カスペルスキー、法人向けEDR製品「Kaspersky Endpoint Detection and Response」を販売開始

　株式会社カスペルスキーは5月31日、法人向けEDR製品「Kaspersky Endpoint Detection and Response（以下、KEDR）」をパートナー企業経由で販売開始した。

　KEDRは、エンドポイントの動作情報を収集するソフトウェアの「エンドポイントセンサー」と、収集した情報を分析する「セントラルノード」、さらに高度な分析を実行する「アドバンスドサンドボックス」の3つのコンポーネントで構成されるセキュリティソリューション。

　エンドポイントから収集した動作情報を、機械学習を用いた標的型攻撃アナライザー、アンチマルウェアエンジンやアドバンスドサンドボックスなど、複数の高度な検知技術で分析。管理者はウェブ管理コンソールを利用して、不審なふるまいをするオブジェクトの把握と調査、影響範囲を特定でき、速やかなインシデントへの対応を可能にする。

「Kaspersky Endpoint Detection and Response」の基本構成

　エンドポイントセンサーは、PCなどのエンドポイントに常駐し、ファイルの操作やネットワーク接続、各種プロセス、レジストリ情報やWindowsイベントログなどの動作情報を収集し、セントラルノードへ転送する。

　セントラルノードでは、エンドポイントセンサーから収集したエンドポイントの動作情報を、機械学習を搭載した標的型攻撃アナライザー、アンチマルウェアエンジンを含む複数の技術と、クラウドベースの脅威情報基盤「Kaspersky Security Network（KSN）」から提供される情報を組み合わせて詳細に分析する。

KEDRの処理の流れ

　管理者はウェブ管理コンソールを通じて、分析結果やインシデント情報を一元的に確認でき、さらにAPTレポートサービスに含まれるIOC（Indicators of Compromise）を利用した分析や、脅威情報ルックアップサービスで提供するハッシュ値や不審なURLなどの検索もシームレスに実行でき、脅威をより詳しく調査できる。

　標的型攻撃アナライザーは、機械学習を利用して、エンドポイントセンサーから収集した情報に基づき、平常時のエンドポイントのプロセスを継続的に学習する。学習したものと比較して、不審なふるまいがエンドポイントであった場合にはインシデントとして検知する。また、KSNから配信される新しい学習ロジックを常に反映し、新しい脅威にも対応する。

評劇型攻撃アナライザーのアラート例

　セントラルノードで不審なオブジェクトと判断した場合は、そのオブジェクトを自動的にアドバンスドサンドボックスに送信し、仮想環境上で動的解析を行うことで、未知のマルウェアを検知する。キーボードやマウスなどの存在をチェックする、しばらく待機してタイムアウトを待つといった、サンドボックス回避機能を持つマルウェアにも対応し、最新の回避手法に対応するためのモジュールを随時更新する。

未知のマルウェア検知に特化したアドバンスドサンドボックス

　管理者はこれらの情報を、ウェブブラウザーベースの管理コンソールから確認でき、セントラルノードおよびアドバンスドサンドボックスで分析した情報が、分かりやすくグラフィカルに表示される。単一の管理コンソールに脅威の検知の情報が集約されるため、一元的に状況を把握でき、プルダウンメニューから調査の実施や脅威の拡大防止措置の実行、レポート作成などを統合的に行える。

ウェブ管理コンソールのアラート表示例

エンドポイントで発生したイベント情報の表示例

　エンドポイントセンサーでは分析を行わないため、端末への負荷が少なく、既存のエンドポイントセキュリティ製品との併用も可能。また、カスペルスキーの法人向けエンドポイントセキュリティ製品「Kaspersky Endpoint Security 11 for Windows」は、KEDRのエンドポイントセンサーとしても利用可能で、同製品をすでに利用している場合は、KEDR専用のエージェントを端末に追加導入する必要がない。

　KEDRのエンドポイントセンサー、セントラルノードおよびアドバンスドサンドボックスは、すべてオンプレミスの環境で構築でき、コンプライアンス上のルールなどで外部への情報の送信に制限がある企業、組織においても、EDRソリューションを展開できる。

　カスペルスキー コーポレートビジネス本部 技術統括部 統括部長の関場哲也氏は、エンドポイントセキュリティ製品はマルウェアの実行防止とリアルタイム検知が主な役割であるのに対して、EDR製品は脅威を検知し、対応を支援するのが主な役割になるとした。

　しかし、これまではそうした役割の違いから、EDR製品はマルウェア実行や侵入後に使用するイメージで捉えられているが、KEDRはカスペルスキーのインテリジェンスとその仕組を活用することで、事後ならず未然の対応を実現する製品だと説明。標的型攻撃には「準備→潜入→横断的侵害→本格的な活動」といった段階があり、KEDRは標的型攻撃アナライザーによる早期の異常検知を可能にしている点が特徴だとした。

　カスペルスキー専務執行役員の宮橋一郎氏は、日本企業の26％が過去1年間に標的型攻撃を体験しており、侵害の検知が遅れるとそれだけ復旧や対策のコストは増大するが、実際には半数以上の企業で数週間から1年以上、重大な攻撃が発見されずに継続されていたという調査結果を紹介。

　さらに高度化する標的型攻撃への対策としては、脅威を可視化し、管理下に置くことが重要だとして、ネットワークトラフィックやメール、ウェブからの異常検知、情報収集と解析を行う「Kaspersky Anti Targeted Attack」、セキュリティエキスパートの育成とインシデント対応への支援を行う「Kaspersky Cybersecurity Services」の2製品に、今回のKEDRを加えたソリューションを「Kaspersky Threat Management and Defense」として展開していくとした。

　国内市場への展開としては、自営のSOC/CSIRTを持つ金融、エネルギー、交通、情報通信、行政機関など、重要インフラ事業者を中心としたエンタープライズの顧客が対象の製品となり、重大な攻撃の兆候を発見・解析し、復旧するSOC/CSIRTを支援していくとした。

　KEDRの参考価格（税別、1000ノード・新規1年ライセンス）は、サンドボックスなしのStandardライセンスが638万円、サンドボックスありのAdvancedライセンスが936万円。