IIJ、「IIJセキュアエンドポイントサービス」においてEDR機能「CylanceOPTICSオプション」を提供開始 | IIJについて

マルウェア感染後の不正挙動検知により迅速なインシデント対応を支援し、被害拡大のリスクを軽減

2019年12月9日

このニュースのPDF版 [305KB]

株式会社インターネットイニシアティブ（IIJ、本社：東京都千代田区、代表取締役社長：勝栄二郎）は、クラウド型総合エンドポイントセキュリティサービス「IIJセキュアエンドポイントサービス」において、マルウェア感染を前提とした不正挙動の検知とその対応支援を行うEDR（Endpoint Detection and Response）機能として「CylanceOPTICS（サイランスオプティクス）オプション」を追加し、本日より提供を開始いたします。

「IIJセキュアエンドポイントサービス」では基本機能として、PCなどの端末（エンドポイント）がマルウェアなどの脅威に感染することを事前検知し、防御するAI活用型アンチウイルス「CylancePROTECT（サイランスプロテクト）」を提供していますが、本オプションは、感染後の迅速な対応につなげることを目的としたもので、インシデント対応時間を大幅に短縮し、対応負荷および被害拡大のリスクを軽減します。

EDRが注目される背景と課題

昨今、サイバー攻撃の高度化・巧妙化により、マルウェア感染を完全に防ぐことは困難と考えられています。そのため、マルウェアに感染する前提に立ち、エンドポイントでの検知と対応の迅速化を目的とするEDRが注目されています。

一般的にEDRはアンチウイルスと併せて利用され、アンチウイルスで検知できなかったマルウェアや不正挙動の検知と停止をおこなうとともに、収集した情報を可視化することで、エンドポイントで発生している事象の把握とインシデント対応を支援します。

しかし、従来のアンチウイルスとEDRの組合せでは、未知のマルウェアなど多くの脅威のすり抜けによって大量の検知アラートが発生し、アラートを精査する管理者に高い負荷がかかることや、重要度の高いイベント情報が膨大なアラートに埋もれてしまうことなどが課題となっています。

「CylanceOPTICSオプション」の特長

「IIJセキュアエンドポイントサービス」の基本機能の一つである「CylancePROTECT」は、AIアルゴリズムを活用し、特徴点のディープラーニングによって脅威を検出することで、従来型のシグネチャによるパターンマッチングを用いたアンチウイルス製品と比べて、未知のマルウェアに対しても高い検知率を誇ることが特長です。

今回、この「CylancePROTECT」とEDR機能「CylanceOPTICSオプション」を連携させることで、EDRで検知するアラートの件数を大幅に削減することができます。管理者は重要度の高い検知イベントに集中して対応できるため、インシデント対応の負荷を軽減し、被害拡大のリスクを最小化します。

「CylanceOPTICSオプション」の主な機能

異常動作検知・自動対処（Detections）
Cylance社の検知ルールで不正な動作を検知します。過去7日間のイベント数やイベント詳細も確認できます。
感染端末隔離（Device Lockdown）
特定の端末で疑わしい挙動を検知した場合などに、リモート操作で該当端末をネットワークから隔離することができます。
根本原因分析（Focus Data）
発見したファイルがどのように操作されていたのかを時系列で表示し、インシデントの原因を明白にできます。
スレットハンティング（InstaQuery）
入手した脅威情報等に基づき社内PCの状況を確認できます。今まで見過ごしていた脅威の有無を調査することが可能です。

「IIJ C-SOCサービス」との連携（2020年2月提供予定）

「IIJ C-SOCサービス」（※）との連携により、「CylanceOPTICSオプション」のログとIIJの各種セキュリティサービスやお客様運用機器のセキュリティログとの相関分析を行うことが可能です。IIJの専門エンジニアによる24時間365日体制でのインシデント対応支援および対応策の提示など、セキュリティ運用における支援範囲が広がります。

（※）「IIJ C-SOCサービス」
ファイアウォールなどのセキュリティ機器やお客様運用機器からセキュリティログの収集と分析をおこない、24時間365日体制でセキュリティインシデントへの対応をワンストップでサポートするサービスです。詳細は https://www.iij.ad.jp/biz/c-soc/ をご覧ください。