ニュース

ソフォス、エンドポイント保護製品「Intercept X」にEDR機能を追加

脅威の侵害行為を素早く検知・対処可能に

 ソフォス株式会社は、ディープラーニング技術を搭載したエンドポイント保護製品「Sophos Intercept X」に、EDR(Endpoint Detection and Response)機能を追加し、「Intercept X Advanced with EDR」として提供開始すると発表した。現在、早期アクセスプログラムの一般募集を行っており、11月中旬ごろに正式リリースする予定。10月30日に行われた会見では、新たに追加されるEDR機能の概要について説明した。

 「Sophos Intercept X」は、エクスプロイト対策からランサムウェア対策、マルウェアの削除、根本原因解析(RCA)、ディープラーニングマルウェアスキャンまで、包括的な機能を備えたエンドポイントプロテクション製品。特にディープラーニング型ニューラルネットワークを活用することで、従来型のエンドポイントセキュリティや機械学習型エンドポイントセキュリティを上回る検知率を実現している。また、SophosLabsで培った知見と数億個のマルウェアサンプルを学習させることで、誤検知率を大幅に低減している。

「Sophos Intercept X」の包括的なエンドポイントプロテクション

 今回、EDR機能を追加する背景について、ソフォス エンタープライズ営業本部セキュリティソリューションコンサルタントの佐々木潤世氏は、「エンドポイントプロテクションでは、あらゆる脅威を検知し、侵害を未然に防ぐ機能を提供しているが、検知できずに潜伏されてしまうケースもある。そこで、万が一、侵害されたとしても、素早く検知し、対処できるよう、EDR機能を提供する必要があると判断した」としている。

ソフォス エンタープライズ営業本部セキュリティソリューションコンサルタントの佐々木潤世氏

 「また、従来は専門のセキュリティオペレーションセンター(SOC)や、サイバー攻撃の探索とトレーニングを専門とするITセキュリティチームを持つ企業でなければ、効果的な脅威の調査やインシデント対応を行うのは難しかった。しかし、今回のEDR機能を活用することで、中小規模の企業やリソースに限りのある企業でも、既存のセキュリティ対策に脅威追跡機能とSOC的機能を容易に追加できるようになる」という。

EDR機能のオペレーション

 「Intercept X Advanced with EDR」の主な特徴としては、「強力なプロテクションとEDRの提供」、「エキスパートを付加したプラットフォーム」、「ガイド付きインテリジェント対応」の3点を挙げている。

 「強力なプロテクションとEDRの提供」では、統合(多層)プロテクションとEDRを1つのソリューションとして提供する。これによって、高精度のエンドポイントプロテクションがより多くの脅威を事前に防御することで、EDRのワークロードを大幅に削減。さらにノイズを軽減することで、リソースの最適化も実現する。

 「エキスパートを付加したプラットフォーム」では、インシデントに対処するために必要なセキュリティ分析や脅威インテリジェンス解析、マルウェア解析といったエキスパートの知見をプラットフォーム上で展開する。例えば、セキュリティ分析では、ラテラルムーブメント対策として、Xエステートハンティング機能を提供。ネットワーク内での疑わしいファイルを検索し、ファイルが潜伏しているデバイスを洗い出すことができる。また、来年頭には、機械学習を使用した自動検知や優先付けの機能を追加する予定。脅威インテリジェンス解析では、SophosLabsが支援するオンデマンド脅威インテリジェンスへのアクセスを可能とした。そして、マルウェア解析では、ディープラーニングモデルを使ったファイル分析機能を提供する。

Xエステートハンティング機能の概要

 「ガイド付きインテリジェント対応」については、SophosLabsが収集したインテリジェンスや不審なイベントに対するガイド付き調査を提供。感染端末や疑わしい挙動をしたマシンをリストアップし、ワンクリックでデバイスの隔離およびファイルの駆除を行うことができるという。