SentinelOne Japan

「自律型AI」がサイバーセキュリティを変革
ランサムウエアへの効果的な対策を実現

ランサムウエアの被害が世界的に広がる中、EDR(Endpoint Detection and Response)製品の導入を検討する企業も一段と増加している。しかし、自社内にとって運用管理の負担になるようでは、期待したような成果を上げるのは難しい。こうした課題の解消に向けて、SentinelOneでは自律型AIを活用したソリューションを提供している。脅威の検知・防御からデータ復旧に至るまで、すべてのプロセスを自動化することで、運用管理を極小化しながら、効果的な対策を実現する。

自律型EDRで脅威への
迅速な対応を実現

SentinelOne Japan 株式会社 カントリーマネージャー 青山 裕宣氏
SentinelOne Japan 株式会社
カントリーマネージャー
青山 裕宣
 現代の企業情報セキュリティにおいて、最も深刻な脅威の1つがランサムウエアだ。昨今では単にファイルを暗号化するだけでなく、身代金の支払いを拒んだ場合に情報を公開する暴露型ランサムウエアなども増加。新聞などのマスメディアでも、その被害が数多く報道されている。

 「システムへの侵入テクニックも一段と高度化しており、パターンマッチング型のアンチウイルス製品などではもはや防御が困難になっています。進化した攻撃に対しては、それに対応できる手法で立ち向かう必要があります」と警鐘を鳴らすのはSentinelOne Japanの青山 裕宣氏だ。

 それでは、進化するランサムウエア対策で抑えるべきポイントとは何だろうか。それは「検知」「防御」「復旧」の3点が挙げられる。ランサムウエアはマシンスピードで動作するため、これを迅速に「検知」できる能力が不可欠だ。また、脅威の実体を的確に見極めて、「防御」するためには、精度の高いAIエンジンも必要となる。さらに、万一被害に遭ってしまった場合に備えて、人手やコストを掛けることなく速やかに「復旧」が行えることも重要になる。

 「当社が提供する『Singularity Platform』は、自律型EDR+クラウドEDRの組み合わせによって、これらの課題を効果的に解決できます。クライアントに導入された単一のエージェントにより、EDRとEPPの機能を両方とも実現。さらに、クラウドEDRとの連携を行うことで、脅威ハンティングや攻撃の分析・調査まで行うことができます」と青山氏は話す(図1)。  中でもポイントとなるのが、クライアント内に導入されたEDRが「自律型」であるという点だ。「クラウドに何か問い合わせをしてから行動を決めるのではなく、そのクライアント自体で判断や対処を行います。このため、タイムラグが生じず迅速な対応が行えます。特に最近のようにテレワークが普及した環境下では、オフィスのように安定的なネットワークを利用できないケースも少なくありません。こうした状況で何か問題が起きたとしても、エージェントがローカルで動いているため、過度にクラウドに依存しない独立したセキュリティ対策を実現できます」と青山氏は強調する。

 エージェントの動作ポリシー配布や動作結果のアップロードなどはネットを介して行われるが、もしここで回線が切れたとしてもエージェントは問題なく動作を継続する。疑わしいプロセスの停止やファイル隔離、さらには暗号化されたファイルの復旧に至るまで、すべてオフラインの状態で完結できるわけだ。テレワークを推進する企業にとって、こうした環境が実現できることは非常に大きな強みとなる。

第三者機関からも
高い評価を獲得

 このソリューションの優秀さは、様々な外部団体・機関によっても裏付けられている。「MITRE ATT&CK(マイターアタック)」の評価結果はその1つ。米国政府出資のセキュリティ評価機関であるMITRE ATT&CKでは、様々なセキュリティベンダーに対して同一の攻撃を実施し、どのように対処できたかを報告している。これによると、同社ソリューションは、参加ベンダーの中で唯一、174ステップある攻撃をすべて可視化することに成功。また、174ステップ中159ステップの攻撃手法を分析できた上に、誤検知もゼロとなっている。

 「中でも注目していただきたいのが、これらの攻撃検知を遅延なく行えたという点です。ランサムウエア対策では特にスピードが重要になるだけに、このことが当社ソリューションの評価にもつながっています」と青山氏は語る。こうした点が注目され、同社のソリューションはグローバルで4700社以上ものユーザー企業で導入されている。

 なぜ同社のソリューションは、侵入された時点で自動的に検知と隔離・駆除が行えるのか。その大きな理由が特許技術である「Storylineテクノロジー」だ。この技術を用いることで、クライアント内に侵入した脅威がどのような経路で、どのようなプロセスを踏んだかをコンテキスト化/可視化することが可能になる。これにより攻撃の全貌をいち早く明らかにすることができるという。

 同社のソリューションのメリットはこれだけではない。ランサムウエアによって改変されてしまったデータを、自動的に元通り復旧することもできるという。「一般にデータ復旧を行う場合には、多くの時間やコストを掛けてバックアップから戻したりする必要があります。その点、当社のソリューションでは、検知から防御、復旧まですべてのプロセスを簡単に自動化できます」と青山氏は強調する。

国内パートナーを
テクマトリックスが支援

テクマトリックス株式会社 セキュリティプロダクツ営業2課 課長 大本 周作氏
テクマトリックス株式会社
セキュリティプロダクツ営業2課 課長
大本 周作
 こうした同社ソリューションの特長は、日本のITベンダーにも高い評価を受けている。その一社が、国内の有力ディストリビューターとして知られるテクマトリックスだ。「当社では、ネットワークやストレージ、セキュリティ分野をはじめとして幅広い領域のソリューションを手掛けており、数多くの海外有力製品の国内一次代理店も務めています。今回、その中核製品の1つとして、SentinelOneの販売を開始することにしました」とテクマトリックスの大本 周作氏は話す。

 取り扱いを決めたポイントとしては「AIを活用した高精度のNGAV」「Storylineテクノロジー」「EDR運用の自動化」の3点が大きな理由だという。

 「まず、SentinelOneは前述の通り第三者機関によるテスト結果で高い検知力が実証されています。当社社内においても独自検証を行いましたが、検知率・運用性ともに高いスコアを記録しました。また、Storylineテクノロジーを利用することで、EDR運用で必要となるイベントの相関分析などの手作業を極力なくせるようになります。また3点目も非常に重要で、国内のお客様の中にはEDR運用の困難さに直面して導入を見送られるケースも多々あります。この課題もSentinelOneであれば、検知・対応だけでなく復旧プロセスまで自動化できるので、セキュリティアナリストの負担を大きく軽減できます」と大本氏は話す(図2)。  今後はSentinelOneのディストリビューターとして、専任のセールス担当者やエンジニアを配置。また、製品のデモ/機能紹介やトレーニング、顧客環境でのトライアル、システム構築支援、導入後のサービス・サポートなど多岐にわたるサービスをワンストップで提供していくという。さらに販売パートナーも広く募集し、新たなソリューションを核としたエコシステムを構築することで、日本国内におけるソリューション展開をしっかりと後押ししていく考えだ。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
テクマトリックス株式会社 ネットワークセキュリティ事業部 第3営業部 セキュリティプロダクツ営業2課
TEL:03-4405-7869
URL:https://www.techmatrix.co.jp/product/sentinelone/
E-mail:s1-info@techmatrix.co.jp