【まとめ】シマンテックよくある疑問スッキリ解消セミナーVol.6 ～EDRの運用は難しい？その他の機能は？SESC活用でセキュリティ強化を。～

今日は主にEDRの運用がメインにお伝えしていきます。スペシャルゲストとしてシマンテックの販売推進部の中山さんにお越しいただいております。

どうも、お邪魔しています。

中山さんは普段からお客様にEDRやシマンテック製品の提案をされていますので、現場でお話されている内容や旬のネタを是非お伝えいただきたいです。

はい、よろしくお願いいたします。

さて、本日のVol.6で取り上げる疑問や質問は次の3つです。

では、まず「EDRの運営は難しいの？」という部分からお願いできますか？

はい。図を見ていただければわかるように、昨今のランサムウェアの状況はもう右肩上がりになっています。

いろいろな媒体からこういったニュースを見るかと思いますが、非常に攻撃が増えている状況です。その中でセキュリティ強化、対策が各社で必須となっていると思われます。では、こういったご相談をいただいた場合に、中山さんはどうお話されていますか？

はい、ランサムウェア攻撃の数が年々上昇しています。その中で何かしらのセキュリティ強化が求められる。こうしたケースで一番多く聞くのが「EDR」という単語です。

出ましたね、EDR。今までもEPP（※）というものがあったのですが、EDRはどう違うのか少しお話しいただけますか？

承知いたしました。では、次のスライドをご覧ください。

EDRの紹介になりますが、これまでのEPPやNGAV（※）などは、攻撃者に侵入をさせない、攻撃そのものを防御することを目的とした機能です。こういった機能を持つ製品を導入することがこれまでのセキュリティ対策の中心でした。

ふむふむ。

しかし、こうした境界防御中心のセキュリティ対策でも、攻撃者の侵入を100%防ぐことはできないという前提で考えられた対策がEDRです。

なるほど。確かに完全な防御は難しいですよね。

EDRは正式名をEndpoint Detection and Responseと言いますが、エンドポイントのDetection（検出）とResponse（応答）がEDRの目的です。攻撃者の侵入を検出したり、原因調査や収集した情報から分析を行って早期の復旧・対応に役立てたりという機能になっています。

EDRは侵入の検出と早期の復旧・対応のための機能なのですね。

ありがとうございます。既にEDR製品を使っているお客様の声やWeb上の情報もあるかと思いますが、中山さんが注目しているキーワードなどはありますか？

そうですね、実際の運用でEDR導入したはいいんだけど「機能をうまく使いこなせない」であったり、「外部委託をするとコストがかかってしまう」であったり、「アラートが大量に来てしまって運用が大変」という声が多く、気になりますね。

なるほど。ちなみに、この中で一番よく耳にするのはどれですか？

「EDRを導入しても機能を使いこなせない」が特に多い印象です。運用が大変だったり、機能が多すぎて使いこなせていなかったりというお話はよく聞きますね。

なるほど。シマンテックのEDRは使いやすくなっているのでしょうか？

はい。シマンテックでは「SESC」というEDR機能やその他の機能で包括的に対策できる製品があります。製品や防御機能については、後で詳しくご紹介させていただきます。

はい、それでは2つ目の質問に参りましょう。今話題に上がった、SESCならではの機能について教えていただけますか？

はい。では、SESCの機能についての話の前に、シマンテックのエンドポイント製品のラインナップについて簡単にご紹介させていただきます。

シマンテックにはSESというエンドポイントセキュリティ製品があります。これがエンタープライズ、コンプリートの二種類に分かれております。エンタープライズ（SESE。図の左側）はいわゆるEPPやNGAV相当の機能を持つ、シマンテックのスタンダード製品というイメージです。

ふむふむ。

SESC（図の右側赤枠）ですが、SESEの機能にプラスアルファの機能を持つ製品です。シマンテック独自の防御機能やEDR機能も備えており、次のイメージ図のような防御範囲を持っています。

SESCはEPPやNGAV、EDRなどの機能群を組み合わせてセキュリティ対策の範囲が広くなっているのが大きな特徴です。さらに独自の防御強化機能（赤枠部分）を追加で持っており、こうした防御機能の組み合わせにより、EDR頼りにならない、より良い防御を実現できるようになっています。

つまり、シマンテックのSESCは（侵入後に検出・対応する）EDRもついているけど、侵入前の防御機能も多いので、しっかりと守れるということですか？

はい。おっしゃる通りです。

それは非常にいいですね。この製品をお客様に紹介した時、どういう反応を多くいただきますか？

おっしゃるように、「EDRもついていて、防御プラスの機能もついていて、一つの製品で全部守れる」というイメージを持っていただけるお客様が多いですね。

なるほど。石塚さん、この製品どう思いますか？

そうですね。図で説明いただくと非常にわかりやすいですね。こんなに広い範囲を全部守れるのかと思いました。このSESCはとても多機能になっていますが、中山さんのおすすめ機能はありますか？

はい。SESCの中でもおすすめの機能が「Adaptive Protection（アダプティブプロテクション）」という機能です。機能の概要を簡単に紹介しますと「振る舞いに対する適応型の保護機能」です。

それはどんな機能なのか気になりますね。

はい、詳しく聞きたいですね。

そうそう。詳しく聞きたいね。

わかりました。この「振る舞いに対する適応型の保護機能」って何？ということで、こちらをご覧ください。

適用型保護とは、次のような保護を行う機能です。

① お客様のエンドポイント環境における振る舞いを一定期間学習。

② 学習時にMITRE（マイター）と呼ばれる第三者評価機関で定義された攻撃手法や脅威データベースとの相関分析を自動実行。

③ 学習や分析の結果をもとに、お客様専用のブラック/ホワイトの判定ルールを自動で作成。

自動で色々なことができるのはすごいですね。

はい。その後、環境の分析結果や、振る舞いに対してブロックした場合の影響についての可視性も提供してくれます。これらを製品側で自動的に行うことで、お客様自身での複雑な操作をなくせますし、適用型保護機能から提案されたルールの有効化もワンクリックでできます。

なるほど。つまり、手間もかからず、製品が環境をしっかりと分析してくれて、MITREを見ながら対応も提案してくれるということですね。

はい。その通りです。

とてもいい製品ですね。

このAdaptive Protectionが決め手でSESCを採用いただくケースも多いです。

確かに、SESCを新たに導入されたお客様に理由を聞いてみたときに、このAdaptive Protectionって単語はよく出てきますよね。

はい。補足になりますが、実際の画面からもう少し説明させていただきます。

図の赤枠部分は、縦列がアプリケーション、横の列がビヘイビアいわゆる振る舞いを表示しています。AというアプリケーションのBという振る舞いだけをターゲットにブロックすることも可能であるという意味です。このようにアプリケーション自体をブロックせずにアプリケーション内における特定の振る舞いだけをブロック可能になります。ユーザーの利便性を落とさずにセキュリティ強化ができるというわけです。

ある振る舞いのブロックのためにアプリのすべての機能が使えなくなってしまう製品も多いですが、シマンテックならアプリケーション内での振る舞いから、危ないものだけをしっかりブロックできるということですね。素晴らしい。

はい、本当にいい機能だと思います。約90日間かけて機械学習をし、振る舞いだけをブロックするポリシーを適用できるのが特徴です。企業それぞれの環境やニーズの変化に合わせて保護を高められるのがAdaptive Protectionの最大のメリットと言えますね。

そういえば、Adaptive Protection（適用型保護）って何かキャラクターいましたよね？

はい、ぜひ皆さんに見ていただきたい萌えキャラがいます(笑)。ぜひご覧ください。

機能紹介ありがとうございました。これだけ魅力的な機能だと、試してみたいな、まず触ってみたいなって話が当然あるかと思いますがいかがでしょうか。

はい、それではここで本日の三つ目のトピックです。「製品のトライアル」これはズバリ可能でしょうか？

はい、製品のトライアルはもちろん「可能」でございます。

ご回答ありがとうございます。では、実際に手配したいとなった場合のフローについて教えてください。

これでトライアルの申請は完了です。

簡単ですね。

はい。あとは必要に応じて、トライアルに必要なマニュアルや資料をSBC&Sの方でご用意させていただきます。

分かりました。その資料にはどんなものがありますか？

トライアルの資料は次のようなものを準備しております。

紹介したSESのインストールマニュアルやSESCのPOC（※）ガイドも準備させていただいております。基本的に資料の内容を見ていただければわかっていただけるような資料にはなっていますが、使っていただく中で不明点などございましたら、セールスセンターや営業担当者にでもお問い合わせいただければ回答いたします。

トライアルまで行う時間はないので、デモだけでも見てみたいという場合の対応も大丈夫でしょうか？

SESCのデモの実施も可能です。画面だけ見たい、どういう動きになるのか見てみたいという声は実際多いので、お気軽にお問合せください。