複数の検知技術と脅威情報でエンドポイントをリアルタイム保護「FireEyeエンドポイント・セキュリティ（HXシリーズ）」

既知・未知の脅威検知に加えて攻撃の特性・目的も分析

　サイバー攻撃の高度化が進み、最新のマルウェアだと、既存のウイルス対策ソフトウェアやファイアウォールなどを巧みにすり抜けて企業ネットワークにたやすく侵入してくる。もちろん既知の攻撃を防ぐ点でこれらの施策が無意味ということはないが、最新の脅威に対する新しい防御方法が求められている。

　また、現在利用しているセキュリティツールで既知の脅威を防御できたとしても、攻撃の「目的」を把握することは難しい。攻撃者がネットワークのどこを狙ってきたのか、何が目的なのかを正確に知ることは、防御の強化・見直しにおいて重要な情報となる。将来にわたって安全を確保するためには、脅威を可視化する技術も必要だ。

　ファイア・アイの「FireEyeエンドポイント・セキュリティ（HXシリーズ）」は、既知・未知のいずれの脅威も防御可能であることがセールスポイントとなっている。エンドポイントで発生したインシデントを検知・解析し、他のネットワークセキュリティ製品／サービスと連携して被害の拡大を防ぎ、加えて攻撃の特性や目的の把握も行えるという特徴を持つ。

図1：FireEyeエンドポイント・セキュリティ（HXシリーズ）の動作イメージ（出典：ファイア・アイ）

　同製品には、大きく以下の機能が備わっている。脅威の存在を示す証拠や痕跡を検査・解析する「Triage Viewer」と「Audit Viewer」、脅威を検索して発見し封じ込める「Enterprise Security Search」、エンドポイントを詳細に検査・解析する「Data Acquisition」、エクスプロイト攻撃を検知・報告する「Exploit Guard」の各機能だ。

　検知能力を下支えするのが、ファイア・アイが蓄積を続ける「脅威インテリジェンス」である。これは、同社の調査専門のエンジニアがインターネットの最前線で収集した攻撃者と攻撃手法に関する知識・知見を統合したものだ。脅威に関する情報や活動の収集・分析には、機械学習などの最新技術が応用されており、世界中で年間20万時間が費やされているという。

複数の検知・保護技術と脅威インテリジェンスを統合

　既存の大半のセキュリティツールが抱える弱点の1つに、シグネチャ検知にしても機械学習にしても、単一の技術・手法しか備えていないことが挙げられる。2017年9月にリリースされたバージョン4.0では、上述の検知・防御技術と脅威インテリジェンスを統合し、脅威に対する保護能力とレスポンスを高めている。

　バージョン4.0でなされた機能強化によって、FireEyeエンドポイント・セキュリティが得る脅威情報は迅速かつ継続的にアップデートされ、統合マルウェア検知・保護エンジンの性能向上に寄与している。また、エクスプロイト攻撃に対しても、従来バージョン以上の検知・保護能力を発揮できるようになった。同社によれば、数万台規模のエンドポイント環境でも、わずか数分で既知・未知の脅威を検索・調査できるという。

　なお、バージョン4.0のユーザーは、ITセキュリティサービスを提供する第三者機関の米ダイレクトディフェンス（DirectDefense）からPCI/HIPAA認定を受けることが可能で、企業のコンプライアンス施策に活用できる。

　バージョン4.0は、オンプレミスであればハードウェアアプライアンスと仮想アプライアンスのいずれかを選択でき、クラウドサービスも用意されている。用途・環境によっては、ハイブリッド型の導入も可能だ。