シマンテック、クラウドEDRサービス「Symantec EDR Cloud」について説明

　株式会社シマンテックは19日、エージェントレス型ウイルス対策製品「Symantec EDR （Endpoint Detection and Response） Cloud」に関して会見を行い、同製品の特徴や脅威検出テクノロジーについて説明した。

エージェントレス型のEDRクラウドサービス

　「Symantec EDR Cloud」は、クラウド型分析、高度なAI、異常検出によって、あらゆるエンドポイントでステルス性の高い攻撃の侵入を検出し、トラッキングするエージェントレス型のクラウドサービス。先日、株式会社日立システムズと株式会社セキュアブレインが、「Symantec EDR Cloud」を採用したマネージドEDRサービスを提供することが発表され、その注目度が高まっている。

　シマンテック エバンジェリストの高岡隆佳氏は、EDRのニーズが高まっている市場背景について、「昨今、クラウドの利用拡大などによって、ユーザーもデータも境界線を超えてやり取りされるようになっている。これに伴い、脅威も境界線を超えて侵入しやすくなっており、既存セキュリティ層を未知の脅威の50％以上がすり抜けてきているという実情がある。もはや、ブラックリストやホワイトリストでは防御しきれず、アラートの精査も追いつかない。そこで、脅威に侵入された際にも素早く事後対応を行い、被害を最小化するセキュリティ対策としてEDRが注目を浴びている」と述べた。

シマンテック エバンジェリストの高岡隆佳氏

　これまでシマンテックでは、Symantec Endpoint Protection（SEP）ユーザー向けにEDRソリューションを提供していたが、「Symantec EDR Cloud」は、Active Directory（AD）ドメイン端末に対してエージェントレスでEDRサービスを提供するという。

　「『Symantec EDR Cloud』によって、SEPユーザーでなくても当社のEDRを利用できるようになり、ユーザーのシステム環境に応じて最適なEDRサービスを展開可能になった」（高岡氏）としている。

「Symantec EDR Cloud」とSEP向けEDRとの機能比較

OSで記録されたあらゆる情報を活用し、検出率を向上

　「Symantec EDR Cloud」の大きな特徴としては、「コンピュータ全体の状態をデータセットとして検査する」ことを挙げている。

　高岡氏は、「ほとんどの競合ソリューションは、マルウェアにフォーカスして脅威を検出している。これに対して、『Symantec EDR Cloud』では、OSで記録されたあらゆる情報を活用し、この情報を機械学習によって自動的に分析することで、検出効率の大幅向上を実現した。また、ニューラルネットワークを最適活用し、端末全体の状態を調査することで、ソフトウェアやメモリ、ネットワークなどの異常や例外値を検出する。これにより、サイバー脅威とポリシー違反を明確に判別することができる」と説明した。

「Symantec EDR Cloud」のシステム構成

　さらに「Symantec EDR Cloud」では、脅威検出テクノロジーとして、複数の脅威エンジンによる多次元のセキュリティ分析アプローチを採用している点も特徴となっている。

　具体的には、「何百万もの良質／悪質ファイルでトレーニングを積んだ機械学習ネットワーク」、「16の市販ウイルス対策エンジン」、「オープンソースとサードパーティの情報フィード」、「ユーザーからの脅威情報とサードパーティの脅威情報ソース」、「組織全体から収集したデータを使用した独自のデータモデリング」など、さまざまな検索エンジンや脅威情報を組み合わせ、精度の高い「疑い」スコアを自動作成しているという。

　高岡氏は、「『Symantec EDR Cloud』を導入することで、今まで人間による調査が必要だった脅威の分析作業を自動化することができる。これによって、EDRにかかわる業務を効率化し、脅威の侵入を防ぐネットワークセキュリティやエンドポイントセキュリティのさらなる強化にリソースを使うことが可能になる」と導入メリットを強調した。