シマンテックは2018年9月19日、説明会を開き、クラウド型のセキュリティサービスで2017年11月に発表した「Symantec EDR Cloud」について説明した。直販は行わず、日立システムズとセキュアブレインが2018年10月1日からサービスを提供する。
シマンテックの「Symantec EDR Cloud」は、マルウェアに感染するという前提に立ち、エンドポイントのログや挙動の分析によってマルウェアの挙動を検知・追跡して被害を最小化するEDR(エンドポイント検出・対処)の機能を提供するサービスである。マルウェアの侵入経路や影響範囲の特定を支援する。
写真1:Symantec EDR Cloudについて説明する、シマンテックでエバンジェリストを務める高岡隆佳氏拡大画像表示
エンドポイントから収集したログを、機械学習を用いて分析する。いつもと異なる異常な状態を自動で見つけ、マルウェアの挙動を検知する。マルウェア検知モデルの作成にあたっては、ユーザーの実環境から収集したデータ群も利用する。
Symantec EDR Cloudの最大の特徴は、監視対象となるエンドポイントがActive Directory(AD)配下のWindows機だった場合、専用のエージェントソフトを追加でインストールする必要がないことである。一方、LinuxとMac、およびAD配下ではないWindowsに関しては専用のエージェントソフトが必要になる。
図1:Symantec EDR Cloudの概要(出典:シマンテック)拡大画像表示
エージェントレスでデータを収集する仕組みとして、Windowsが標準で備える機能で、稼働状況のログをSNMPのように取得/収集する仕掛けであるWMI(Windows Management Instrumentation)を使う。社内に設置したデータ収集サーバーが、WMI経由でいったんデータを収集し、これをクラウドに転送する形になる。
データ収集サーバーや、専用のエージェントソフトは、HTTPS(ポート443)を使ってクラウドにデータを転送する。クラウド上では、マルウェアの感染状況を分析・可視化できる。
Symantec EDR Cloudは、直販はせず、パートナー経由での販売となる。日立システムズとセキュアブレインが2018年10月1日からサービスを提供する(関連記事:日立システムズ、マネージド型のEDRサービスを提供、マルウェアを検知して報告)。
シマンテックでは、今回説明したEDR Cloudのほかにも、EDR機能を提供するソフトとして、エンドポイント向けセキュリティソフト「Symantec Endpoint Protection」(SEP)を用意している。SEPではエージェントソフトのインストールが必須となるが、継続的に監視してリアルタイムに対処できる点がメリットである。
Symantec / EDR / エンドポイントセキュリティ / ゼロトラスト / セキュアブレイン
