AI分析で攻撃の兆候をリアルタイム検知――大阪市、1万7000台のエンドポイントを常時監視する「Cybereason EDR」を導入

大阪市が、クラウド型エンドポイント侵害検知・対処ソリューション「Cybereason EDR」を導入。庁内1万7000台のPCやサーバを常時監視し、クラウド上のAI分析により、マルウェア感染やサイバー攻撃の兆候をリアルタイムに検知する。

[金澤雅子，ITmedia]

　サイバーリーズン・ジャパンは2018年4月18日、大阪市が市庁内のPCやサーバなど、約1万7000台のエンドポイントを守るセキュリティ強化策として、同社の「Cybereason EDR」を導入したと発表した。

　Cybereason EDRは、ネットワーク内のエンドポイントを常時監視し、マルウェア感染やサイバー攻撃の兆候を検知するクラウドベースのエンドポイント侵害検知・対処（EDR）ソリューション。エンドポイントの膨大なログデータをクラウド上のAIで解析することで、マルウェア感染やサイバー攻撃の兆候をリアルタイムに検知する。

　Cybereason EDRではサイバー攻撃の兆候を検知した場合、管理画面で攻撃の詳細を可視化。侵害箇所、感染原因、感染経路など、被害を正確に把握し、迅速に対処できるようにする。

インシデント時の状況把握を管理画面で効率化

　また、Cybereason EDRの分析エンジン「Hunting Engine」は、攻撃の兆候を「振る舞い分析」や攻撃手法などから洗い出し、ログを横断的に分析することで統計的に異常な行動を発見する。そして、それを“証拠”として集め、関連する証拠の集まりを“不審事項”として監視後、攻撃性の高いものMALOP（悪意ある操作）として特定するという。

Cybereason EDRの分析エンジン「Hunting Engine」による行為撃の特定

　大阪市では強固な多層防御の体制を構築するなど、サイバー攻撃の脅威から重要な情報資産を守るためにさまざまなセキュリティ対策を講じてきたが、近年の高度化、巧妙化するサイバー攻撃の脅威に備えるため、エンドポイントセキュリティソリューションの導入を検討。今回のCybereason EDRの導入に先立ち、サイバーリーズン・ジャパンが提供する「ハンティング・サービス（侵害調査）」を実施した。

　同調査は、市庁内の約1万7000のエンドポイント（PC、サーバ）を対象に、数カ月間に渡って実施。その結果、現状の安全性が確認されるとともに、EDR製品の品質、職員が使用するPCのへの負荷が少ないこと、導入の容易性や検知力の高さなどを評価し、Cybereason EDRの導入を決定したという。