目指すは自動復旧と根本原因解析――ソフォスがサーバ向けエンドポイントプロテクションを発表：サーバも重要な「エンドポイント」

ソフォスは「Sophos Intercept X」のWindowsサーバ版「Sophos Intercept X for Server」を発表した。復旧を含むインシデント対応の自動化と根本原因の解析を目指す。

[宮田健，＠IT]

　ソフォスは2018年7月27日、同社のセキュリティ保護ソリューションをサーバ向けにも展開した「Sophos Intercept X for Server」を発表した。クライアント向けとして提供されている「Sophos Intercept X」の機能をWindowsサーバにも適用したもので、ソフォスが2018年2月に発表したディープラーニングやニューラルネットワークモデルのエンジンを用い、エンドポイントやファイアウォールと連携した保護が可能だ。

　ソフォスは「サーバも、クライアント同様に重要なエンドポイントである」と定義。ランサムウェアだけではなく、不正にブロックチェーンのマイニングを行う「クリプトマイニング」においては、クライアントPCよりもリソースが潤沢なサーバが狙われるとし、「サーバこそがより強固に守るべきものと考え、サーバ版の提供に至った」と述べる。

既存サーバ製品に加え、Intercept X 2.0相当の機能が追加される

　発表会では、実際にWindowsサーバでマルウェアが実行されたときのデモが行われた。サーバ上でランサムウェアのデモアプリが実行されると、即座にIntercept X for Serverが検知し挙動をブロック。その情報が同社独自のプロトコルで、ソフォスのファイアウォールに伝搬した。その後はサーバ上での通信がブロックされるため、C＆Cサーバと通信するようなマルウェアの行動がブロックされる。さらに、その後しばらくするとサーバでクリーンアップ作業が行われ、ランサムウェアが駆除されると元の通り通信が行えるようになる。

ソフォス独自のプロトコル「Security Heartbeat」により、Intercept Xが見つけた脅威情報がファイアウォール製品にも伝搬され、該当サーバ／クライアントのネットワークを遮断する。クリーンアップ作業が完了するとリスクは消え、通信を復活させるところまで自動化が可能

　さらに同製品では、根本原因の解析が可能だ。ダッシュボードではランサムウェアの元となるプログラムのプロセス名とともに、変更を加えようとしたファイルの数、そしてそのプログラムがどこからやってきたかが図示される。端末からのファイル駆除だけではなく、そのファイルがファイルサーバの共有フォルダからコピーされたことも図示されるため、根本的な対策が行えるという。

ブロックされたマルウェアが関係したプロセス、ファイルなどを図示することで、根本原因解析が可能

　Intercept X for Serverはクラウド上に作成されるサーバに対してもポリシーを適用可能で、クラウド、オンプレミス混在の環境でも一括して管理が可能だ。ソフォスは、同製品により、復旧を含むインシデント対応の自動化を目指すという。