SEPの上位製品としてリリースされたSESですが、SEPと比べてどう変わったのか、新機能はどのようなものなのか分かりづらい部分もあるかと思います。
そこで本ブログではSEPからSESになり、どのようにアップデートされたのか、その概要を説明させて頂きます。
本ブログの内容について動画で紹介しているコンテンツもございますので、用途に合わせてご参照ください。
【動画で紹介】Symantec Endpoint Security 基本概要
目次
1.体系、運用面
SES1つでカバレッジできるセキュリティ範囲
SEPがSESになって変わった大きな特徴の1つはセキュリティ機能のカバレッジ範囲の拡大となります。
従来の強力な防御機能に加えて、検出/対処にあたるEDRの機能や検出後の運用負荷を軽減させる防御強化の機能が追加されました。
これらの機能をシングルエージェントで提供できることは端末側のエージェント管理の観点から強みになっております。
また保護端末の種類としてもPC、サーバ、モバイルまで同一のエージェントでの保護が可能です。
OS種別についてもWindows/macOS/Linuxに対応し、モバイルOSについてもiOS/Androidともに実装可能です。
SES EnterpriseとSES Complete /用途に合わせたライセンス選択が可能
ライセンス体系も一新され、SES EnterpriseとSES Completeという2つに分けられるようになりました。
SES Enterpriseでは基本となるエンドポイントの保護機能からモバイル対応、クラウド対応までが含まれます。
SES CompleteではSES Enterpriseの全ての機能に加えてEDR機能、防御強化機能(脅威ハンター、TDAD,APP制御)を提供します。
このようなライセンス体系から基本の保護機能に加えてモバイル対応や運用のクラウドシフトを計画中の方はSES Enterpriseを、それらに加えてエンドポイントセキュリティ全体の運用を検討されている方はSES Completeをといったような選択を取ることができ、要望に合わせて柔軟な対応が可能な体系になっております。
クラウド管理に対応、幅広い運用方式の選択が可能に
運用面においては、SESになってクラウド管理に対応するようになりました。
オンプレミスの環境では従来のSEP Managerという管理コンソールで管理し、クラウドの環境ではICDmという管理コンソールを使用します。
ハイブリッド管理の場合はオンプレミスのSEP ManagerをクラウドコンソールのICDmへ統合し、クラウド側で全体の管理を行うようなイメージとなります。
オンプレミス配下の端末については今までどおりSEP Managerで管理できることから、段階を踏んで徐々にクラウドシフトをするといった計画を立てることも可能です。
2.SES Enterpriseから提供される機能
ここからはSESが持つ各機能にフォーカスしてご紹介させて頂きます。
PC同様の保護機能を提供するSEP Mobile(Enterprise edition)
まずはSES Enterpriseから利用可能となるSEP Mobileの機能についてとなります。
SEP Mobileで実現できる機能は大きく分けて3つあります。
1つ目は端末の保護機能です。
現在のセキュリティニーズとしてモバイル端末に対しても、他のエンドポイント端末と同様の保護機能が必要であると考えられる傾向があります。
そのような観点からSEP Mobileでは事前の防御からEDR、防御強化の機能を提供します。
これによりマルウェア対策から検知後の対処や運用コストの軽減機能までをモバイル端末にて実現することが可能です。
2つ目の機能はネットワーク保護機能となります。
VPN接続機能により悪意のあるサイトへのアクセスの遮断や自動VPN接続機能により、端末や接続先の情報資産を保護します。
3つ目の機能としては非管理端末に対するアクセス制限があります。
SEP Mobileには認証連携機能があり、社内で利用されているアクティブディレクトリなどの認証システムとSEP-Mobileの認証システムを連携させることで、場所や端末を問わず社内情報資産に対するアクセスがあった際に、まずSEP-Mobile側の認証で許可された端末であるかどうかをチェックするフローにすることができます。
これによりBYODを含む会社非準拠端末からの社内情報資産に対するアクセス制限を実現することが可能となります。
3.SES Completeから提供される機能
続いてSES Comleteにて提供される機能のご紹介に移ります。
①SES Completeが提供するEDR(Complete edition)
初めにSESが提供するEDR機能について説明させて頂きます。
SESのEDRにはフライトデータレコーダー/ふるまいフォレンジックス/標的型攻撃クラウド分析という3つの特徴的な機能があります。
フライトデータレコーダーは、エンドポイントのアクティビティを見て異常があったら教えてくれる機能で、ふるまいフォレンジックは機械学習等で分析して脅威を検知する機能です。
標的型攻撃クラウド分析は、文字通りクラウドベースで標的型攻撃を分析する機能となります。
これらの機能によって攻撃全体像や感染経路を可視化し、かつ全台調査を短時間で実施することが可能です。
これにより事業継続性を阻害することなく高度な検出/対処が可能となります。
②EDR機能をサポートする脅威ハンター(Complete edition)
次に紹介させて頂くのが脅威ハンターという機能です。
この機能ではエンドポイントからテレメトリ情報を収集し、専門家のヒューリスティックと機会学習によって分析を行い調査を実施します。
調査完了後に攻撃検知されたものについては、クラウド管理コンソールであるICDm経由で詳細情報の提供を含めたインシデント通知をする仕組みとなります。
尚、重大な攻撃はアナリストが積極的に脅威を調査するようになっており、より高度な検出が可能です。
これにより管理者に詳細な情報の提供をすることができ、運用コストの改善に貢献します。
③TDADはアクティブディレクトリ保護特化機能(Complete edition)
またTDADと呼ばれるアクティブディレクトリ保護に特化した機能があります。
社内のアクティブディレクトリと連携させることで、攻撃者に対して偽のサーバ情報とID情報を見せることで攻撃者の最終目標であるアクティブディレクトリの特定を防ぐ機能となります。
攻撃の各フェーズに対してそれぞれ以下のように動作します。
・侵入前⇒攻撃者の最終攻略目標であるアクティブディレクトリを、常時セキュリティ監査を実施。
・侵入時⇒囮をつかうことで、過剰検知なしで侵入を早期検知。
・侵入後⇒検知したインシデントに対してフォレンジック調査や調査後の封じ込めを自動対応。
これにより過剰検知や運用負荷を軽減しつつ、強固なアクティブディレクトリ保護を実現します。
④ストレスのないアプリケーション制御(Complete edition)
最後にアプリケーション制御機能について紹介させて頂きます。
アプリケーション制御機能では、端末で利用されているアプリケーション情報の検知と評価を実施します。それらを脆弱性や動作などに基づきリスク分類し管理することが可能です。
ブロックリストの作成機能ではログオンリーモードの搭載により確認のみの選択もでき、ユーザの利用性を阻害することなく端末の保護、管理を実現します。またリアルタイム分析機能を搭載しており非日常的な動作については挙動をブロックし、アプリケーションに対する推奨提示するといったことも可能です。
これらの機能によって、管理者とユーザの運用にストレスを与えない形でセキュリティ保護を実現します。
4.本ブログ内容のまとめ
カバレッジ範囲の広いセキュリティ保護
シングルエージェントで、端末種別と保護機能範囲の両面においてカバレッジの広い保護を実現します。
ライセンスは2つ
ライセンスにはSES EnterpriseとSES Completeの2つがあり、
SES Enterpriseでは基本の防御機能からモバイル端末の保護までを実現します。
SES ComleteにおいてはSES Enterpriseの全ての機能に加えEDRと防御強化の機能を提供します。
運用面での柔軟性強化
運用はオンプレミス、クラウド、ハイブリッドより選択可能であることから幅広いパターンに対応できます。
それによって運用のクラウドシフトに対しても柔軟に対応することが可能です。
EDR/防御強化機能の追加
優れた防御機能に加えてEDR/防御強化機能が追加されました。
EDRでは独自の機能によって事業継続性を担保したうえでセキュリティ保護の実現が可能です。
防御強化についても検知後の脅威調査、ADの保護、アプリケーション制御などの機能によって運用コストの軽減を実現します。
本ブログのDL資料はこちら!
著者紹介
SB C&S株式会社
C&S Engineer Voice運営事務局
最新の技術情報をお届けします!
