ウェビナーレポート！「端末」の視点からのゼロトラストセキュリティ強化のアプローチ

東京エレクトロンデバイスでは、2月14日にオンラインセミナー「次世代型ゼロトラストへのアップデート実現に向けて重要な3つの要素をご紹介 ∼端末の保護編∼」を実施しました。今回はその中から、当社 SentinelOne担当が解説したセッション「AIを駆使した自律的なEDRで端末を守る」の内容をダイジェストでお届けします。

高度化・複雑化するエンドポイントへの攻撃

近年、エンドポイントへのサイバー攻撃が高度化・複雑化しています。シグネチャマッチングだけでは対応できないマルウェアや、従来のアンチウイルスソフトでは対応できないファイルレス攻撃など、新しい攻撃が続々と増えている状況です。また、クラウドサービスの普及やテレワークの拡大などにより、社内ネットワークの外へデータや端末を持ち出す機会が増えたことも、エンドポイントへの攻撃に拍車をかける原因になっています。エンドポイントのセキュリティ強化は現代のITセキュリティで不可欠だと言えるでしょう。しかし、対策を実施したとしても攻撃側はそれを上回る攻撃を仕掛けてくる、という流れが何度も繰り返されています。この応酬の中、エンドポイントへの対策として注目されているのが「EDR（Endpoint Detection＆Response）」です。

EDRはエンドポイントのセキュリティ強化に有用ですが、一方で「使用するためには専門知識が必要」「対応までにタイムラグが生じる」といった問題点もあります。

自律的・能動的に機能するSentinelOne

セッションの後半では、EDRの課題を踏まえ、今後より重要になる「自律的・能動的に対応可能なEDR製品」として注目される「SentinelOne」を紹介しました。SentinelOneは、セキュリティ対策で必要な5つの機能（防御・検知・軽減・修復・調査）を完備しています。攻撃の実行前や実行中、実行後など、ステージに応じて多面的に機能が働く仕組みです。

例えばファイルベースマルウェアに対して、SentinelOneはシグネチャ方式とStatic AIエンジンで対抗します。このような多段検知構成になっているため、既知のマルウェアから未知・亜種のマルウェアまで幅広く対応できます。また、ハードディスクへの書き込みを行うタイミングで即時スキャンを実施する仕組みも搭載しており、ファイル実行前・実行中どちらのシーンにおいても即座に検知可能です。

ランサムウェアなどに感染した場合、これまではLANケーブルを抜いたりWi-Fiを切断したりしてまずは端末を手動で隔離し、その後に調査・回収、OSの入れ直しなどを実施して、端末を再び使えるようにしていました。

しかし、この方法の場合だと失ったファイルは元には戻りません。これに関してもSentinelOneを導入すれば、ランサムウェアに感染しても自動（または手動）で隔離でき、さらに1クリックで即時復旧が可能です。管理者に専門知識がなかったとしても初動対応をすぐに行えます。

SentinelOneではこれら機能のほかにも、ファイアウォール機能やデバイス制御機能、脆弱性診断機能などの「事前予防策」も備わっています。

今回は、端末の保護を実現できるソリューションを紹介しましたが、ゼロトラストセキュリティの実現にはさまざまなアプローチを検討する必要があります。本ウェビナーシリーズの第3回となる次回は「認証の保護」という観点から、企業の課題と対策方法を解説します。気になる方はぜひご視聴ください。