ウィズセキュアは2023年2月22日、同社のEPP/EDRに新機能「Activity Monitor」を追加すると発表した。これまでの振る舞い検知とサンドボックスのデメリットをカバーし、ユーザーエクスペリエンスを犠牲にしない機能だという。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ウィズセキュア(旧エフセキュア)は2023年2月22日、同社のEPP(Endpoint Protection Platform)/EDR(Endpoint Detection and Response)に新機能「Activity Monitor」を追加することを発表した。これまでの振る舞い検知とサンドボックスのデメリットをカバーし、ユーザーエクスペリエンスを犠牲にせずにランサムウェア/マルウェアによる被害をロールバックできる仕組みを提供する。
Activity Monitor機能は同日に行われた、ウィズセキュア2023年事業説明会で、WithSecureでLead Researcherを務めるブロデリック・アキリーノ氏によって披露された。
アキリーノ氏によると、これまでもWithSecureのEPP/EDRには、悪意ある挙動を監視してブロックする機能「DeepGuard」や、疑わしいアプリケーションを隔離空間で実行して解析するサンドボックス機能「SandViper」があったという。しかし「マルウェアの個別の挙動は悪意を判断しづらく、気が付いたときには既にダメージを受けていることが多い」(アキリーノ氏)。
また、マルウェアの挙動を活動の早い段階で検知しようとすると、誤検知につながってしまうことなどを挙げ、「既存の技術にも課題がある。サンドボックスに関しては検査のために時間がかかることから、メールの添付ファイルの解析には適しているが、エンドポイントでの保護には適さない」(アキリーノ氏)とした。
今回発表されたActivity Monitorについてアキリーノ氏は「振る舞い検知とサンドボックスの、両方のメリットを得られる機能だ」と話す。アプリケーションの挙動を非同期で解析し、悪意あるアプリケーションの場合は関連するファイルのバックアップを自動で取得し、問題が判明したときにロールバックする。これによって、「サンドボックスと同様の安全性を、ユーザーエクスペリエンスを犠牲にせずに実現できる」と述べる。
アキリーノ氏はデモで、Activity Monitorを活用した最初の機能として、ファイルサーバを持つオフィスで利用されることを想定した「Server Share Protection」も紹介した。これは「Elements Endpoint Protection for Servers」機能の一部として提供される。
デモでは、保護されていないPCにランサムウェアが感染し、ファイルサーバ上にあるファイルを次々と暗号化し、ランサムノート(身代金の要求といった脅迫の通知)を表示するようなシナリオを用意した。このような場合でも、Server Share Protectionはファイルサーバ上のドキュメントをバックアップしており、ランサムウェアによって暗号化されたとしても、この挙動をロールバックし、ファイルを暗号化前の状態に戻す。感染元となったPCはファイルサーバには接続できなくなり、隔離することができる。
今後はこの機能をエンドポイントでも活用できる「Activity Monitor for Applications」もリリース予定だ。
事業説明会では、WithSecureの日本担当リージョナルバイスプレジデントのジョン・デューリー氏、そして同社でCISO(最高情報セキュリティ責任者)を務めるクリスティン・ベヘラスコ氏も登壇し、WithSecureのビジネスアップデート、および同社が推す「アウトカムベースセキュリティ」に関して説明した。
デューリー氏は「サイバー攻撃によって誰も深刻な被害に遭うことのない未来を作ることが、WithSecureのミッション」と述べ、同社のサービスがエンドポイント保護、クラウド保護などの製品だけでなく、マネージドサービスやコンサルティングサービスを含めたポートフォリオを持つことを強調した。この中で同社は「アウトカム(成果)ベースのセキュリティ」を展開する。
アウトカムベースのセキュリティとは、ビジネス目標を検討して組織が望む成果を達成できるよう、セキュリティを検討することだという。これまで考えられてきた「スレットベースのセキュリティ」だと、例えば「Webサイトのセキュリティをどうするか」という命題に対する答えは「DDoS攻撃を防ぐために保護を実装する」といった回答になるが、これでは経営層には分かりにくい。アウトカムベースセキュリティでは、経営的観点での表現となり、「サイトによるビジネス上の目的を理解し、それを踏まえてセキュリティを検討する」といったものになる。
「Forrester Researchとの調査において、サイバーセキュリティ組織のリーダーの82%がこの考え方を支持した。より良いビジネスアウトプットのために、一緒にセキュアになろう」(ベヘラスコ氏)
Copyright © ITmedia, Inc. All Rights Reserved.