情報資産にアクセスするエンドポイント端末の防御もゼロトラストセキュリティの実現には欠かせません。近年のサイバー攻撃は高度化・巧妙化しており、マルウェアの侵入を完全に防ぎきることは不可能だといわれています。いまセキュリティ対策として求められているのは、未知の攻撃への対応力を備えつつ、万一侵入されたとしても早期に侵入を検知し、二次被害を食い止める仕組みです。
これを実現するための技術として注目されているのが「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティソリューションです。EDRは、PCやスマートフォン、タブレット、サーバーなどの「エンドポイント」の監視を行ない、不審な動きを見つけ出し、被害が拡大する前の早期検知と初期対応から復旧までを支援します。その代表的な製品としては、VMware社が提供する「VMware Carbon Black」が挙げられます。
VMware Carbon Blackの主な機能
既知・未知のマルウェア対策
シグネチャーを用いたパターンマッチングによる従来型アンチウイルスは、既知のマルウェアの防御には有効ですが、未知の攻撃やPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックすることは困難です。VMware Carbon Blackは、プロセスの流れ(イベントストリーム)をリアルタイムで解析し、セキュリティ侵害の可能性を評価することで新たな脅威からもエンドポイントを保護します。
EDR
EDRがエンドポイントの「監視カメラ」として機能します。エンドポイントのイベントを記録しながら脅威づけを行います。万一のインシデントの際にはトリアージとしてのエンドポイントの検疫から感染範囲の特定、さらに侵入経路の特定などを実施します。最終的にエンドポイントを復旧させるための支援機能も装備しています。
SIEM連携
SplunkなどのSIEM連携が可能で、SOC、CSIRTのセンサーとしての利用もできます。また、REST APIにより他アプリケーションとの連携も可能です。