んでいくと語った。
最初のTransparency Centerはスイスに設置されることが決まっており、2018年第4半期までにユーザーデータを処理・保存するサーバ、ソフトウェア・アセンブリを移管するという。
川合氏は「2017年は地政学問題の影響を受けたが、法人ビジネスは前年比で二桁成長を果たせた」と、国内の法人ビジネスが順調であることをアピールした。