XDRソリューション「ESET PROTECT MDR」の強みと特長に迫る

ハイブリッドワークが浸透して働き方が変わりつつあり、また一方でサイバー攻撃も高度化・巧妙化している今、セキュリティ対策に求められる内容も変化している。そこで登場した新たなセキュリティ対策が「XDR」だ。第2回では、今の時代に求められる新たなセキュリティ対策「XDR」を実現するソリューション「ESET PROTECT MDR」の強みにフォーカス。その象徴とも言える、XDR機能の根幹部に当たる「ESET Inspect Cloud」と、「MDRサービス」「プレミアムサポートサービス」の2つのセキュリティサービスについて解説しよう。

「ESET Inspect Cloud」で事後対策

多くの企業で採用され、高い評価を得ているESET PROTECTソリューションシリーズのラインナップにXDR（eXtended Detection & Response）コンポーネントと運用・支援サービスがついた最上位のソリューション「ESET PROTECT MDR」において、このXDRコンポーネントに相当するのが「ESET Inspect Cloud」だ。これにより、同一ベンダーだからこそできる、事前対策と事後対策のシームレスな統合が実現可能となっているのである。

「ESET Inspect Cloud」は、異常な振る舞いやセキュリティ侵害の特定、リスク評価、インシデント対応、調査、修復を行うためのコンポーネントだ。ESETの多層防御を実装している、各セキュリティ階層から集まるデータをリアルタイムに分析し、脅威を確実に検出する。ひとたび不正を検知した際に、“どのような部分を経由して侵入してきたか”、“どこまで影響範囲があるか”など、侵害状況の詳細についての情報をツリー形式で参照することができ、さらにそのうえワンクリックで不正なプロセスを強制停止することができるソリューションとなっている。

あらかじめ導入時にそれぞれの企業の環境に合わせて最適にルールを調整するため、普段の業務では見られないような異常な現象が生じれば、すぐに「ESET Inspect Cloud」からその詳細が確認できるようになる。その際には、1つのWebコンソールから調査が可能であり、前述したように攻撃に使用された侵害状況の詳細を参照し、ハッシュ値によるブロックやプロセスの強制停止、ネットワーク隔離などの対応を迅速に行えるよう促す。

• 

  ハッシュ値によるブロック、プロセスの強制停止

• 

  ネットワーク隔離

高度な検知を可能にするESETの機械学習エンジンなどとの連携

異常現象の検査は、マルウェアの起動時だけではなく、その前後も含めた複数のタイミングで攻撃の手法に合わせた方法で行われている。このたび新たに加わった高度な機械学習機能では、従来ESET社のクラウド環境で行っていた機械学習による解析をユーザーのローカル環境で実施することで、より迅速にマルウェアかどうか判定できるようになった。

この機械学習エンジンである「ESET Augur」では、ニューラルネットワーク(ディープラーニングおよびLSTM)と厳選されたアルゴリズムを組み合わせ、統合されたアウトプットを生成し、受信したサンプルを「クリーン」、「望ましくない可能性がある」または「悪意がある」ものとして正確にラベル付けを行う。

また、世界中のESETユーザーから脅威に関する情報を収集するための予防システムである「ESET LiveGrid」とも連携。「ESET LiveGrid」のデータベースには、潜在的な脅威に関する評価情報が含まれており、こうした最新の脅威を検知しブロックするため、急速に変化する脅威に対してきわめて効果的となっているのだ。

負荷軽減と高いセキュリティを両立させる「ESET Inspect Cloud」の数々の特長

「ESET Inspect Cloud」はSaaS型であるため、サーバーの購入や定期的なメンテナンスによる手間とコストを削減することができるのも、大きな特長となっている。また、セットアップについてもWebブラウザーを経由してわずか10分程度で実施することが可能であり、すぐに運用を開始させることができる。

そしてインターネットに接続できるクライアント端末であれば社内外問わずに一元管理することが可能なため、管理者もまた、リモートワークをはじめとした多様な働き方に対応できるのである。管理者はWebブラウザー経由でいつでもどこでも「ESET Inspect Cloud」へアクセスでき、クライアント端末を管理することが可能となる。

さらにバージョン管理も、ESET社で行われるため、企業側によるバージョンアップ作業は不要だ。このためセキュリティ担当者の負荷を軽減しながら、常に最新の状態──すなわち最適なセキュリティ環境で利用することができるのである。

• 

  システム構成イメージ

運用を支援するセキュリティサービスも提供

セキュリティ担当者の運用負荷を大いに軽減する「ESET PROTECT MDR」だが、IT人材、セキュリティ人材の不足が深刻化するなかで、さらなる負荷軽減のニーズも確実に高まっている。また、XDRの運用に関する十分な知見のあるスタッフが社内にいないといったケースもあることだろう。そうした最新のニーズや事情に応えるべく、「ESET PROTECT MDR」では、導入支援やテクニカルサポートなどの「プレミアムサポートサービス」と複雑化するセキュリティ製品の運用を支援する「MDRサービス」を併せた「セキュリティサービス」を提供している。

セキュリティサービスを活用すれば、キヤノンマーケティングジャパングループおよびESET社の専任のセキュリティエンジニアによるサポートのもと、脅威モニタリングやインシデント発生時の初動対応などのセキュリティ運用をアウトソーシングすることができるため、企業は本来のビジネスに集中することが可能となるのである。

• 

  セキュリティサービス概念図

24／365でエンドポイントも含めて対応する「プレミアムサポートサービス」

セキュリティサービスの1つである「プレミアムサポートサービス」は、24時間365日体制で、エンドポイント保護なども含めた「ESET PROTECT MDR」で利用可能な各プログラムをサポートする。

サービスの対応までの人的初期レスポンス時間は重大度レベルに応じた対応となっており、発生している問題を一般・深刻・重大の3つのレベルに応じて対応するよう定義される。各レベルとレスポンス時間は以下の通りとなっている。

• 重大度A：2時間
• 重大度B：4時間
• 重大度C：1実働日

このサービスの問い合わせについては、ESET社によって優先的に対応されることになる。また、加入時にアセスメントフォームにより本サービスの企業側の担当者を登録する。サービス窓口では、あらかじめ登録した担当者からの問合せのみ受付ける。緊急対応が必要な場合は、サービス窓口側から連絡する場合もある。

さらに年に1回、自社の環境でESETの各プログラムが正常に動作しているかチェックする「HealthCheck Service」も提供される。セキュリティエンジニアがヘルスチェックプランに沿って検査を行い、改善策の提案などを記載したレポートを提供する。各プログラムに問題がないか、パフォーマンスを高められているかを確認し、予防効果を高める狙いがある。

ヘルスチェックが行われる具体的なステップは以下のようになっている。

・アセスメントフォームの記入
自社の環境に導入されているESET製品の情報や本サービスのスコープ(台数および範囲)を記入してもらう

・ヘルスチェックプランの作成
アセスメントフォームをもとに、ヘルスチェックの実施内容や作業予定日を決定する

・ヘルスチェックの実施
企業側のESET PROTECT Cloudにアクセスし、アラートが表示されていないかなどの確認を行う

・レポートの提供
実施したヘルスチェックの結果をもとに、企業に改善策の提案などを記載したレポートを提供する

• 

  HealthCheck Service

エンドポイントを含め脅威モニタリングなどを行う「MDRサービス」

「プレミアムサポートサービス」と合わせて「ESET PROTECT MDR」で提供されるセキュリティサービスが「MDRサービス」だ。これは、XDRの初期最適化（チューニング）や脅威モニタリング、エンドポイントセキュリティサポートやインシデント調査・対応支援まで行う包括的なサービスとなっている。

• 

  初期最適化（チューニング）

• 

  脅威モニタリング

このうちエンドポイントセキュリティサポートは、各種マルウェア対応などを行う。まず、エンドポイント保護での検出漏れが疑われるファイル、URL、ドメイン、IPアドレスを解析し、悪意があると判断された場合、検出エンジンに追加され、マルウェアファミリーに関する情報を提供する。

マルウェアと検出されたが駆除できなかった場合、当該ファイルの駆除をテストし、問題がある場合は改善される。一部のケースでは、スタンドアローンの駆除ツールを提供することもある。

そして昨今猛威を振るっているランサムウェアへの感染が確認された場合には、復号が可能な場合は復号ツール、それ以外の場合は緩和策や予防策を提供する。企業からはランサムウェアによって暗号化されたファイルや、ランサムウェアによって生成されたファイルなどを提出してもらい、それを解析する。

誤検知の対応として、企業から提出してもらったファイル、URL、ドメイン、IPアドレスを解析し、誤検知と確認された場合は検出エンジンを修正する。

さらに、エンドポイントセキュリティ関連の質問で、上記のカテゴリに該当しないものに対しても幅広くサポートを提供する。

インシデント調査・対応サービスも充実

まず、基本的なファイル解析として、企業が提出したファイルを解析し、マルウェアであるかどうかの正誤判定を行いその結果を伝える。この解析のために、企業には該当のファイルまたはハッシュ値（SHA-1/MD5）を提出してもらう。そして提出されたファイルを解析してマルウェアであるかどうかの正誤判定を行う。加えて、悪意のある場合はファイルに関する詳細な情報をレポートで提供する。

インシデント発生後の調査であるデジタルフォレンジック分析では、「ESET Inspect Cloud」や、エンジニアから提供された取得ツールで企業が取得する端末情報（レジストリ、メモリダンプなど）をもとに分析を行う。感染経路や影響範囲などの分析後は、企業に調査結果のレポートが提供される。

さらに、現在進行中のインシデントに対して、企業から提出される情報をもとに調査や対応を支援するデジタルフォレンジック・インシデントレスポンス支援も提供。このサービスは、コンサルティングやファイル解析などの他サービスへのリダイレクトへと繋がるものだ。

また、検知ルールサポートや除外ルールサポート、そして「ESET Inspect Cloud」に関する一般的な質問を受け付けるXDRセキュリティサポートも提供されるので、企業は安心・安全かつ容易に「ESET PROTECT MDR」の効果を最大限に得ることができる。

企業のセキュリティ対策に欠かせないXDR

ここまで2回にわたり、最新の脅威動向と、企業のセキュリティを確保するためにはもはやXDRが欠かせないソリューションであること、そして「ESET PROTECT MDR」の数々の特長や優位性について解説してきた。

ぜひ「ESET PROTECT MDR」を検討して、事後対策も含めたトータルなセキュリティ対策の実践へと進んでみてはいかがだろうか。

[PR]提供：キヤノンマーケティングジャパン