【4週間無料トライアル実施中】Cisco SecureX × XDR :Cisco Secure Endpoint(旧AMP for Endpoints)とは
巧妙化する脅威・不足するサイバーセキュリティ人材
これまでのセキュリティ対策は、「脅威の侵害が判明した時点で”得られている最高の情報”を用いて防御する」という考え方である「ポイントインタイム(Point-In-Time)防御」に基づいていました。しかし、新しいマルウェアが見つかって数日~数週間後に「マルウェア シグネチャ(マルウェアの特徴的パターン)」ファイルがリリースされるため、これでは防御する前に感染が拡大してしまいます(ゼロデイ攻撃)。更に、
- 標的型マルウェア:特定の組織や個人を狙ったマルウェア
- コンテキスト認識型マルウェア:攻撃目標の環境や防御対策を認識して活動するマルウェア
といった巧妙なマルウェアの増加により、「ポイントインタイム防御」だけでは組織のセキュリティを守り切れない可能性が高まっています。また、実際に脅威の侵害が発生した後では、どこまで侵害されているのか範囲の認識が非常に困難になります。
また、今後 350 万人ものサイバーセキュリティの人材が不足する可能性があり、74% のプロフェッショナルはサイバーセキュリティに関するスキルの不足が組織に影響を与えたと述べています。そして、大部分の SOC(Security Operation Center:サイバー攻撃の検知・分析・対策を実施する専門組織)では 1 日に 7 ~ 8 件しか調査ができません。
更に、多くのセキュリティソリューションは、その性質上連携して動作することはなく、重複したアラートを頻繁に送ることでSOCチームに過度の負担をかける可能性があります。
唯でさえ人員が不足しているSOCチームが対応しなければならない業務が増え、絶えず進化する脅威やへの対応がさらに難しくなります。 このような要因が相まって、セキュリティギャップが生じたり、運用コストが増加したりして結果的に重大なセキュリティ侵害の発生確率を高めてしまいます。
脅威対策・人材不足対策に有効な、Cisco SecureX × XDR =「Cisco Secure Endpoint」
「Cisco Secure Endpoint」はこれらの問題を解決します。「Cisco Secure Endpoint 」は、上述の「マルウェア シグネチャ」ファイルに依存していません。その代わりに、
- ファイル レピュテーション:高度な分析と集合型インテリジェンスの組み合わせによって、ファイルが悪意のあるものであるかどうかを判断し、正確なマルウェア検出する機能。
- ファイル サンドボックス:700 を超える独自の動作指標により、ファイル送信の構造だけでなく処理も評価。関連する HTTP および DNS トラフィック、TCP/IP ストリーム、影響を受けるプロセス、レジストリ アクティビティを含む未知のマルウェアへの知見を提供する機能。
を使用して、シグネチャが存在しない場合でも疑わしいファイルを識別してブロックします。そして、一連の攻撃サイクル(攻撃前、攻撃中、攻撃後)全体に渡ってマルウェアや継続的な脅威の識別・可視化・保護をします。この一連の動きを実現するのが、EPP・EDR・XDRが統合された脅威の防止、検出、対応が可能な「Cisco Secure Endpoint」です。
| 1.EPP(Endpoint Protection Platform) エンドポイントを保護することを目的とし、エンドポイントに侵入したウイルスやマルウェアなどを検知・駆除し、エンドポイントを保護します。機械学習や振る舞い解析などの技術を活用して、未知のウイルスも検知できるようになっていますが、いくらEPP が進化しても巧妙化した攻撃を100%防ぐことは不可能です。そこで、攻撃を受けた後の対策まで提供する「EDR」 が必要です。 |
| 2.EDR(Endpoint Detection and Response) 脅威の検出・封じ込め・調査・復旧という4つの機能によって、ネットワークに接続されたエンドポイントを守ります。しかし、いくら脅威を検出しても、それがどのように侵入してきたのかを分析するためにはネットワークやサーバとの連携が必要になります。そこで、エンドポイントだけでなく、より広い領域にわたって対策を行う「XDR」が必要です。 |
| 3.XDR(Extended Detection and Response) クラウド、エンドポイント、電子メール、アプリケーションなどネットワーク全体のデータを収集・可視化して、現在および将来の脅威を検出・分析・優先順位付け・ハンティング・修復することで、データ損失やセキュリティ侵害を防止できます。 |
また、「Cisco Secure Endpoint」は単体のクラウド型製品ではなく、「Cisco SecureX」と呼ばれるセキュリティプラットフォームを通じて提供される統合アーキテクチャの一部をなしています。これにより、拡張ネットワーク、エンドポイント、モバイルデバイス、サーバ、データセンター、仮想環境など、お客様のネットワーク全体にわたって、データとイベントを継続的に集約しセキュリティ対策を実施し、ゼロトラスト多要素認証セキュリティ「Cisco Duo」、DNSセキュリティ「Cisco Umbrella」、セキュア モビリティ クライアント「Cisco AnyConnect」との連携も実現します。これにより、一度検出した脅威の対策をコンテキスト(ユーザーのネットワーク環境)内全体に適用させ、攻撃対象領域の縮小、重複アラート・セキュリティギャップ・運用コストの削減を実現します。この脅威検出・防止手法は、毎日150 万件のマルウェアを分析し、年間 7.2 兆もの攻撃を防御しているシスコシステムズが誇る世界最大の脅威検出ネットワーク「Cisco Talos」のインテリジェンスに基づいています。
過去に遡って脅威の影響範囲を可視化する「レトロスペクティブ セキュリティ」
「Cisco Secure Endpoint」には「レトロスペクティブ セキュリティ」という特徴的な機能もあります。「レトロスペクティブ セキュリティ」は、過去の特定の時点に遡ってプロセス、ファイル アクティビティ、通信を追跡して攻撃の範囲を可視化する機能です。これにより、感染の全体像を把握し、根本原因を明らかにしたうえで修復を実行できます。これは、マルウェアの実被害を受けた場合だけでなく、組織のネットワーク内に「IoC(Indicators of Compromise):侵害の痕跡」がないかどうかを確認する「脅威ハンティング」の実施に必要な機能です。
「レトロスペクティブ セキュリティ」は「クラウドリコール」と「トラジェクトリ」という2つの機能で構成されています。
| クラウドウドリコール |
|---|
 ネットワーク・デイバス上でやり取りされているファイルのハッシュ値(SHA-256)をCiscoがクラウド上で管理するデータベースに照合し、マルウェア、信頼できるベンダーファイル、不明なファイルの3種類に分類します。この時、マルウェアと判定されたファイルは即時隔離されますが、他の2種類のファイルに関してもファイルの存在する場所がクラウド上のコンソールに記録され、後でマルウェアと判定された場合でもファイルの場所が記録されているため即座に隔離を隔離されます。 |
| トラジェクトリ |
|---|
 ネットワーク上でのファイルの拡散状況やデバイス内でのファイルの挙動を時系列に沿って記録します。ファイルの作成、移動、コピー、実行といった動作から、ハッシュ値、ファイルパス、通信先アドレス、親プロセスといった情報まで記録するため、マルウェアの感染経路、感染範囲の調査が可能です。マルウェア自体の挙動は勿論のこと、マルウェアが作成したファイルやマルウェアがダウンロードしてきたファイルなど、第2、第3のマルウェアが疑われるファイルの挙動履歴も可視化されます。更に、疑わしいファイルを上述の「ファイル サンドボックス」に送付できます。「ファイル サンドボックス」での解析の結果、マルウェアと判定された場合は、上記「クラウドリコール」によって自動的に隔離されます。 |
3つのライセンス体系
「Cisco Secure Endpoint 」は、お客様の必要な機能に応じて「Essentials」、「Advantage」、「Premier」の3種類のライセンスをご用意しています。
| 主な機能 | Essentials | Advantage | Premier |
|---|---|---|---|
| マルウェア対策 | 〇 | 〇 | 〇 |
| アプリケーション制御 | 〇 | 〇 | 〇 |
| 動的ファイルの分析 | 〇 | 〇 | 〇 |
| ふるまいモニタリング | 〇 | 〇 | 〇 |
| 脆弱性の特定 | 〇 | 〇 | 〇 |
| エンドポイントの隔離 | 〇 | 〇 | 〇 |
| Orbital Advanced Search(Orbital クエリによる 高度な調査) | – | 〇 | 〇 |
| Secure Malware Analytics(旧Threat Grid)クラウドサンドボックス | – | 〇 | 〇 |
| SecureX 脅威ハンティング | – | – | 〇 |
| プライベートクラウド への導入 | 〇 | – | – |
| 「Essentials」 「Cisco Secure Endpoint」 のコア機能 |
|---|
 「多面的な防御」、「継続的な脅威の検出」、「インシデント対応」を実現 ・エンドポイントとテレワーカーを高度なマルウェアから保護し、マルウェアの侵入/拡散の防止から感染後の修復にまで対応 ・マルウェアの検出とブロッキング、感染状況の確認、パストレースふるまい分析、ターゲット修復、マルウェア影響レポート ・応答時間の短縮と修復の自動化によりさらなる攻撃を防ぎ、被害を軽減して再感染のリスクを排除 ・単一目的の検出テクノロジーでは通常発見されない侵害の兆候を、ネットワークとシステムの両方のレベルで検出 ・シスコの Security Intelligence Operations のグローバルネットワークをセンサーとして利用し、さらに、Talos Security Intelligence and Research Group から収集した毎月数十億に及ぶマルウェアサンプルの分析結果を有効に活用して、統合セキュリティ インテリジェンスによる保護を実現 ・感染したエンドポイントをネットワークから隔離し、フォレンジックデータを損なうことなく脅威を抑止。修復の完了時にはエンドポイントを迅速に再アクティブ化 ・侵害を受けたシステム ・最新システムの AV レポート ・脅威の根本原因 ・エンドポイントによって生成されたトラフィックに対する脅威の洞察 ・CVE の詳細と CVSS スコアに基づく、エンドポイント全体のアプリケーション脆弱性の追跡 ・Malware Analytics が返すスコアは、シスコのセキュアサンドボックスに送信された上位ファイルに対して評価できます。 |
| 「Advantage」 「Orbital Advanced Search」と「Secure Malware Analytics クラウドサンドボックス」によりEDR機能を強化 |
|---|
 Orbital Advanced Search(Orbital クエリによる高度な調査) 100以上のカタログクエリにより、セキュリティ調査と脅威の追跡をシンプル化。任意または全てのエンドポイントで複雑なクエリを迅速に実行できます。また、現在の状態のスナップショットを取得することで、任意のエンドポイントで発生した事象をより詳細に把握できます。また、下記のタスクを迅速に実行できます。 ・脅威追跡:悪意のあるアーティファクトをほぼリアルタイムで検索) ・インシデント調査:インシデントの根本原因を迅速に把握 ・IT運用:ディスク領域、メモリ、およびその他のIT運用の状況を確認 ・脆弱性とコンプライアンス:バージョンやパッチのアップデートなど、エンドポイントが現在のポリシーに準拠しているか確認 |
 Secure Malware Analytics(旧Threat Grid)クラウドサンドボックス ・環境全体のファイルと不審なふるまいを迅速に分析。マルウェア分析と脅威インテリジェンスにより脅威に迅速に対応 ・数百万ものサンプルや数十億ものマルウェアのアーティファクトを基にして、ファイルのふるまいを分析。マルウェアに関するグローバルな履歴情報が得られるため、マルウェアが何をしているか、組織にどの程度の影響を及ぼすかを把握可能 ・マルウェアの主な動作指標と、それに関連する攻撃を特定。予想される影響の大きさ基づいて優先順位を付けることで時間を節約 ・ユーザが脅威を迅速に把握して対応できるようにし、堅牢な検索機能、相関関係、詳細な静的分析と動的分析を提供。実行するサンプルに安全にアクセスし、マルウェアのふるまいを直接監視するためのグローブボックスのようなツールを提供 ・既存のセキュリティ製品およびプロセスとの統合や自動化を支援する優れた API によって、迅速なマルウェア脅威検出とすみやかな対応が可能 |
| 「Premier」 「Essentials」・「Advantage」の機能に「脅威ハンティング」を追加 |
|---|
 「侵害の痕跡」を調査してどのような攻撃を受けているのかを分析、修復手順を提案 ・24 時間365 日、検出制御で見落とされた「IoC(Indicators of Compromise):侵害の痕跡」を検出するための仮説主導型「Cisco SecureX 脅威ハンティング」 ・全てのコンテキスト(ネットワークとクラウド全体)をカバー ・侵害インシデントの開始、検出、攻撃手法・戦術サマリーをタイムラインでレポート ・推奨される修復、リカバリ手順の提示 |
“脅威ハンティング”もお試しいただける
「Cisco Secure Endpoint」4週間無料トライアル
「Cisco Secure Endpoint」の性能を実感していただくために、フル機能(Premier)を無料で4週間ご利用いただけるトライアルをご用意しています。トライアルで悪質なファイルを検出・停止・削除するための詳細な情報が分かり、ネットワーク全体で今起きていることを可視化できます。また、「Premier ライセンス」をお試しいただけますので、上記の「脅威ハンティング」も実施いただけます。是非この機会に効果を体感してみてください。トライアルをご希望の方はこちらのフォームよりお問い合わせください。
「Cisco Secure Endpoint」の提案・構築につきましては、実績豊富なディーアイエスサービス&ソリューションにご用命ください。ご不明な点がございましたらお気軽にお問い合わせください。
