エンドポイントセキュリティ製品におけるレスポンスの重要性
~リアルタイムレスポンスを実現するタニウム~
マクニカは、2019年度において最もタニウムビジネス(販売・マーケティング・協業Plan等)に貢献頂いたパートナーとして、 Most Dedicated Partner of the Year 2019を受賞いたしました
リアルタイムレスポンスが
なぜ重要か?
昨今流行してる、マルウェア(Emotet、IcedID等)は感染すると急速に環境内に感染を拡散します。感染後は対処すべき端末数が多くなる傾向があり、感染端末のリアルタイムな把握が非常に重要となってきます。リアルタイムに感染端末の把握ができないと適切な対処ができず、いつまでもマルウェアの対処が終息しません。限られたリソースで、確実に利用している環境を守るためにはリアルタイム性の高い情報の取得と迅速なレスポンスが必須の時代です。
マルウェアの対策として昨今EDR分野に注目が集まり、多種多様なEDR製品が各社から提供されています。EDRといっても、検知の部分にばかりフォーカスが当っており、実際に発生したインシデントに対してリアルタイムな対処、レスポンスについてできることは多くない印象です。今一度、インシデント発生後に実施すべきレスポンスについて考えてみませんか。
リアルタイムに対応が出来ないと
一次対応に留まらず
永遠に対応を続けなければならない
対応完了までに時間も労力もコストもかかる
タニウムが選ばれる3つの理由
-
POINT 01
リニアチェーンで大規模環境でも
“リアルタイムなシステム管理”を実現- 管理端末が数十万台でもリアルタイムに検索・対処
- 不許可/脆弱なアプリの使用規制
- Windows10移行の負荷軽減
(定期アップデート・パッチ配信)
-
POINT 02
リアルタイムにエンドポイントを
可視化・コントロール- 社内に潜む非管理端末を可視化
- 違反端末の発見・修正
- Windowsパッチやインストーラは自動分割し、低帯域でも確実に配信
- 感染端末をリアルタイムに検索し複数台へ一斉対処
-
POINT 03
コマンドラインで実行できることは
全て実行可能- 500種類以上のセンサー(情報を取得できるスクリプト)保有
- 全オンライン端末の取得したい情報を収集・表示
- スクリプトのカスタマイズ可能
-
半数
のフォーチューン100企業が、タニウムの統合エンドポイントおよび統合セキュリティソリューションをデプロイ -
12
行(上位15行のうち)の米国銀行がエンドポイント管理とセキュリティ保護のためにタニウムを信頼 -
13年間
にわたる、サイバーセキュリティおよびIT管理の経験 -
50%
のフォーチュン100企業がタニウムソリューションを導入 -
6
の大手小売業者がタニウムを使用してカード保有者のデータを保護し、コンプライアンスを実現 -
すべて
の米軍部門がタニウムでエンドポイントセキュリティを保護、管理 -
2760万
のエンドポイントが、全世界でタニウムにより管理 -
2020
フォーチュン誌の「ハイテク部門の職場ランキング」第4位
Tanium Endpoint Platform
「エンドポイントプラットフォーム」として全カテゴリーを包括するも、
既に投資を行っている領域については投資が重ならないよう調整可能
他社との比較
| タニウムのレスポンス | 一般的なEDRのレスポンス | |
|---|---|---|
 アラート単位の |
タニウムでは、検知したアラートを元に、同一のインシデントが発生している端末を調査することが可能です。また該当端末に対し一括対処を行うことが可能で、社内でマルウェア感染が拡大した際なども、迅速な対応を行うことが可能です。 | 各社から提供されてるEDR製品は、検知したアラート別に対処を行う形式が多い。社内でマルウェアの感染が拡大した際に、即座にすべての感染端末への対処を行うことは難しい 例:100件検知が上がった際に、100件分の操作(レスポンス)が必要となる。 |
 対応力 |
タニウムではインシデント端末の隔離、原因となったファイルの削除、プロセスの停止レジストリの復旧などを複数の端末に対して一斉に対処することができます。個別に対処するEDR製品と異なり、迅速に対処を行うことが可能です。 | 現在採用が進んでいる各EDR製品はインシデント端末の隔離、原因となったファイルの削除、プロセスの停止、レジストリの復旧など可能となっています。しかし、複数の端末に対し一斉に対処を行う場合は、通常の管理画面での操作ではなく、コマンドによる操作または、APIを利用した追加開発が必要なケースが多く、実現が容易でないと聞きます。 |
 インシデントの |
タニウムでは、各端末に存在する脆弱性をスキャンする機能を提供しています。また対象の脆弱性に対処するためのOSパッチの配布を行うことも可能です。タニウムという1つのエージェントでこちらの対応を実施する事が出来ます。 | 多くのマルウェア、ランサムウェアは既知の脆弱性をついて攻撃してきます。多くの攻撃が脆弱性対処(適切なパッチ適用)により未然に防ぐことができますが、パッチ適用まで加味した際には別途資産管理ツールを導入頂く必要があります。 |
 環境の一括調査が困難 |
インシデントが発生した端末で原因となったファイルや、アプリケーションが他の端末に存在しないか一斉に調査・確認し、対象ファイルを削除し未然にインシデント発生を防ぐことが可能です。 | 各社から提供されているEDR製品は、検知したアラート事に対処を行う形式が多い。 また原因となったアプリケーションやファイルが他の端末に存在するかの調査が難しく実行されて初めて気付くケースが多いのが実状です。 |
各種セミナー・資料請求はこちら
レスポンスを実現する
タニウムの機能
Threat Responseモジュールの紹介
振る舞い検知・調査・対応等、EDRを実現できるモジュール
-
Detect
- MITRE社のATT&CKテクニックに関連付けた攻撃時の挙動をSignalsというルールベースで振る舞いを検知
- IOCの取り込み・作成が可能、(OpenIOC、STIX、CybOX、Yaraルール)
-
Response
- インシデントレスポンス機能付随のQuestionによりエンドポイント全体を一括で調査可能
- 複数のエンドポイントに対して隔離やプロセス停止などの措置を実施可能
- エンドポイントのアクティビティを保存、怪しい挙動の解析や影響調査を過去履歴から調査可能
-
Recorder
- エンドポイント上のアクティビティを記録、データはエンドポイント上に暗号化して保存、さらにStream機能によりエンドポイントからリアルタイムにSIEMに送信可能
- Live Endpointをもちいて記録されたデータベースに直接接続して調査可能プロセスの各種動作(ファイル操作・ネットワーク接続・レジストリ操作・イベントログの記録・DNSでの名前解決・ロードされたDLLやドライバ等)の状態を確認
- プロセスツリーをグラフィカルに表示し、親子関係や関連アクティビティの確認も可能
- ファイルブラウザの機能でローカルディスクのファイル確認やタニウムコンソール側へのダウンロードも可能
大規模環境で運用されている事例
-
金融業
規模
数十万台・グローバル展開
課題
- 大規模環境における可視化とグローバルレベルでのエンドポイントのコントロール
導入メリット
- パッチの速やかな適用とリアルタイムな状況把握
- 大規模環境でもエンドポイントの可視化とコントロールができる
- 1つのエージェントで多様な事が出来る為、エージェントの統合化
-
小売業
規模
数十万台・グローバル展開
課題
- エンドポイントの情報収集に関して時間を要する。
集めたデータも限定的。 - パッチが適用されない。数年間も放置されるケースも。
- クリティカルパッチが6種類以上あたっていないケースも散見された
- パッチが全ての端末に提供されたかが分からない
導入メリット
- リアルタイムな可視化とインシデント対応時間短縮によるコスト削減
- パッチ適用成功率99%。従来と比べて早く適用できるようになった
- エンドポイントの情報収集に関して時間を要する。
-
金融業
規模
数十万台・グローバル展開
課題
- 大規模環境における可視化とグローバルレベルでのエンドポイントのコントロール
導入メリット
- パッチの速やかな適用とリアルタイムな状況把握
- 大規模環境でもエンドポイントの可視化とコントロールができる
- 1つのエージェントで多様な事が出来る為、エージェントの統合化
-
小売業
規模
数十万台・グローバル展開
課題
- エンドポイントの情報収集に関して時間を要する。
集めたデータも限定的。 - パッチが適用されない。数年間も放置されるケースも。
- クリティカルパッチが6種類以上あたっていないケースも散見された
- パッチが全ての端末に提供されたかが分からない
導入メリット
- リアルタイムな可視化とインシデント対応時間短縮によるコスト削減
- パッチ適用成功率99%。従来と比べて早く適用できるようになった
- エンドポイントの情報収集に関して時間を要する。
各種セミナー・資料請求はこちら
導入サポート
- 弊社によるタニウム
利活用トレーニング - 日本を狙った攻撃者集団対策用の独自検知ルール(YARAルール)を提供
- タニウム製品のサービス提供パートナーによる
高度レスポンス対応