エンドポイントへの高度な攻撃を、機械学習を用いた標的型攻撃アナライザー、アンチマルウェアエンジンやアドバンスドサンドボックスなど、複数の検知技術で分析します。管理者はWeb管理コンソールを利用して、不審なふるまいをするオブジェクトの把握と調査、影響範囲を特定することができ、速やかなインシデントへの対応が可能になります。
~ エンドポイントへの高度な攻撃を機械学習とサンドボックスを用いて検知・分析、速やかなインシデント対応をサポート ~
情報セキュリティソリューションを提供する株式会社カスペルスキー(本社:東京都千代田区、代表取締役社長:川合林太郎)は、法人向けEDR製品「Kaspersky Endpoint Detection and Response(以下KEDR)」を、本日よりパートナー企業経由で販売開始します。
昨今、企業や組織を狙った標的型攻撃や未知の脅威による高度なサイバー攻撃が増加しており、攻撃者は常に新たな手法を用いています。KEDRは、エンドポイントへの高度な攻撃の兆候をいち早く検知・分析して影響範囲を把握し、速やかな対応の実行をサポートする製品です。KEDRにより、セキュリティ侵害の拡大を防止し、ビジネスへの影響を最小限にとどめることが可能になります。
■ Kaspersky Endpoint Detection and Responseの特長
1.エンドポイントの動作情報の可視化と高度な分析
エンドポイントから収集した動作情報を、機械学習を用いた標的型攻撃アナライザー、アンチマルウェアエンジンやアドバンスドサンドボックスなど、複数の高度な検知技術で分析します。管理者はWeb管理コンソールを利用して、不審なふるまいをするオブジェクトの把握と調査、影響範囲を特定することができ、速やかなインシデントへの対応が可能になります。
図1:Kaspersky Endpoint Detection and Responseの基本構成
KEDRは、エンドポイントの動作情報を収集する「エンドポイントセンサー」、収集した情報を分析する「セントラルノード」、さらに高度な分析を実行する「アドバンスドサンドボックス」の3つのコンポーネントで構成されます。
・エンドポイントセンサー
エンドポイントに常駐し、ファイルの操作やネットワーク接続、各種プロセス、レジストリ情報やWindowsイベントログなどの動作情報を収集し、セントラルノードへ転送します。収集した情報の分析はセントラルノードで実行するため、エンドポイントへの負荷を抑えることができます。
・セントラルノード
エンドポイントセンサーから収集したエンドポイントの動作情報を、機械学習を搭載した標的型攻撃アナライザー、アンチマルウェアエンジンを含む複数の技術と、クラウドベースの脅威情報基盤「Kaspersky Security Network(KSN)」から提供される情報を組み合わせて詳細に分析します。管理者はWeb管理コンソールを通じて、分析結果やインシデント情報を一元的に確認できます。さらに、APTレポートサービス※1に含まれるIOC(Indicators of Compromise)を利用した分析や、脅威情報ルックアップサービス※1で提供するハッシュ値や不審なURLなどの検索もシームレスに実行でき、脅威をより詳しく調査することが可能です。
- 標的型攻撃アナライザー
機械学習を利用し、エンドポイントセンサーから収集した情報に基づいて、平常時のエンドポイントのプロセスを継続的に学習します。学習したものと比較して、不審なふるまいがエンドポイントであった場合はインシデントとして検知します。KSNから配信される新しい学習ロジックを常に反映し、新しい脅威にも対応します。
・アドバンスドサンドボックス
セントラルノードで不審なオブジェクトと判断した場合は、そのオブジェクトを自動的にアドバンスドサンドボックスに送信し、仮想環境上で動的解析を行います。これにより、未知のマルウェアを検知することができます。キーボードやマウスなどのIOをチェックする、しばらく待機しタイムアウトを待つといった、サンドボックス回避機能を持つマルウェアにも対応し、最新の回避手法に対応するためのモジュールを随時更新します。
2.直観的な操作が可能なWeb管理コンソール
Webブラウザベースの管理コンソールは、セントラルノードおよびアドバンスドサンドボックスで分析した情報をわかりやすくグラフィカルに表示します。単一の管理コンソールに脅威の検知の情報が集約されるため、一元的に状況を把握できます。プルダウンメニューから、調査の実施、脅威の拡大の防止措置の実行、レポート作成などを統合的に行うことができます。
図2:Web管理コンソールのアラート表示例
(検知日時、脅威レベル、脅威を検知したオブジェクトとホスト、検知した技術など表示)
図3:エンドポイントで発生したイベント情報の表示例
(Webブラウザを通じてマルウェアに感染し、最終的に新たなマルウェアに感染)
3.エンドポイントセキュリティ製品と統合されたEDRエージェント
法人向けエンドポイントセキュリティ製品「Kaspersky Endpoint Security 11 for Windows」に搭載されているエージェントを、KEDRのエンドポイントセンサーとして利用できます。Kaspersky Endpoint Security 11 for Windowsを既にご利用の場合は、EDR専用のエージェントを端末に追加導入する必要がありません。
4.EDRソリューションをオンプレミスで構築可能
KEDR のエンドポイントセンサー、セントラルノードおよびアドバンスドサンドボックスは、オンプレミスの環境ですべて構築することができます。コンプライアンス上のルールなどで外部への情報の送信に制限がある企業、組織においても、EDRソリューションを展開することが可能です。
■ ライセンス体系と価格
KEDRのライセンスはオープン価格での提供となっています。
ライセンス名 | アドバンスドサンドボックスの利用 | 参考価格(1,000ノード/新規1年ライセンス、税別) |
Kaspersky Endpoint Detection and Response Standard Edition | 無し | 638万円 |
Kaspersky Endpoint Detection and Response Advanced Edition | 有り | 936万円 |
Kaspersky Anti-Targeted Attack Platform EDR Agent※2 | 有り | 432万円 |
■ 参考情報 Kaspersky Endpoint Detection and Response 製品データシート
※1 APTレポートサービス、脅威情報ルックアップサービスのご利用には別途費用がかかります。
https://www.kaspersky.co.jp/enterprise-security/cybersecurity-services
※2 Kaspersky Anti Targeted Attack Platformをご利用の場合に適用可能なアドオンライセンスです。
