攻撃をなかったことにするEPP/EDRの新機能「Activity Monitor」とは?  ウィズセキュア発表振る舞い検知とサンドボックスのデメリットとは

ウィズセキュアは2023年2月22日、同社のEPP/EDRに新機能「Activity Monitor」を追加すると発表した。これまでの振る舞い検知とサンドボックスのデメリットをカバーし、ユーザーエクスペリエンスを犠牲にしない機能だという。

» 2023年03月01日 12時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ウィズセキュア(旧エフセキュア)は2023年2月22日、同社のEPP(Endpoint Protection Platform)/EDR(Endpoint Detection and Response)に新機能「Activity Monitor」を追加することを発表した。これまでの振る舞い検知とサンドボックスのデメリットをカバーし、ユーザーエクスペリエンスを犠牲にせずにランサムウェア/マルウェアによる被害をロールバックできる仕組みを提供する。

振る舞い検知とサンドボックスのデメリットとは

WithSecureのブロデリック・アキリーノ氏

 Activity Monitor機能は同日に行われた、ウィズセキュア2023年事業説明会で、WithSecureでLead Researcherを務めるブロデリック・アキリーノ氏によって披露された。

 アキリーノ氏によると、これまでもWithSecureのEPP/EDRには、悪意ある挙動を監視してブロックする機能「DeepGuard」や、疑わしいアプリケーションを隔離空間で実行して解析するサンドボックス機能「SandViper」があったという。しかし「マルウェアの個別の挙動は悪意を判断しづらく、気が付いたときには既にダメージを受けていることが多い」(アキリーノ氏)。

 また、マルウェアの挙動を活動の早い段階で検知しようとすると、誤検知につながってしまうことなどを挙げ、「既存の技術にも課題がある。サンドボックスに関しては検査のために時間がかかることから、メールの添付ファイルの解析には適しているが、エンドポイントでの保護には適さない」(アキリーノ氏)とした。

 今回発表されたActivity Monitorについてアキリーノ氏は「振る舞い検知とサンドボックスの、両方のメリットを得られる機能だ」と話す。アプリケーションの挙動を非同期で解析し、悪意あるアプリケーションの場合は関連するファイルのバックアップを自動で取得し、問題が判明したときにロールバックする。これによって、「サンドボックスと同様の安全性を、ユーザーエクスペリエンスを犠牲にせずに実現できる」と述べる。

ランサムウェアがサーバのファイルを暗号化したときに、何をしてくれるのか

 アキリーノ氏はデモで、Activity Monitorを活用した最初の機能として、ファイルサーバを持つオフィスで利用されることを想定した「Server Share Protection」も紹介した。これは「Elements Endpoint Protection for Servers」機能の一部として提供される。

 デモでは、保護されていないPCにランサムウェアが感染し、ファイルサーバ上にあるファイルを次々と暗号化し、ランサムノート(身代金の要求といった脅迫の通知)を表示するようなシナリオを用意した。このような場合でも、Server Share Protectionはファイルサーバ上のドキュメントをバックアップしており、ランサムウェアによって暗号化されたとしても、この挙動をロールバックし、ファイルを暗号化前の状態に戻す。感染元となったPCはファイルサーバには接続できなくなり、隔離することができる。

 今後はこの機能をエンドポイントでも活用できる「Activity Monitor for Applications」もリリース予定だ。

デモでは共有ファイルサーバにPCが接続される一般的なオフィスを想定。そこにランサムウェアに感染したPCが接続され、ファイルサーバが暗号化されるというシナリオだ
Activity Monitor機能を活用したServer Share Protectionによって保護されたファイルサーバにおいて、図の左側の感染PCが次々とファイルを暗号化するが、その動きを検知し、あらかじめ取得したバックアップを自動で戻す

ウィズセキュアの狙いは「アウトカムベースのセキュリティ」を浸透させること

 事業説明会では、WithSecureの日本担当リージョナルバイスプレジデントのジョン・デューリー氏、そして同社でCISO(最高情報セキュリティ責任者)を務めるクリスティン・ベヘラスコ氏も登壇し、WithSecureのビジネスアップデート、および同社が推す「アウトカムベースセキュリティ」に関して説明した。

WithSecureのポートフォリオ

 デューリー氏は「サイバー攻撃によって誰も深刻な被害に遭うことのない未来を作ることが、WithSecureのミッション」と述べ、同社のサービスがエンドポイント保護、クラウド保護などの製品だけでなく、マネージドサービスやコンサルティングサービスを含めたポートフォリオを持つことを強調した。この中で同社は「アウトカム(成果)ベースのセキュリティ」を展開する。

ウィズセキュアが提唱する「アウトカムベースセキュリティ」
アウトカムベースのセキュリティは経営的観点で理解できる形で現状を理解する

 アウトカムベースのセキュリティとは、ビジネス目標を検討して組織が望む成果を達成できるよう、セキュリティを検討することだという。これまで考えられてきた「スレットベースのセキュリティ」だと、例えば「Webサイトのセキュリティをどうするか」という命題に対する答えは「DDoS攻撃を防ぐために保護を実装する」といった回答になるが、これでは経営層には分かりにくい。アウトカムベースセキュリティでは、経営的観点での表現となり、「サイトによるビジネス上の目的を理解し、それを踏まえてセキュリティを検討する」といったものになる。

 「Forrester Researchとの調査において、サイバーセキュリティ組織のリーダーの82%がこの考え方を支持した。より良いビジネスアウトプットのために、一緒にセキュアになろう」(ベヘラスコ氏)

WithSecureのクリスティン・ベヘラスコ氏。説明会は銀座の観世能楽堂で開催された

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。