エンドポイントセキュリティ最前線

 2017年に入ってから猛威を振るっている「WannaCry」「GoldenEye」と、エンドポイントセキュリティについての最新情報を伊藤忠テクノソリューションズ吉田悠一が解説します。昨今、「ファイルレス攻撃」が増加しているため、従来の「ファイル検査だけでは不十分」であること、緊急時の隔離・削除といった対応はもちろん、フォレンジックや復旧まで対応可能なものが必要です。

 そこで注目する製品として、下記の特徴を有する SentinelOne Endpoint Protection Platform です。

  • 実行前 : 高度な静的防御
  • 実行中 : 動的なエクスプロイト検知
  • 実行後 : フォレンジック

 CTC は 2017年1月に米国SentinelOneとの間で日本初の販売代理店契約を締結しました。

1. SentinelOne Endpoint Protection Platform

 SentinelOne社の田中克典氏は、CTC セキュリティサミット 2017 において、SentinelOne Endpoint Protection Platform (以下、EPP) の優位点を次の通りに語りました。

  • EPP は 30,000 以上のマルウェア情報を持つエージェントが、機械学習を採用した静的ファイル解析とハッシュ値検査により、高速で精度の高い異常検出を行うことができる。
  • コンピューター上で発生する様々なイベントをログとして保管しており、そのイベントごとに点数評価し、ある特定の組み合わせ点数になるとマルウェアによる挙動ということも可能としており、しかも、対応するプラットフォームは、Windows/Mac/Linuxと、多種のOSをカバーできている

 上記より、EPP は第三者機関から「既存のアンチウィルスソフトの置き換えも可能」という高評価を受けるに至っている。さらに、米国では「ランサムウェア補償」として、ランサムウェアの被害に遭った顧客を保障するサービスも展開している。

2. デモンストレーション

 伊藤忠テクノソリューションズでは EPP を用いて以下のデモンストレーションをお見せできます。

  • 2-1. 静的ファイル解析デモ
  • 2-2. マルウェアに感染後、自動復旧デモ

2-1. 静的ファイル解析デモ概要

 クライアントOSはWindowsで、デスクトップに圧縮されたマルウェアがある状態からデモをスタート。当該圧縮ファイルを解凍すると、EPPが検知して自動的にファイルを隔離する様子が映し出されます。これは、既存のアンチウィルスソフトウェアと変わらない挙動です。なお、今回置かれていたマルウェアは、ハッシュ値を意図的にいじってあるため、従来のパターンファイルによる解析では対処できないものだが、EPPなら機械学習を採用しているため検知することがデモで確認できます。

2-2. マルウェアに感染後、自動復旧デモ概要

 EPPを「検知のみ」の設定にしたWindows機にマルウェアを感染させ、その後、管理コンソールから自動復旧ロールバックさせる動きを披露します。マルウェアを実行すると、フォルダに入っていた画像ファイルが次々と暗号化されてしまい、開けなくなり、その後、パソコンの画面には「脅迫画面」が表示されます。ここまで、マルウェアの実行後、「一瞬」で到達します。
 ここで、EPPの管理コンソールから「ネットワーク隔離」を実行し、通信を遮断した上で、「ロールバック」を実行すると、脅迫画面のプロセスを遮断し、マルウェアのファイルを隔離、さらに暗号化されてしまったファイルが復旧していく様子を確認することができます。また、マルウェア感染中は開けなかった画像ファイルが、復旧後は元通り開ける状態になっていることがわかります。EPPがすべてのイベントをログとして保管しているからこそできる挙動ロールバックであるということがデモで確認できます。

 上記デモでは、EPPを用いてマルウェアの検知・自動隔離や、感染後のパソコンの自動復旧の様子をリアルタイムで確認でき、マルウェアが猛威を奮う今、SentinelOneがタイムリーな製品であることが、わかり易く理解できます。デモンストレーションをご覧になられたい方は、気兼ねなく下記のよりお問合せ願います。

お問合せボタン

STAR_F03

関連記事はこちら