SentinelOneが EDRの運用負荷の課題を解消できる理由 | 東京エレクトロンデバイス

技術解説

SentinelOneが EDRの運用負荷の課題を解消できる理由

テレワークが広まる中、「デバイスからクラウドへの通信」が急増しています。VPN装置を経由せずに直接クラウドアプリケーションを利用する場合、社内ネットワークが提供してきたセキュリティ対策が効かなくなります。そのため、デバイスそのもののセキュリティ対策が極めて重要だという認識が広まってきており、昨今注目されているのがEDR(Endpoint Detection & Response)です。

  • テレワークで標的にされるエンドポイントを対策
  • 対策として注目されるも、運用が難しいEDR
  • インターネットサービス基盤事業社によるSentinelOneの導入事例
  • 実際のマルウェアで検証して運用イメージを具体化
  • 「SOC不要」でEDRを運用できると評価

テレワークで標的にされるエンドポイントを対策

新しい働き方の1つとしてテレワークが普及する中、新たな課題となってきたのが、テレワーク環境下でのセキュリティです。特に、「エンドポイントセキュリティ」は、これまでとは異なるセキュリティ対策が求められるものとして課題になっています。

テレワークで会社から支給されたPCや私物のPC、タブレットなどを利用する場合、一般家庭の無線LANを用いてインターネットにアクセスすることが一般的です。しかしこの場合では、これまで社内ネットワーク上で提供されていたネットワークセキュリティやWebゲートウェイを介して提供されていたセキュリティの恩恵をほとんど受けられなくなります。

一般的に社内ネットワークは、企業向けのネットワークセキュリティ製品で保護されています。社内ネットワークに接続するエンドポイントについても、適切なセキュリティ対策が施されているかを検知し、必要に応じてマルウェアを駆除することができます。一方、家庭用のホームルーターではそうした企業向け機能を利用できません。エンドポイント製品も家庭の無線LAN環境では機能が限定されます。

加えて、テザリングなどでモバイルルーターを利用すると、グローバルIPが端末に直接アサインされるケースがあることから、別途セキュリティ対策が必要になったり、セキュリティパッチを適用するための管理サーバーがオンプレミスにある場合は、端末内のシグニチャの更新が滞ったりすることもあります。さらに近年は、従来のセキュリティ対策は通用しないランサムウェアやファイルレス攻撃など、高度で巧妙な攻撃が仕掛けられることが懸念されています。テレワークではエンドポイントが攻撃の標的にされるため、エンドポイントセキュリティの強化は必須といえるでしょう。

従来の境界型防御を使っているとさまざまな問題が生じる

対策として注目されるも、運用が難しいEDR

現在の脅威は高度化・巧妙化しており、検知すること自体が難しいと言われています。実際、セキュリティインシデントの発生に気づくのは、社内ネットワークに侵入してから潜伏期間も含めて平均200日後という調査結果が報告されています。侵入後に攻撃が始まっていても、それに気づくことは難しいということです。

そうした状況の中で、エンドポイントセキュリティの中でも特に対策の必要性を指摘されているのがEDR(Endpoint Detection & Response:エンドポイントにおける検知&対応)です。EDRは端末の一挙手一投足をモニタリングし、さまざまなデータを相関分析することで、巧妙化している攻撃の検知を実現します。ログの記録を常時行っているので、端末の感染前後の挙動についても振り返ることが可能です。

これまでのエンドポイントセキュリティが「感染することを未然に防止する」という考え方で構築されていたのに対し、EDRは「侵入されることを前提にして、すばやく感染を検知し対応する」ことを目指したソリューションともいえるでしょう。

EDRは感染ステージの早い段階で検知し、手動もしくは自動で対応することで、個人情報や企業秘密の漏えいやデータの暗号化や破壊といった最悪の事態を避けることを目指しています。

このように、現在の脅威に対抗できる手段としてEDRは注目を集めていますが、一方で多くの導入企業にて共通して見られる課題があります。それは「オペレーション(運用)の難しさ」です。

EDRはもともとSOC(セキュリティ運用センター)向けのツールとして開発されたという経緯があります。このため、巧妙化した脅威を検知することはできても、利用する場合には専門的な知識が求められます。言い換えれば、セキュリティそのものや脅威の検知に対して専門的な知識を有する担当者がいなければ、導入しても十分に使いこなせない場合が大半なのです。

そこでポイントになるのが、マネージドセキュリティサービス(MSS)の利用です。MSSは、セキュリティ機器の運用をアウトソーシングしたり、脅威への対応をセキュリティコンサルタントに依頼して解決を図ったりするサービスです。オペレーションやコンサルティングなども含めて、EDR製品の運用を外部の事業者に依頼することで、少ない担当者で運用できるメリットがあります。そのため、EDR運用にはMSSが不可欠とも言われています。

しかし、MSSを採用することで新たな課題も生じます。1つは単純にMSSを利用する分のコストがかかってしまうことです。ほかには、マニュアルで対応すべき部分が多く、検知後の対応に時間がかかること、軽快さが求められるテレワークシステムの運用ポリシーにはそぐわないことが多い点などが挙げられます。

そうした中で、MSSのマニュアル運用という課題を解消できる製品・サービスとして、国内企業で採用が進んでいるのがSentinelOne社の「 SentinelOne Endpoint Protection Platform (以下、SentinelOne)」です。

SentinelOneは、「自律型AIエンドポイントセキュリティ」をコンセプトに、MSSによるマニュアル対応からAIによる自動対応への変革を実現します。また、EDRを中心にさまざまなセキュリティ対策で求められる「防御」「検知」「軽減」「修復」「調査」という5つの機能を提供し、脅威サイクルにおけるすべての段階のあらゆる攻撃からエンドポイントを保護できる点も特徴です。

SentinelOneはセキュリティ対策に求められる5つの機能を完備

インターネットサービス基盤事業社によるSentinelOneの導入事例

では実際に、SentinelOneはどのような理由や選定基準から企業に導入されているのでしょうか。ここでは、同製品を採用し、実際に効果を実感している企業として某インターネットサービス基盤事業会社の事例を紹介します。

クラウドソリューションとビジネスコンサルティングを主軸に、さまざまな事業を展開するこの企業は、ニューノーマル時代における新しい働き方を実現するための「ゼロトラスト型社内システム」の構築を推進しています。具体的には、クラウド上に構築したセキュアゲートウェイにインターネットを含む社内ネットワークのあらゆるトラフィックを集中させ、クラウドセキュリティ対策、ID認証統合、セキュアリモートアクセス、次世代エンドポイント保護などの機能を統合管理しようというものです。

ゼロトラスト型社内システムを推進する背景には、自社の情報システムのアップデートと、アフターコロナを見据えた新サービスの展開という2つの事情がありました。

同社では、境界防御を中心とした従来型のセキュリティアプローチから、ク ラウド時代の働き方に即して情報システムと働き方の変革を推進しています。その中核となる取り組みが、自社の情報システムのアップデートです。

一方で、そうした自社の働き方変革のノウハウや知見を顧客に提供し、顧客の働き方改革を支援するゼロトラストソリューションを開発する狙いもありました。それがアフターコロナを見据えた新サービスの展開です。

そんな中、この取り組みを支えるソリューションの1つとして選定されたのが、SentinelOneでした。

実際のマルウェアで検証して運用イメージを具体化

同社がSentinelOneを選定する背景には、サイバー攻撃の高度化・巧妙化がありました。ファイルレス攻撃をはじめとして、攻撃自体が検知しにくくなり、検知をすり抜けて侵入してくる脅威が増えていたのです。そこで、「人・デバイスなどの複数要素を絶えず検証し、信じるモノを決める」というゼロトラストの原則に従って、エンドポイント製品の導入を検討しました。

ゼロトラスト環境では、クラウドにデバイスが直接アクセスする形態になり、エンドポイントが従来における境界の役割を担います。そのため、デバイスの状態を常に監視し、既知の脅威だけでなく、振る舞い検知など「マルウェア感染を前提とした監視・保護」の仕組みを備えていること、従来のネットワーク境界型と異なり「デバイスのログを詳細に取得」できることを重要視したといいます。

境界の位置は従来と変わっている

また、他の製品のログと突き合わせて詳細な解析ができたり、API連携などで、多方面から通信の制御を実施したりできる「他製品との連携の容易さ」などにも注目しました。

実際に同社では、SentinelOne導入の前に本物のウイルスを用い、PCの仮想マシン環境上にて同製品がどのように振る舞い、自動防御を行うか、感染した際にどのように対処するかを検証して運用イメージを具体化していったといいます。

こうして、実際の業務環境下で問題なく利用できるか、誤検知はどの程度であるかなどを確認したほか、海外拠点でも利用可能であることなどを踏まえ、同社では、要件として重要視していたポイントをSentinelOneがクリアしていると判断しました。

「SOC不要」でEDRを運用できると評価

特に同社がSentinelOneを選定する上で決め手になったのは、自律型&能動的EDRという特性から設定チューニングの負荷が少なく、またSOC不要でも運用を自動化できるという点でした。

SentinelOneでは、脅威の検知・駆除といった基本機能以外に、以前の状態へとロールバックできる機能を備えるため、「ひとまずEDRの自動化的に対応し、後で人が判断して間違いがあったらもとに戻す」という運用の仕方ができると判断したといいます。

EDRが何らかのアラートを発したとき、当然ながらSOCを含む人間の判断を介してしまえば対処の精度は高くなりますが、脅威への対処は遅くなってしまいます。EDRのチューニングや設定に関しても人間が細やかな設定を施すことで、より強固なセキュリティを構築できますが、反対にその運用をしっかり行わなければ逆にセキュリティは低くなってしまいます。

同社の場合、自社のコストや人的リソースを踏まえ、実用面とリスクのバランスを考えた結果、「運用自動化がセキュリティ強度を最大化する」という結論にいたりました。

もちろん、複雑な事象への対処は自動化機能だけで対応することは困難であり、SOCなど専門知識を持った人間による判断が必要になることもあるでしょう。しかしその中でSentinelOneは、セキュリティ運用に不安を抱える企業に大きく貢献できるソリューションを提供できるといえるでしょう。

関連する情報

「SOC(Security Operation Center)」に関連する製品・サービス