ブログ
情報システム部小島くんのセキュリティ奮闘記(第5回:サイバー攻撃発生)
当社が導入したEDR製品について
~当社の導入事例について~
当社では2018年にEDR製品である「Cybereason EDR」をPC17,000台、サーバ2,000台に導入致しました。EDRを導入した結果、上記マンガのように即座に検知・防御することができ、情報流出や破壊などの被害を未然に防止することができました。当社で検知・防御した攻撃の一例をご紹介致します。
- リスクレベル高: オフィス外で使用したPCへ海外から不正ログインを試行された。 マルウェアのダウンロードを試行された。
- リスクレベル中: セキュリティベンダーから「悪意ある」と判定されたモジュールが正規プロセスから読み込まれた。 悪意あるドメインへの接続を試行された。
当社では「Cybereason EDR」上のリスクレベルを「緊急・高・中・低」の4段階で表していますが、現時点で緊急(即座の対応が必要)のインシデントは発生しておりません。
第3回のコラム「導入検討」においてEDR製品の選定ポイントについて記載致しましたが、当社が数あるEDR製品の中から「Cybereason EDR」を選定したポイントは以下4点でした。
- 1) 未知の脅威を検知する能力
- 未知も含めたマルウェア・ランサムウェアを検知・防御する機能が備わっている事
- 2) 脅威への素早い初動対応とフォレンジック能力
- 管理画面を通じて遠隔地の端末でもネットワーク隔離でき、状況や影響を把握可能である事
- 3) IT環境への負荷・既存環境への干渉
- PC/サーバのリソースやNW環境への負荷が極小である事
- 既存アプリケーションに影響がない事
- 4) 導入展開と運用のしやすさ
- ソフトウェア自動配布ツールで展開可能である事
- 外部の監視サービスに定常監視を委託することで運用の負担感がない事
~当社が導入したEDR製品「Cybereason EDR」の紹介~
「Cybereason EDR」の技術面と運用面における優位点について記載致します。【技術面】
- 1) 検知
- 悪意ある振る舞いをエンドポイントでリアルタイム検知
- SSLを使ってすり抜けた攻撃、ファイルレスマルウェアによる攻撃など高度な攻撃も検知
- ランサムウェアを検知した場合は、即座にプロセスを停止し、被害を最小化
- 2) 調査
- 1つの攻撃の侵入から現在までをリアルタイムに解析
- 侵入ポイント、根本原因、影響を受けた端末を把握でき、攻撃の流れを自動分析、時系列で表示
- 短時間で攻撃の全体像を把握可能
- 影響範囲を管理画面から深堀でき、検知・分析から対応までの時間を短縮
- 3) 対応
- 同じ攻撃を受けた複数の端末に対して遠隔から一括して、端末の隔離・プロセス停止・ファイルの隔離・レジストリの削除をおこなうことが可能
【運用面】
- 1) 業務端末やNW環境への影響が小さい
- CybereasonのEDR機能はユーザーモードで動作するため、ブルースクリーンを引き起こすこともなく、かつ他の業務アプリケーションにも影響を及ぼさない設計
- 低CPU使用率、低メモリ使用量、低ネットワーク負荷で、VDIへの導入も可能
- 2) 日本語画面、日本語レポート
- 管理画面やレポートが日本語で提供されていることから、インシデント発生時に迅速な対応が可能
- 3) 日本法人による強力なサポート体制
- メーカーが提供する(※)MSS(マネージド・セキュリティ・サービス)によるセキュリティ専門家の監視/解析/報告
- インシデントレポート、月次レポートの提供
- お客様担当のCS(カスタマー・サクセス)による導入/運用支援(製品トレーニング/定期ミーティング/運用に係る全般的なご相談)
システム構成やサービスについては、当社製品紹介ページをご覧頂ければと思います。
(※)MSS(マネージド・セキュリティ・サービス)は有償オプションサービスとなります。
EDR製品選びで迷った際には、当社での導入背景など踏まえてご支援できるかと思いますので是非、お問合せ頂ければと思います。 お問合せ先:cybereason-sales@scsk.jp