ブログ

EDRの問題点を改善し、エンドポイント保護と統合--高度な保護とレスポンスの自動化を実現

 フォーティネットジャパンは5月26日、エンドポイントの高度な脅威保護、検知、レスポンスを自動化する「FortiEDR」を国内パートナー各社を通じて日本市場に投入することを発表した。

 EPP(Endpoint Protection Platform:エンドポイントの保護)とEDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)の2つの機能を統合し、さらにAI(機械学習)などを活用して従来のEDR製品の課題であった「大量のアラートに対応しきれない」という問題を回避できる高度な自動化機能なども提供する。エンドポイントにインストールする軽量エージェントとクラウド側で動作するEDRサーバーの組み合わせによる「ハイブリッド構成」のほか、「クラウドのみ」や「完全オフライン」の構成も可能となっている。

当初別々のベンダーによって独立したソリューションとして生み出されたEDRとEPPがそれぞれに発展を遂げ、FortiEDRで統合されるに至ったという ※クリックすると拡大画像が見られます FortiEDRの主な機能。「感染前」がEPPの機能、「感染後」がEDRの機能と考えれば良い ※クリックすると拡大画像が見られます

 プロダクトマーケティングマネージャーの山田麻紀子氏は、FortiEDRのポイントとして「第1世代のEDRツールの問題点/課題を解決し、“より高度な保護”と“レスポンスの自動化”を実現したEDRソリューション」だと説明した。EPP機能としては機械学習を活用したNGAV(Next Generation Anti-Virus:次世代アンチウイルス)機能を中核とし、マルウェア感染前の「発見&予測」と「保護」を実現する。

 なお、NGAV機能はカーネルレベルで実装され、ディスク上にファイルとして書き込まれるマルウェアはもちろん、メモリー上にのみ展開されるファイルレスなどのマルウェアの検知にも対応する。さらに、EDR機能はEPPをすり抜けてマルウェア感染が起こった後のリアルタイムなエンドポイント保護機能を提供する。「検知」(リアルタイムな脅威検知)、「無効化」(情報漏えい/消失の阻止)、「対応と調査」(攻撃の完全な可視化)、「修復とロールバック」(回復)といった機能が実装される。

 以前から同社が提供している「FortiGate」を中核とした“セキュリティファブリック”とも連携し、例えばEDR機能でマルウェアが外部のC&C(コマンド&コントロール)サーバーと通信しようとしたのを検知した際に、この情報をFortiGateと共有してFortiGate側で当該IPアドレス宛の通信を遮断するといった対応も可能だという。

 想定するユーザー像としては、従業員数1000〜数十万規模の企業で、製造業、重要インフラ(石油・ガス)、小売り、ホスピタリティーなどで、エンドポイント数が500程度の中規模組織にも対応可能、金融機関、医療機関、行政などでも実績があるとのこと。

 続いて、システムエンジニアの宮林孝至氏は、FortiEDRで解決できるユーザー企業の課題として、「SOCの有無によらず柔軟な運用が可能」「被害の最小化」「脆弱性の把握」の3点を挙げた。従来のEDR製品では大量のアラートが生成される傾向があり、SOCなどの対応組織が整っていない企業/組織の場合は十分に活用できないという問題があったが、FortiEDRでは検知精度の強化やユーザーによるカスタマイズ可能なプレイブック機能、オプションで提供されるMDR(Managed Detection and Response)サービスなどにより、SOCの有無にかかわらず最適な運用ができる。

FortiEDRで解決できる、ユーザー企業が直面する主な3つの課題およびFortiEDRでの解決手法 ※クリックすると拡大画像が見られます

 また、検出から対応までの流れも高度に自動化されているため、マルウェア感染から時間をおかずに対策されることで情報漏えいなどの実被害が生じる前に不審な挙動をブロックできる。脆弱性に関しては、アプリケーションごとにきめ細かく脆弱性の管理を行っており、例えばウェブブラウザーなどでは脆弱性のあるバージョンの場合は通信を禁止し、対応済みの場合は通信を許可すると行った制御が可能だという。

EDRの問題点を改善し、エンドポイント保護と統合--高度な保護とレスポンスの自動化を実現

 マルウェア自体の進化や攻撃手法の高度化によって、従来のウイルス対策ソフトが目指していた「感染する前にマルウェアを検知して駆除する」という手法の限界が明らかになってきている。機械学習の活用など、新しい検出手法も普及してきたが、それでも検知漏れをゼロにできない以上、感染することを前提とした対策が必要になるのは必然ともいえる。

 そうした背景でEDRが注目されたわけだが、同社が「第1世代」と呼ぶ従来型の既存EDRソリューションでは、検知の結果を精査・分析するのは人手に頼っていたことから、運用負荷が高く活用の難しいシステムだった。この点を高度な自動化手法の導入で解消したFortiEDRについて、同社では“第2世代”という表現は一切使わないものの「従来製品とは世代が異なる」という自負がうかえる。EPPとEDRの融合という方向性はユーザーにとってもメリットが大きいと思われ、今後の市場の反応が楽しみな製品だ。

FortiEDRの特徴となる主要なテクノロジー ※クリックすると拡大画像が見られます

ホット記事

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

無料のメールマガジンに登録平日17時にBusiness Insider Japanのメルマガをお届け。利用規約を確認iPhoneのSafariを含め各種ウェブブラウザーから、ウェブサイトをPDFとして保存できる。撮影:今村拓馬Webページは突...

続きを読む 続きを読む
Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

富田篤さんが広げる手前のファイルには、保存状態の良い型紙をできるだけ空気に触れさせないよう入れている。デジタル化に備えて、劣化を防ぐためだ=東京都新宿区の富田染工芸で2021年12月10日午前、近藤浩之撮影 ...

続きを読む 続きを読む
ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

アーカイブ配信の利用方法を解説選手のプレーはもちろん、ユニークな解説などでも注目が集まる東京オリンピック。話題になったのに見逃してしまったり、録画していなかったりした場合でも、あとから好きなタイミング...

続きを読む 続きを読む

関連記事