SentinelOne Japan/テクマトリックス

ランサムウエア対策の最善策
「自律型AI」が検知・防御・復旧を実行

REvilの蔓延、“最恐”マルウエアと言われるEmotetの活動再開に象徴されるように、ランサムウエアが世界中で猛威を振るっている。侵入手口も高度化しており、従来の対策で太刀打ちするには限界がある。特に人手に頼る対策では運用負荷が増大し、期待したような成果を上げるのも難しい。こうした課題の解決に向けて、SentinelOneは自律型AIを活用したソリューションを提供している。同社の講演では、その最新技術の概要とメリットが紹介された。

オフラインでも動く自律型AIが多層防御

SentinelOne Japan株式会社 カントリーマネージャー 青山 裕宣氏
SentinelOne Japan株式会社
カントリーマネージャー
青山 裕宣
 ランサムウエアは企業セキュリティの最大の脅威になりつつある。IPAが発表した2021年の「情報セキュリティ10大脅威」でもほかの脅威を抑え、トップをマークした。最近はファイルを暗号化し身代金を要求するだけでなく、それを拒んだ場合は盗んだ情報を公開する“暴露型”も増加している。

 システムへの侵入テクニックも一段と高度化しており、パターンマッチング型のアンチウイルス製品だけでは、もはや防御は困難な状況である。「エンドポイントセキュリティを抜本的に再考する必要性が高まっています」。こう訴えるのは、SentinelOne Japanの青山 裕宣氏だ。

 エンドポイントセキュリティの再考は「検知」「防御」「復旧」という3つのポイントが重要になる。日増しに進化するランサムウエアに立ち向かうためには、まず迅速に「検知」できる能力が不可欠である。そして脅威の実体を見極めて確実に「防御」する。万が一侵入された場合は速やかに「復旧」できることが被害の拡大を抑える肝になる。

 そこで注目されているのがEDRである。EDRはPCやサーバーの状況および通信内容などを監視し、異常や不審な挙動を素早く検知。さらに状況に応じて防御や駆除、システムの復旧まで行う。取得されたログを分析し、感染状況や影響範囲の調査も可能になる。「水際での侵入阻止を目的としたものではなく、脅威の侵入を前提とし、迅速な対応によって被害の拡大を防ぐことに重きを置いています」と青山氏は説明する。

 これに加え、検知・防御・復旧のサイクルを効率的に行える容易な運用性も重要な要素だ。人手に頼る運用では脅威の進化への対応や迅速な復旧が難しく、その間に被害を拡大させてしまう恐れがあるからだ。

 SentinelOneの「Singularity Platform」はこの要件を兼ね備えたソリューションで、自律型EDRとクラウドEDRを組み合わせて機能する。「クライアントに導入されるエージェントは自律型AIを搭載しており、これがハッシュファイル照合、振る舞い分析などの多層防御を実行し、検知・防御・復旧のプロセスを自動的に実行します」と青山氏は述べる。

 さらにクラウド型EDRと連携し、脅威ハンティングや攻撃の分析・調査まで行うことができる。攻撃の影響範囲や情報漏えいの有無の確認を効率化し、その後の攻撃の兆候把握にも役立つという。

 エージェントの動作ポリシー配布や動作結果のアップロードなどはネットを介して行われるが、通信が途切れてもエージェントは問題なく動作を継続する。疑わしいプロセスの停止やファイル隔離、暗号化されたファイルの復旧に至るまで、すべてオフラインの状態で完結できるという。「テレワーク環境では、オフィスのように安定的なネットワークを利用できないこともあります。AIを搭載した自律型EDRなら、そうした環境下でも安心して利用できます」と青山氏は語る。

特許技術のStorylineを軸にXDR戦略を推進

 SentinelOne製品の性能の高さは、第三者機関によっても裏付けされている。それを象徴するのが「MITRE ATT&CK(マイターアタック)」の評価結果だ。米国政府出資のセキュリティ評価機関であるMITRE ATT&CKでは、同一の攻撃を様々なセキュリティ製品に実施し、その対処結果を報告している。これによるとSentinelOne製品は、参加ベンダーの中で174ステップある攻撃をすべて可視化することに唯一成功。174ステップ中159ステップの攻撃手法を分析できた上、誤検知もゼロで、最高位の評価を獲得した。

 注目すべきは、これらの攻撃検知を設定変更なしで遅延なく行えたという点だ。「ランサムウエア対策は特にスピードが重要になります。多くのお客様にこの点を高く評価していただいています」と青山氏は語る。

 実際、同社ソリューションはグローバルで6,000社以上、国内でも100社以上に導入されている。米国政府機関におけるクラウドセキュリティ認証制度のFedRAMPも取得済みだ。

 この高評価を支えているのが、特許技術の「Storylineテクノロジー」である。「クライアント内に侵入した脅威がどのような経路で、どのようなプロセスを踏んだかをコンテキスト化/可視化する技術です。これにより、攻撃の全貌をいち早く明らかにすることができるのです」と青山氏は説明する。

 検知後の対処能力も非常に高い。例えば、ランサムウエアによってデータが改変されてしまった場合でも、自動的に復旧することができる。「一般にデータ復旧を行う場合には、多くの時間やコストをかけてバックアップから戻す必要があります。その点、当社のソリューションは検知・防御にとどまらず、復旧までのプロセスを簡単に自動化できるのです」と青山氏は強調する。

 この強みを生かし、同社が推進するのが「XDR(Extended Detection and Response)」戦略である。一元的なデータ管理、高度なデータ分析とデータ相関を実施し、一元的なインシデント対応を実現する。いわば、EDRの進化形である(図1)。  XDRの実現には様々なソリューションのログを取り込み、集中管理できることが重要となる。「そこで他社セキュリティ製品との連携を強化し、様々なOSやクラウド、IoT環境における脅威の可視性と状況把握の向上に取り組んでいます」と青山氏は語る。

テクマトリックスが 製品の価値向上を支援

テクマトリックス株式会社 ネットワークセキュリティ事業部 セキュリティプロダクツ営業2課 課長 大本 周作氏
テクマトリックス株式会社
ネットワークセキュリティ事業部
セキュリティプロダクツ営業2課 課長
大本 周作
 SentinelOne製品は日本のITベンダーにも高く評価され、多数の企業がパートナー契約を結んでいる。国内の有力ディストリビューターとして知られるテクマトリックスはその1社だ。同社のセキュリティ事業を支える中核製品の1つとして、SentinelOne製品の販売を2021年12月に開始した。

 その理由について、テクマトリックスの大本 周作氏は次のように述べる。

 「高度なAIによる高い検知力、 StoryLineを軸としたインシデント対応、そして将来を見据え進化するXDR戦略に大きな魅力を感じました」(図2)。  同社は製品の販売だけでなく、製品のデモ・機能紹介やトレーニング、顧客環境でのトライアル、さらにシステム構築まで幅広くサポート。専任エンジニアを配置し、導入後のテクニカルサポートも展開している。「SentinelOne製品を軸としたお客様の企業のセキュリティ強化、その運用の最適化までワンストップでサポートします」と大本氏は話す。販売パートナーも広く募集し、新たなソリューションを核としたエコシステムの構築にも取り組んでいるという。

 SentinelOneとテクマトリックスは互いの強みを発揮し、新たなフェーズに移行したエンドポイントセキュリティの高度化を強力に支援している。
TOPへ
関連リンク
お問い合わせ
SentinelOne Japan株式会社 URL:https://jp.sentinelone.com/company/
テクマトリックス株式会社 担当部署:第3営業部 セキュリティプロダクツ営業2課
TEL:03-4405-7869
E-mail:s1-info@techmatrix.co.jp
URL:https://www.techmatrix.co.jp/