目次
アンチウィルスの現在
約10年前、「アンチウィルスは死んだ」という言葉がサイバーセキュリティ業界を駆け巡り、大きな議論の的となりました。それから10年後、私たちはアンチウィルス技術がエンドポイントセキュリティの主要なセグメントに進化し、防御、検知、応答といった要素を備えた世界に住んでいます。現在、ほとんどのベンダーは、これをEDR(Endpoint Detection and Response)と呼んでいます。
シグネチャベースの保護は、アンチウィルスの別の言い方ですが、現在でも企業が既知の脅威を排除するのに役立っているものです。既知の脅威は、ほとんどの組織が直面する脅威のかなりの割合を占めています。シグネチャベースのアンチウィルスは、リアルタイムで実行でき、シグネチャを超える最新の技術を使用して攻撃を検出する他のエンジンの負担を軽減します。
混迷するエンドポイントセキュリティ市場を解読
20年前、私がサイバーセキュリティの世界に入ったとき、企業向けエンドポイント保護ソリューションの市場で選べる会社は3社ほどでした。しかし、現在では、エンドポイント保護を提供するベンダーは少なくとも30社以上あり、それぞれがEPP、EDR、XDRなど、その時々の流行りの3文字の頭文字をとって名乗りをあげています。
この10年間で、IT環境は劇的に変化しました。ハイブリッド・ワーキングにより、エンドポイントが最大の攻撃ベクトルとなり、企業のセキュリティ境界の外に存在することもあります。デスクトップからモバイルまで、新しいオペレーティングシステムを搭載したデバイスの爆発的な増加により、従来のエンドポイント防御戦略はより困難なものとなりました。このため、業界の課題に対処するための特効薬があると考えるベンチャー企業にとっては、非常に有利な環境となりました。問題は、サイバーセキュリティが猛烈なスピードで進化していることです。それは、脅威の状況や経済性の観点から見ても同様です。攻撃者は、保護機能を回避するために常に新しい手法を使用しています。財務面では、サイバーセキュリティ・ソリューションの専門プロバイダーが市場で生き残るには、アップセルやクロスセルを行う強固な顧客基盤を持ち、同時に新規顧客を増やさない限り、極めて困難であるということです。
どちらのシナリオでも敗者となるのは、サイバーセキュリティの問題を解決する「特効薬」になると考えて、その会社のソリューションを導入することを選択した組織です。新しい技術用語が流行する中、「新しい光り物」を追い求める企業は、結局、自分の環境に相当数の分散した、そして多くは冗長なソリューションを持つことになります。私は、エンドポイント保護の要件に対応するためだけに、4~5社のエージェントを稼働させている企業を見たことがありますが、そのような企業は、独自のユースケースのために別々の時期に購入しています。
この影響は、ユーザーエクスペリエンスの低下という点でエンドポイントの両方に及びますが、SOC(セキュリティオペレーションセンター)チームにおいても、アナリストが複数のコンソールで異なる情報を見ることになります。すべての情報をつなぎ合わせる作業に多くの時間が費やされるということは、検知の監視、脅威の分析、ギャップの発見、環境の継続的な微調整など、本当に重要な部分にかける時間が減少することを意味します。
エンドポイントアラートはSOCの金鉱
ハイブリッドワークフォースが当たり前になった今、エンドポイントは組織にとって重要なコントロールとなっています。エンドポイントは人間が直接関わる場所であり、脅威がその能力を最大限に発揮する場所です。かつて、ウイルス対策ソリューションはデスクトップチームの権限下にあり、DATのインストールとアップデートがすべてであり、それは運用上のタスクでしかなかったという時代がありました。暗号化されたトラフィックは限られており、ほとんどの検知はファイアウォール、IPS、またはウェブレベルで行われることになります。
しかし現在、エンドポイントセキュリティのアラートは、サイバーセキュリティとSOCチームの焦点となっています。トラフィックの暗号化が進む中、エンドポイントにおける脅威の数が飛躍的に増加し、センサーから指数関数的な数のアラートが生成されるようになっています。エンドポイントに現れる脅威は、IPS、ファイアウォール、ウェブ、電子メールなどのセキュリティを何らかのレベルでバイパスしていることを意味します。エンドポイントに現れるすべての脅威をSOCが注意深く分析し、セキュリティチームがネットワークとコンテンツの制御を改善するのを支援する必要があります。
セキュリティ技術によって正常に処理された指標となるアラートは、分析せずに放置すべきではありません。スキャナやクレデンシャル関連ツールの場合、処理された時点では重大性の高いアラートではないかもしれませんが、処理されずに放置されると最終的に目標に到達する可能性がある長期的な標的型キャンペーンの一部である可能性があります。ほとんどの高度な攻撃は、最終的なペイロードが実行されるまで、重要な組織情報を得るために一般的なツールを使って数カ月にわたって指標を提供しています。信頼できるレベルのSOCは、組織が攻撃のライフサイクルの早い段階で知るための鍵であり、エンドポイントアラートは重要なフィードとなります。
サイバーセキュリティの人材が不足する中、バックエンドの検出を向上させるだけでなく、アナリストが主要なタスクに集中できるよう支援するために、AIの採用が増加すると思われます。アナリストのインターフェースをChatGPTのようなAI自然言語対話モデルと統合することで、将来的にSOCの効率を大幅に向上させることができます。
適切なプロバイダーの選択
セキュリティ・ソリューション・プロバイダーを選択する際には、重要な基準はいくつかあります。アナリストの推奨や比較テストに基づいてベンダーを選定している組織に遭遇したことがあります。ベンダーの選択は、グローバルな分析やテスト結果ではなく、自社のビジネスやユースケースに基づいて行う必要があります。アナリストがクラウドやマルチテナントでベンダーを高く評価しても、それが組織に当てはまらなければ、レポートはその目的を果たさないことになります。アナリストのレポートやサードパーティのテスト結果の細かい部分を読み、自分の組織に適用できるかどうかを理解することが重要です。通常、あなたが求めているソリューションが、そのベンダーのコアポートフォリオの一部であり、そのベンダー全体の収益のかなりの部分を占めているベンダーと契約することをお勧めします。そのようなベンダーは、組織的な目標を達成するために、経営陣の全面的な支持を得ているはずです。
検討中のベンダーが、お客様のビジネスをより迅速かつ効果的にサポートするために、市場で長期間にわたって活動し、直接的に存在感を示していることを確認するためのチェックリストを含めることをお勧めします。最近、多くの企業が求めているマネージドサービスのエコシステムがあるかどうかも、そのビジネスに適用できるのであれば、評価の一部とすべきです。
選択するベンダーは強力な研究部門を備えている必要があります。攻撃や脆弱性を早期に発見できる十分な能力を持った研究チームにより、これらの発見を自社の技術に反映させる必要があります。ベンダーの研究チームが法執行機関や情報機関と官民で協力することは、サイバー犯罪者を根こそぎ排除するための実用的なインテリジェンスを提供する上で重要です。この技術を利用する顧客は、脅威データを充実させるために研究チームを活用し、脅威サイクルの早い段階でインシデントに対応できるようにする必要があります。
優れたエンドポイントセキュリティプラットフォームとは
過去20年間、エンドポイントセキュリティ市場の進化を最前線で見てきた私が感じたことは、エンドポイントセキュリティに一度設定したら忘れるというアプローチは存在しない、ということです。エンドポイントセキュリティのアプローチが「十分である」ということは、企業の脅威状況をカバーするためのセキュリティがまったくないのと同じくらい優れています。
強固なエンドポイントセキュリティの防御を構築するためには、以下のようなモジュール式のアプローチを取ることをお勧めします。
- 防御センサーは、シグネチャ、アクセス保護ポリシー、エクスプロイト防止コンテンツ、メモリ保護、ファイルレピュテーションなど、その場で対処できる技術を駆使して、悪意のあるファイルをリアルタイムで防止することができます。
- 人工知能、サンドボックス統合、スクリプト分析などを使用して高度な検査を実行し、時間の経過とともに学習を改善できる高度な防御センサーです。特に環境内で初めて脅威が確認された場合、この一部はリアルタイムではない可能性がありますが、センサーは、エンジンが脅威を悪意あるものと認識するとすぐに、ユーザーの介入なしに、通常は数秒以内で保護を追加します。また、学習した内容はセンサー間で共有され、次回環境内で脅威が検出されたときにリアルタイムでブロックできるようになります。
- SOC チームが戦略的防御に重点を置くために使用する高度な検知センサーです。業界ではこれをEDRと呼んでいます。SOCチームは、これらのセンサーを使用して、オンデマンドまたはスケジュールされた方法で証拠を収集、要約、可視化します。ここで扱うデータははるかに大規模なものであるため、実装には AI とクラウドが広範囲に使用されます。簡単にまとめると、これらのセンサーは、攻撃が活発な段階にあるときに非常に役立ちます。
- 管理された防御プログラム中にIR (インシデント対応) チームによって使用されるフォレンジックセンサーです。スケジュールされた方法と自動化された方法を組み合わせて、ライブメモリ、攻撃行動の戦術、テクニック、手順を継続的に分析します。これらのセンサーは、インシデント発生後の分析における証拠収集にも非常に効果的です。
これらのセンサーは、強力な脅威インテリジェンスによってバックアップされ、進化する脅威の状況を先取りして、攻撃対象領域を明らかにし、削減します。物理、仮想、クラウドにまたがるビジネスの場合、選択したベンダーがハイブリッドの導入と管理アーキテクチャを提供することが重要です。セキュリティベンダーは、お客様のビジネス・モデルの変更を強制するのではなく、むしろお客様のビジネス・モデルに合わせるべきです。異なるサービスを提供する複数のベンダーを持つことは、この文書で述べている共有インテリジェンスと統合されたエクスペリエンスを提供することにはなりません。
もうお分かりのように、これらのセンサーにはそれぞれ独自の目的があるのですが、同じように使用されているため、市場に混乱が生じています。重要なのは、センサーが相互に通信し、情報を共有し、報告することができることです。これらをサイロ化して運用することは、全体の目的を達成することにはなりません。
このトピックではXDRには触れず、XDRの一分野のみを取り上げましたが、これはXDRプラットフォームの規模を表しています。エンドポイントプラットフォームは、XDRプラットフォームと双方向で簡単に統合できるオープンアーキテクチャをベースとする必要があります。XDRは、ネットワーク、電子メール、クラウド、SOCのいずれにおいても、他のセキュリティ投資に対して幅広いインテリジェンスを提供します。また、ユーザーの介入を最小限に抑え、可能な限り自動応答を提供する必要があります。
エンドポイントセキュリティへのTrellixのアプローチ
Trellixエンドポイントセキュリティポートフォリオへのマッピング
Trellix Endpoint Security (ENS) – 防御センサー
ENS ATP + IVX (サンドボックス) – 高度な防御センサー
Trellix EDR – 高度な検知センサー
Trellix HX – フォレンジック センサー
Trellix Agent – 上記すべてを1つの共有インテリジェンス
EPO / XConsole – 一元管理・レポーティングプラットフォーム
Trellix XDR – AIを統合したTrellix XDRプラットフォーム
Insights – 脅威インテリジェンスフィード
Trellix Advanced Research Center – 研究チーム
※本ページの内容は2023年5月2日(US時間)更新の以下のTrellix Storiesの内容です。
原文:Peeling Endpoint Security Market. Why is endpoint security such a crowded market? Is it a complex cyber problem to solve?
著者:Vibin Shaju