マカフィーは2019年11月7日、EDR(エンドポイント検知・対処)ソフトウェア「McAfee MVISION Endpoint Detection and Response」(MVISION EDR)を発表した。特徴は、セキュリティ分析者の思考ロジックを仮説とQAで表示して調査担当者を指南する「ガイド付き調査機能」を備えることである。
MVISION EDRは、EDR(エンドポイント検知・対処)ソフトウェアである。エンドポイント(PCやサーバー機)にエージェントソフトを導入してエンドポイントのデータを収集する。これを分析することで、マルウェア感染などのインシデントを検出して対応する。MVISION EDRでは、EDRの管理サーバー機能をSaaS型で提供する。エージェントがクラウドにデータを送信する。
MVISION EDRの特徴は、インシデントの発生を疑って調査を実施する工程を、「ガイド付き調査機能」と呼ぶ機能を用いて自動化したことである(図1)。ガイド付き調査機能は、セキュリティ分析者の思考ロジックを、仮説とQ&Aの形式で表示する。これによって調査担当者を指南する。
拡大画像表示
例えば、インシデントの発生を疑う事象があった場合に、「怪しい外部通信の形跡はあるか」という調査項目や、「VirusTotal(マルウェア検査サイト)やGTI(Global Threat Intelligence、米McAfeeのセキュリティ情報基盤)で不正と評価されているか」という調査項目を自動で作成する。これらを自動で調査する。
拡大画像表示
ガイド付き調査機能によって「インシデントの調査時間がかかり過ぎている問題を解決できる」と、マカフィーでセールスエンジニアリング本部長を務める櫻井秀光氏(写真1)は指摘する。あるインシデントの実例では、他社のEDRソフトで2時間10分を要した調査時間が、MVISION EDRでは6分で調査できたという。
MVISION EDRは、販売代理店を介して販売する。販売代理店のうち、テクマトリックス、富士通ソーシアルサイエンスラボラトリ(富士通SSL)、三井物産セキュアディレクションの3社は、MSP(マネージドサービスプロバイダ)として、MVISION EDRの運用サービスを提供する(写真2)。
拡大画像表示