第3回 数多あるEDR製品の最適解「ESET Enterprise Inspector」

サイバー攻撃の手口が高度化・巧妙化する昨今、侵入した脅威にどう対処するかに主眼を置いた「事後対策」への関心が高まっている。なかでも脅威の侵入をいち早く検知し、しかるべき対策へと導いてくれるEDR(Endpoint Detection and Response)は、セキュリティ業界におけるいま最も旬な製品といえるだろう。本連載の最終回となる今回は、前回触れた「製品を選ぶうえで抑えておきたいポイント」を網羅した製品として、キヤノンマーケティングジャパン(キヤノン MJ)が2019年5月に国内リリースした『ESET Enterprise Inspector』を担当者の声とともに紹介する。

• 

すべての選定ポイントを満たすEDR製品

目下さまざまなベンダーからEDR製品がリリースされているが、選定する際には検知力や運用性/カスタマイズ性、既存のアンチウイルス製品との共存性など、抑えるべきポイントがいくつもある(本連載第2回参照)。

そして、抑えたいポイントのすべてを満たすEDR製品が、キヤノンマーケティングジャパン(キヤノンMJ)が2019年5月、法人向けESETセキュリティ ソフトウェア シリーズの新製品として国内リリースした「ESET Enterprise Inspector(以下EEI)」である。

ESETだから誇れる高い検知力

EEIは、ESETのエンドポイントセキュリティ製品と連携して動作するEDR製品となっている。EEIを含めESETブランドの製品には、30年にもおよぶエンドポイントセキュリティの研究によるノウハウが反映されており、世界中の企業、そして第三者機関からも高い評価を受けている。

キヤノンMJ エンドポイントセキュリティ企画本部 エンドポイントセキュリティ企画部 エンドポイントセキュリティ企画第一課 チーフの植松 智和氏はこう話す。「ESETの多層型エンドポイント保護プラットフォームを活かすことができるEEIは、すべてのエンドポイントから大量の関連データを収集しリアルタイムに分析することで、エンドポイントにおけるあらゆる脅威に対する、迅速かつ総合的な防御、検知、対応を支援します」

• 

  キヤノンマーケティングジャパン株式会社
  エンドポイントセキュリティ企画本部 エンドポイントセキュリティ企画部
  エンドポイントセキュリティ企画第一課 チーフ 植松 智和氏

EEIは、法人向けESET Endpoint Protectionシリーズ(以下EEP)のバージョン7以降と、統合管理システム「ESET Security Management Center(以下ESMC)」を導入している環境で利用することができる。監視対象とするエンドポイント(PCやサーバー)ごとにライセンスが付与され250ライセンスから提供される。

EEIの特徴のなかで、まず着目したいのは高い検知力だ。EEIは、ESETの多層防御のアプローチにより、サイバーキルチェーンのあらゆる段階の脅威を迅速に検知することができる。その多層防御を構成する要素の1つ「ESET LiveGrid(以下LiveGrid)」では最新の機械学習テクノロジーが活用されている。

LiveGridは、世界中の1.1億台にもおよぶESETユーザーからマルウェアやマルウェアと疑われるファイルを収集するクラウド型システムだ。収集した情報は、20年以上の実績を持つESETの機械学習機能を用いて解析され、正当なアプリケーションかマルウェアかを自動判定する。そこで新たな脅威と認められた場合には、検出エンジンやソフトウェアの安全性評価の結果にその情報が即座に反映される仕組みとなっている。

キヤノンMJ エンドポイントセキュリティ企画本部 エンドポイントセキュリティ技術開発部 エンドポイントセキュリティ技術検証課の西村 亮氏は「エンドポイント単体で脅威をみるのではなく、そこでも判断しきれなかった疑わしいファイルはLiveGridのクラウド側で解析し判断するという多層構造となっています。脅威かどうかを判断する根拠となる情報の母数が非常に多いため、より正確な判断を行うことができるというのは、EEIをはじめESETブランドの製品全体の強みであると自負しています」とESETだからできる構造的な強みを語る。

• 

  キヤノンマーケティングジャパン株式会社
  エンドポイントセキュリティ企画本部 エンドポイントセキュリティ技術開発部
  エンドポイントセキュリティ技術検証課 西村 亮氏

• 

  EEIはローカルのルールだけでなく、LiveGridの評価を組み合わせて脅威を判断するため、常に最新情報での検知を可能とする

さらに植松氏はこう続ける。「当社でEEIを提供するにあたっての技術検証を行っていますが、EDR製品としてのEEIの検知力の高さや誤検知の少なさは特筆に値するといっていいでしょう。ESET社では従来から一貫して『誤検知ゼロ』を目標に掲げており、第三者テスト機関であるAV-Comparativesからも『最も誤検知率が低いベンダー(※)』と評価されています。EEIにも誤検知の少なさが反映されており、それは信頼性の高さにもつながっているのです」

(※)サイバーセキュリティアワードAV-Comparatives「サマリーレポート2018」より https://www.eset.com/jp/about/newsroom/press-releases/2019/pr-release-20190327-av-comparative-gold-silver/

シンプルに、やりたいことを実現する運用性

運用性とカスタマイズ性においてもEEIは優れた性能を持つ。EDRはエンドポイントの挙動を継続的に監視して、そこから一定のルールに則って「不審な挙動(＝脅威の可能性)」を検出する仕組みを持つが、この脅威と判定する判断基準は企業や部門ごとにまちまちである。

そのためEDRの導入後には、判定ルールを自社環境にあわせて最適化するとともに、その後も継続的にチューニングしていく必要がある。EEIには、このチューニングやカスタマイズが効率的に行えるようさまざまな機能が備わっている。

チューニングの過程について植松氏は次のように説明する。「EEIを導入したばかりの頃は数多くのアラートが生じることでしょう。そこで個々のアラートの内容をみていくと、ちゃんと脅威として検知した理由が詳しく記述されているので、セキュリティ担当者はそれをみながらこれは正常な動作だからアラートは必要ないなどとワンクリックで設定していけるようになっています」

• 

  (左)ワンクリックで設定可能なアラートの一覧画面(右)各アラートの詳細を示すProcess Tree

たとえばリモートワークを推奨している部門やチームであれば、【リモートワークで使用している端末による外部からの接続に対しては、特定のアラートを上げないように調整する】といった具合である。こうして企業ごと、部門ごと、さらにはチームごとなど、それぞれの特性に応じたチューニングが、EEIであれば容易に行えるのである。

「当社では、お客さまの事情にあわせたEEIの最適化から実運用が軌道に乗るまでの支援も行っています。最終的にはお客さま自身がルールを設定していけるまで、しっかりとサポートします」(植松氏)

「セキュリティ運用の自動化という機運も一部ではありますが、完全に機械任せにしてしまうと、それがブラックボックス化してしまい、何が行われているかわかりません。EEIであれば脅威ではなく正常な可能性までもその根拠として示してくれるので、より適切な判断が行えるようになります」(西村氏)

さらに、EEIには多角的な切り口でダッシュボードが用意されているなど、セキュリティ担当者が求める結果を追いやすいよう直感的なUI設計がなされている。

これに関し植松氏は「EEIのダッシュボードでは、アラート単位や実行ファイル単位、コンピュータ単位など、さまざまな視点から解析を行うことができます。『管理者がやりたいことをシンプルに実現できる』ようにデザインされたEDRがEEIなのです」と力説する。

アンチウイルスとの連携でより高度なセキュリティを実現

EEIはアンチウイルス機能を持つEEPシリーズと連携して稼働するよう設計されているため、脅威を包括的に防御し可視化することができる。EEIでは、監視対象のエンドポイントに、ESMCを使った一括配布などによりエージェントをインストールする。このEEIエージェントはEEPと連携動作し、カーネルモードで動作するEEP(センサー)が収集したプロセス情報などをサーバーに転送する仕組みとなっている。EEIエージェントは主に転送処理を担うため軽量で、さらにユーザーモードで動作するので、エンドポイントのシステムに影響を与えるリスクも低い。

「EEPでマルウェアを検知した際には、その情報はEEIにも伝えられるため、検知後の被害調査なども迅速に行えます。またESMCから統合管理できるため、EEIの導入によって管理ツールが増える心配も不要です。そしてEEIの管理コンソールは、すでにEEPに触れているセキュリティ担当者であれば直感的に使えるデザインとなっています」(西村氏)

• 

  ESETユーザーであれば”お馴染み”のWebコンソール

ESETシリーズにおけるEEIの役割と今後の展望

キヤノンMJとしては、EEIを軸にESETブランドのさらなる展開を図っていく構えだ。

「自社だけでは運用が難しいというお客さまには、マネージドサービスとしてのEEIの提供も検討しているところです。包括的なエンドポイントのセキュリティについては、ぜひ当社にお声がけいただければ、きっと期待に応えてみせます」──植松氏は力を込めて宣言した。

---

さて、「EDRまるわかりガイド」と題し、3回にわたる連載形式でEDRについて必要な情報を紹介してきたが、いかがだっただろうか。情報セキュリティ対策はもはや次のステージへと進んでおり、そこではEDRのようなツールの活用が欠かせないことがおわかりいただけたのではないか。何から手をつければいいのかわからない、そんな場合であっても決して躊躇する必要はない。まずはキヤノンMJに相談してみていただきたい。

[PR]提供：キヤノンマーケティングジャパン