エンドポイントセキュリティ最前線

P1000357

本セッションではCTC セキュリティビジネス部 吉田 悠一から2017年に入ってから猛威を振るっている「WannaCry」「GoldenEye」についての解説と、エンドポイントセキュリティの最新情報についての話しがあった。

吉田によると、「ファイルレス攻撃」が増加しているため、従来の「ファイル検査だけでは不十分」であること、緊急時の隔離・削除といった対応はもちろん、フォレンジックや復旧まで対応可能なものが必要とされている旨の解説があった。

続いて、SentinelOne社のディレクターソリューションエンジニア 田中 克典 氏が登壇し、「SentinelOneの特徴紹介」が行われた。
CTCは、2017年1月に米国SentinelOneとの間で日本初の販売代理店契約を締結
ニュースリリース) しており、SentinelOneと強固なパートナーシップを築いている。
田中氏からは、SentinelOne Endpoint Protection PlatformEPPの挙動について解説があった。

EPPは、
・実行前 高度な静的防御
・実行中 動的なエクスプロイト検知
・実行後 フォレンジック

の3つのレイヤーで対応するソフトウェアであり、30,000以上のマルウェア情報を持つエージェントが、機械学習を採用した静的ファイル解析とハッシュ値検査により、高速で精度の高い異常検出を行うことができる、と田中氏は語った。 また、コンピューター上で発生する様々なイベントをログとして保管しており、そのイベントごとに点数評価し、ある特定の組み合わせ点数になるとマルウェアによる挙動ということも可能としており、しかも、対応するプラットフォームは、Windows/Mac/Linuxと、多種のOSをカバーできていると解説。
このことから、第三者機関から「既存のアンチウィルスソフトの置き換えも可能」という高評価を受けるに至っている。さらに、米国では「ランサムウェア補償」として、ランサムウェアの被害に遭った顧客を保障するサービスも展開している。

ここで、CTC吉田によるデモが2つ披露された。

デモ1:静的ファイル解析デモ
クライアントOSはWindowsで、デスクトップに圧縮されたマルウェアがある状態からデモはスタート。当該圧縮ファイルを解凍すると、EPPが検知して自動的にファイルを隔離する様子が映し出された。これは、既存のアンチウィルスソフトウェアと変わらない挙動。なお、今回置かれていたマルウェアは、ハッシュ値を意図的にいじってあるため、従来のパターンファイルによる解析では対処できないものだが、EPPなら機械学習を採用しているため検知することが可能だった。

デモ2:マルウェアに感染後、自動復旧デモ
EPPを「検知のみ」の設定にしたWindows機にマルウェアを感染させ、その後、管理コンソールから自動復旧ロールバックさせる動きを披露。マルウェアを実行すると、フォルダに入っていた画像ファイルが次々と暗号化されてしまい、開けなくなり、その後、パソコンの画面には「脅迫画面」が出てきた。ここまで、マルウェアの実行後、「一瞬」で到達していた。
ここで、EPPの管理コンソールから「ネットワーク隔離」を実行し、通信を遮断した上で、「ロールバック」を実行すると、脅迫画面のプロセスを遮断し、マルウェアのファイルを隔離、さらに暗号化されてしまったファイルが復旧していく様子を見ることができた。マルウェア感染中は開けなかった画像ファイルが、復旧後は元通り開ける状態になっていることがわかった。これは、EPPがすべてのイベントをログとして保管しているからこそできる挙動ロールバックであるということが、解説された。

今回のデモでは、SentinelOne EPPを実際に動作させて、マルウェアの検知・自動隔離や、感染後のパソコンの自動復旧の様子がリアルに映し出され、マルウェアが猛威を奮う今、SentinelOneがタイムリーな製品であることが、多くのお客様に感じ取っていただけたようだ。

Pocket

コメント