フォーティネットジャパンは2020年5月26日、マルウェアに感染しないようにするEPP(エンドポイント防御)機能と、感染してしまったマルウェアによる攻撃を検知して対処するEDR(エンドポイント検知・対処)機能を兼ね備えたクラウドサービス「FortiEDR」を発表した。同年5月4日から販売開始し、2020年第3四半期(7月~9月)にはFortiEDRの導入支援サービスも提供する。価格は個別見積もりとなっている。
フォーティネットジャパンの「FortiEDR」は、マルウェアに感染しないようにするEPP(エンドポイント防御)機能と、感染してしまったマルウェアによる攻撃を検知して対処するEDR(エンドポイント検知・対処)機能を備えたクラウドサービスである。監視対象のエンドポイントにエージェントソフトウェアを導入して利用する。管理サーバー機能をクラウド型で提供する(図1)。
図1:マルウェアに感染しないようにするEPP機能と、感染してしまったマルウェアによる攻撃を検知して対処するEDR機能を備える(出典:フォーティネットジャパン)拡大画像表示
FortiEDRの特徴は、楽に運用するための機能として過剰なアラートに対処できるようにしていること。フォーティネットジャパンによると、一般にEDRでは、アラートを分析して対処するために、企業内にSOC(セキュリティオペレーションセンター)を設置する必要がある。これに対してFortiEDRでは、SOCを設置する必要がないとしている(画面1)。
画面1:FortiEDRの画面例(出典:フォーティネットジャパン)拡大画像表示
マルウェア感染を予防するEPP機能は、アプリケーションの脆弱性情報を活用する。特定バージョンのWebブラウザなど、脆弱性を持ったアプリケーションを把握しており、これらアプリケーションの通信をブロックする。これにより、脆弱性を突いた攻撃を呼び込まないようにする(図2)。
図2:アプリケーションの脆弱性情報を活用し、特定バージョンのWebブラウザなど、脆弱性を持ったアプリケーションの通信をブロックできる(出典:フォーティネットジャパン)拡大画像表示
一方、メール添付やWebサイトからのダウンロードによってエンドポイントに入ってきたマルウェアについては、これを実行して感染してしまう前に検出する。シグネチャを使わず、マルウェアファイルの特徴をマシンラーニング(機械学習)を利用したアルゴリズムによって検出する。
マルウェアに感染してしまった後のEDR機能としては、不正な挙動をブロックできる(図3)。マルウェアが指示などを受けるためのC&C(司令塔)サーバーへの通信や、他の端末へと攻撃を広げて社内に浸食していくラテラルムーブメントなどを検知してブロックできる。
図3:マルウェアに感染してしまった後のEDR機能として、C&C(司令塔)サーバーへの通信やラテラルムーブメントなどを検知してブロックできる(出典:フォーティネットジャパン)拡大画像表示
インシデントについては、脅威の度合いを5種類に分類し、それぞれの脅威の度合いに応じて、あらかじめ定義しておいた処理を自動で実行できる。発見した脅威が他のエンドポイント端末に存在するかどうかを確認し、存在していたら削除するといった運用もとれる。メモリーデータの取得もできる。
