HollyFrontier社ITインフラ ディレクターのエドウィン・ドレイデンをMcAfee Endpoint Security 10への移行に踏み切らせた大きな決め手は、高いパフォーマンスでも従来製品の統合でもありませんでした。決め手は、新たなエンドポイント保護フレームワークに、お気に入りのMcAfee Advanced Threat Defense (以下、ATD) 製品のダイナミック サンドボックス機能を統合できることでした。
HollyFrontierは、アメリカ中部に5つの製油所を所有し、「フォーチュン500」にもランクインされている石油精製会社です。ドレイデンの指揮の下、McAfee Complete Endpoint Threat Protectionスイートの3,600ノードのうち、90%をMcAfee Endpoint Security(以下、ENS) 10.2に移行しました。同社は、McAfee SIEM、IPS、その他ソリューションが重要な役割を担う統合型のセキュリティ アーキテクチャーを構築していましたが、ドレイデンは、よりインテリジェントで親和性の高いENSを導入することで、その防御力を強化することができると考えました。しかし、ドレイデンが最も魅力を感じたのは、McAfee Threat Intelligence Exchange(以下、TIE)を介して新規のエンドポイント保護フレームワークにMcAfee ATDを統合することで、高度な脅威検知力と反応スピードを実現できるという点でした。
McAfee ATDのこととなると、ドレイデンは生き生きと語ります。「パケットの観点で見て少しおかしいと思うものは確認することができ、…[また、] それをクラウドに投入して調査させて、適合する脅威ベクトルを見つけられるなんて素晴らしいことです…とても気に入っています。しかも、こんなに短時間で実現できるとは、本当に驚きです。」
HollyFrontierでは、ENSにTIEとATD (Data Exchange Layerを経由) が統合されたため、あるエンドポイントで不審なファイルが実行を試みると、ファイルは即座に隔離され、詳しい分析のためにATDに送られます。ATDがファイルを分析(シグネチャ、レピュテーション、リアルタイム エミュレーションと奥行きのあるサンドボックス機能を組み合わせ、潜伏している高度な脅威を検知します) する一方で、ENS10のDynamic Application Containment (DAC) 機能が問題のファイルを自動的に隔離し、感染の発生を防ぎます。
ドレイデンの予想どおり、ENSとATDの統合は、特に事態が深刻化する前にランサムウェアを検知し封じ込めることによって、セキュリティ運用に非常に大きな効果をもたらしました。ドレイデンは、次のように述べています。「弊社の環境から非常に多くのランサムウェアが排除されました。2週間で軽く40時間は削減できたと言えるでしょう。」
また、ドレイデンは、McAfee ePolicy Orchestrator® (ePO™) センター コンソールを使ったENSへの移行作業は非常に簡単かつシンプルであったと喜びをあらわにしました。HollyFrontierの小規模な情報セキュリティ チームは、初回テストから7日以内に、3,200ノードのすべてで、Dynamic Application Containment (DAC) 機能を含め、新エンドポイント保護フレームワークとそのThreat Preventionモジュールをバージョン10.2へ完全に移行しました。HollyFrontierでは、30日以内にバージョン10.5への移行を予定しています。
” 弊社の環境から非常に多くのランサムウェアが排除されました。2週間で軽く40時間の作業時間の削減と言えるでしょう。 ”
— エドウィン・ドレイデン (HollyFrontier社ITインフラ ディレクター)
また、ENS10への移行作業は、エンドユーザーにほとんど影響を与えませんでした。エンドユーザーは変化に気づかなかったか、気づいてもクレームには至りませんでした。ドレイデンは、次のように述べています。「[移行作業が] 完了すれば、終わりです。移行作業を行ってから、文字通りインフラ全体の [どの] エンドポイントからもクレームは来ていません。」
つまり、HollyFrontierは「品質の高い製品を手に入れ、それをアップストリームから残りすべての部分にアタッチさせる」ためにENS10へ移行したのだと、ドレイデンは言います。作業完了後、ドレイデンは次のように述べています。「気が楽になりました。ENS 10 がきちんと機能することは間違いないので、夜は安心して眠れるようになれました。」
ご質問は、マカフィー公式Twitterにツイートしてください。
※本ページの内容は 2017年1月19日更新のMcAfee Blog の抄訳です。
原文: Fortune 500 Company’s Information Security Team Saves 20 Hours Each Week by Migrating to McAfee Endpoint Security
【製品情報】
McAfee Advanced Threat Defense
McAfee Complete Endpoint Threat Protection
McAfee Endpoint Security
McAfee SIEM
McAfee Network Security Platform(IPS)
McAfee Threat Intelligence Exchange
McAfee Data Exchange Layer
McAfee ePolicy Orchestrator® (ePO™)
【関連情報】
ランサムウェア関連情報 まとめ
第6回:今だから学ぶ! セキュリティの頻出用語 : サンドボックスとは?
第9回:今だから学ぶ! セキュリティの頻出用語 : エンドポイント セキュリティとは?
第25回:今だから学ぶ! セキュリティの頻出用語:レピュテーションとは?
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)