ニュース
フォーティネット、“第2世代”のEDR製品「FortiEDR」を発表 自動化で侵入前・侵入後の包括的なマルウェア対策を支援
2020年5月27日 06:01
フォーティネットジャパン株式会社(以下、フォーティネット)は26日、エンドポイントセキュリティ製品「FortiEDR」の日本市場投入を発表した。米Fortinetが5月12~14日に開催したグローバルイベント「Fortinet Accelerate 2020 Digital Edition」にて発表した製品の、日本での発表となる。販売は国内パートナー各社からで、すでに発注可能という。
FortiEDRは、エンドポイントを侵入から守るEPP(Endpoint Protection Platform)と、侵入後に検知して対応するEDR(Endpoint Detection and Response)の両方の機能を持つ製品。エンドポイントには軽量なエージェントをインストールし、クラウド型(クラウドまたはオンプレミス)で分析する。
フォーティネットでは、従来の“第1世代”のEDRツールについて、手動によるトリアージと対応が必要になることや、大量にアラートが生成される負担が問題になると主張。それに対して次世代のFortiEDRでは、包括的なマルウェア対策と感染後のリアルタイムの保護の両方を提供し、脅威の自動的な検知、脅威ハンティングとインシデントレスポンスの自動オーケストレーションなどに対応するとしている。
導入を支援するサービス群も順次提供
同日、オンラインで開催された記者説明会で、フォーティネットの山田麻紀子氏(マーケティング本郡 プロダクトマーケティングマネージャー)が日本市場について説明した。
対象市場は従業員1000人以上の企業だが、500人程度の中規模組織でも機能ごとの契約は可能。業種としては、製造業やOT(オペレーショナルテクノロジー)、重要インフラ、小売、ホスピタリティなどを想定する。
またFortiEDRの導入を支援するサービス群も、2020年第3四半期(7~9月)より順次国内に提供開始する予定。導入の「Deploymentサービス」では、フォーティネットのエンジニアが初期構築をリモート支援する。また、オプションサービスのFortiResponderサービスにより、24×7レスポンスやアラートトリアージの「MDRサービス」や、デジタルフォレンジックなどの「インシデントレスポンスサービス」に対応する。
山田氏はFortiEDRの強みとして、Fortinet製品と組み合わせることが可能であること、脅威の自動検出と回避、柔軟に設定可能なプレイブックによる自動対応、Windows 7/XPやmacOS YosemiteなどのOT環境やレガシー端末にも対応することを挙げた。
侵入前のEPP機能と侵入後のEDR機能
FortiEDRの機能については、フォーティネットの宮林孝至氏(技術本部 サブジェクトマターエキスパート/システムエンジニア)が説明した。
宮林氏はまず、FortiEDRで解決する課題として3つを挙げた。1つめは過剰なアラートにより自分たちで運用しきれずSOCが必要になる課題。これについては、検知制度を強化して過剰なアラートを回避することで、SOCの有無によらず柔軟に対応するという。
2つめは、脅威がすり抜けて実行されてしまったときに実被害が出る前に止めたいという課題。これについては、C&Cサーバーへの通信や不審な挙動を検知してブロックすることで被害を最小化するという。
3つめは脆弱性管理が困難という課題。これについては、脆弱性を可視化して把握し、侵入を未然に防ぐという。
FortiEDRの機能は、侵入前と侵入後の2つに大別される。侵入前のうち、「発見&予測」では、アプリケーションの脆弱性を管理して、例えば、脆弱性のあるバージョンのWebブラウザの、外部への通信をブロックする。
また、侵入前の「保護」や、侵入後の「検知」「無効化」では、脅威と思われる挙動をリアルタイムで検出してブロックする。
侵入後の「対応と調査(インシデントレスポンス)」では、脅威を5種類に分類し、プレイブックにより自動処理したり、ほかのデバイスから脅威ハンティングしたりする。
侵入後の「対応と修復」では、管理者が手動で停止や削除するほか、メモリデータを取得して後のデータにできる。
また、エンドポイントのエージェントで検出したイベントは、クラウドのFortinetのナレッジと連携して継続的に検証することで、検知制度を強化し、過剰なアラート対応を回避するという。
宮林氏は最後に、手動と、FortiEDRによる自動化とで対応時間を比較。手動で数時間かかっていたものが、リアルタイムで検知と無効化、継続的な検証ができるとした。