日立ソリューションズは2018年7月20日、サイバー攻撃のインシデント対応をオンサイトで支援するサービス「MDRサービス for Cylance」を発表した。2018年7月23日から販売する。日立ソリューションズのセキュリティ技術者が、インシデントの監視から防御、復旧支援や再発防止策までをワンストップで提供する。価格は個別見積もり。
サイバー攻撃のインシデント対応をオンサイトで支援するサービスである。日立ソリューションズのセキュリティ技術者がインシデントを監視し、発生したインシデントを復旧し、再発防止策を立案する。
拡大画像表示
日立システムズのSOC(セキュリティオペレーションセンター)と連携し、24時間365日体制で監視と初動対策を実施する。インシデントが発生した場合は、問題のある端末を遠隔から操作してネットワークから隔離するなど、迅速な初動対応で被害の拡大を軽減する。
インシデントを検知するための情報収集ツールとして、マルウェアに侵入された後のマルウェアの行動をエンドポイント上で検知して対処するEDR(Endpoint Detection and Response)ソフト「CylanceOPTICS」を使う。日立ソリューションズの技術者がCylanceOPTICSの運用を代行する。
マルウェアの侵入経路や影響範囲のレポートも提供する。CylanceOPTICSの調査・分析結果を活用し、マルウェアがどのような経路で侵入してきたか、どこに潜伏しているかなどの痕跡をもとに、侵入経路や感染の影響範囲などを特定したレポートを提供する。
MDRサービス for Cylanceを提供する背景について同社は、EDR製品を使ったインシデント対策には、セキュリティに関する高度な知見やノウハウをもつ技術者が必要になることを挙げる。「ユーザー企業が技術者を確保するためには多大なコストがかかる。こうした状況を受けて、EDRソフトの運用を代行するサービスを開発した」としている。
なお、CylanceOPTICSは、マルウェア対策ソフト「CylancePROTECT」の機能を拡張するオプションソフトである。マルウェアに侵入された後のマルウェアの行動をエンドポイント上で検知して対処するEDRの機能を提供する。機械学習で生成したアルゴリズムを用いて、イベント情報のログから脅威を検知する。これにより、脅威の侵入経路や原因を特定する。脅威イベントの検知ルールは、それぞれのセキュリティ需要に合わせてカスタマイズできる。