インテルセキュリティ、包括的な脅威検出・対応ソリューション「McAfee Active Response」を国内で提供

　Intel Security（日本での事業会社：マカフィー株式会社）は28日、企業エンドポイント向けの包括的な脅威検出・対応ソリューション「McAfee Active Response」の日本での提供を、同日より開始すると発表した。

　「McAfee Active Response」は、エンドポイントセキュリティの新たな分野となるEDR（エンドポイント脅威の検知／対応）ソリューションで、企業のセキュリティ担当者が自社環境に最適な方法でセキュリティ上の脅威や問題を迅速かつ継続的に追跡、特定、修復するために必要なツールを提供する。これによって、複雑なIT環境でも、より少ないリソースで効率的に脅威に対応することが可能となる。

　マカフィー マーケティング本部 ソリューション・マーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏は、「McAfee Active Response」を提供する背景について、「当社では、新たな企業戦略として、『脅威対策ライフサイクル』を提唱している。このライフサイクルは、防御、検知、復旧の3段階に分けられるが、現在は防御が非常に弱く、分散したログからの検知に時間がかかり、復旧段階においても手作業や物理的な隔離作業によって多大な時間を要しているのが実情だ。こうした状況を改善するためには、自動化と学習により防御を強化するとともに、検知と復旧の効率化を図ることが重要となる」と指摘。「『McAfee Active Response』を活用することで、脅威対策ライフサイクルの自動化と効率化を促進することができる」としている。

マカフィー マーケティング本部 ソリューション・マーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏

　「McAfee Active Response」の主な機能としては、「検索（コレクター）」、「調査（サーチ）」、「監視（トリガー）」、「対応（リアクション）」の4つを提供する。「検索（コレクター）」は、エンドポイントのシステムからデータを検索する機能。実行ファイルだけでなく、実行中のファイルに潜伏するコードや攻撃の痕跡を消すために削除された可能性のあるコードも検出することができ、分析、運用、フォレンジックに向けた脅威情報をセキュリティ担当者に自動的に送信する。「調査（サーチ）」は、システムの詳細情報を素早く確認することができるインターフェイス。自然語で直感的に検索したデータがビジュアルに表示されるため、重大な侵害や攻撃の可能性を一目で把握することができる。

「McAfee Active Response」の製品特長

「McAfee Active Response」の主な機能

　「監視（トリガー）」は、エンドポイントを常に監視・検出する機能で、セキュリティ担当者が重大なイベントやシステム変更を継続してモニタリングできる。設定したトリガーが一定条件を満たすと、アクションが実行され、イベントを生成したり、リアクションを実行する。1つのトリガーで現在と将来のイベントに対応することができる。「対応（リアクション）」は、攻撃を受けたトリガーに対応するための機能。トリガー条件を満たしたときに実行される処理が事前に設定されており、脅威の検出から駆除対応までを自動化することができる。また、特定の要件に合わせてカスタムアクションを設定することも可能となっている。

「McAfee Active Response」の検索画面

「McAfee Active Response」のダッシュボード画面

　米Intel Security アドバンスドスレットディフェンス テクニカルディレクターのスコット・タシュラー氏は、「McAfee Active Response」の導入メリットについて、「これら4つの機能によって、脅威の検索精度を大幅に向上し、セキュリティに関するさまざまな情報をリアルタイムに調査・分析することが可能となる。また、継続的・自動的に情報収集を行うことで、エンドポイントの脅威を常時監視することができる。攻撃に対しても即時対応することができ、攻撃の状況に応じてデータの自動収集、アラート、対応方法を各企業のポリシーに合わせてカスタマイズすることもできる」と述べている。

米Intel Security アドバンスドスレットディフェンス テクニカルディレクターのスコット・タシュラー氏

　さらに、統合セキュリティ管理ツール「McAfee ePolicy Orchestrator」（McAfee ePO）と組み合わせることで、新たな管理エージェントや管理スタッフを追加しなくても、統合的なセキュリティを導入し、監視機能や拡張性を向上することが可能。また、「McAfee ePO」を通じて、効果的な脅威対策のライフサイクルの一部として、「McAfee Active Response」をほかのIntel Securityのソリューションやパートナー製品と連携させて、簡単に利用することができるという。

　ソリューション連携についてスコット氏は、「SIEMの次期アップデートでは、『McAfee Enterprise Security Manager』との統合を実現する。例えば、SIEMからFirewallイベントが疑われると通知を受けた際、調査の優先順位付けのため詳細な状況説明を要求すると、SIEMは『McAfee Active Response』による調査を活用し、数秒で詳細な状況説明を提供することが可能となる。これにより、従来のサイロ化したシステムに比べて、IOC（Indicator of Compromise）対応にかかる時間を劇的に減少し、IOC処理能力も大幅向上することができる」と説明している。

　「McAfee Active Response」の税別価格は、100ノードの場合83万7000円。製品は、国内のIntel Securityの販売代理店を通じて提供する。