「99日あれば、脅威の水平展開には十分だ」　FireEyeのキーパーソンが示す“EDRにEPP的な機能を追加する”理由：「FireEye HX」に新バージョン　アンチウイルス機能が追加（2/2 ページ）

クライアントPCだけでなくサーバもEDRの対象に

　昨今、「シグネチャベースのアンチウイルスは終わった」などと指摘され、“EPPにEDR的な機能を追加する”ベンダーが増えている中で、FireEyeが“EDRにEPP的な機能を追加する”のはなぜだろうか。

　「アンチウイルスはシグネチャに基づいて既知の攻撃を検出するが、近年の巧妙な攻撃にはもはや効果がないことは明白だ。しかし、PCI DSS（Payment Card Industry Data Security Standard：PCIデータセキュリティスタンダード）をはじめ、さまざまな法規制やガイドラインへのコンプライアンスを満たす上で、あらためてアンチウイルスの導入が求められることがある。残念ながら法規制や標準化の動きはとても遅く、脅威の早い動向にはついていけていない。一方で、高度な脅威をいち早く検知して対処するにはEDRが必要。顧客は複数のエージェントを導入し、それを運用する必要があった。だから、これらを1つに統合し、1カ所から運用できるようにした。企業は、コンプライアンスと保護の板挟みに悩まなくて済むようになる」（チョーザ氏）

　アップデートではまた、Amazon Web Services（AWS）やMicrosoft Azure、VMwareなどに対応した仮想環境版を追加し、併せてmacOSやLinuxもサポートする。これによって、エンドポイントという単語からイメージされる一般ユーザーが使うクライアントPCだけでなく、企業ITにおいて特に重要な役割を果たすサーバも保護し、同様のインシデントレスポンス体制の下で運用できるようにする。これが大きな狙いだ。

　「サーバにおいてもEDRは極めて重要だ。昨今の巧妙な攻撃は、最初のステップではクライアントを狙うが、次のステップではネットワーク内で水平展開（ラテラルムーブメント）し、サーバにも侵入を試みる。だから、サーバもエンドポイントの1つとしてカバーし、攻撃者の水平展開を把握することがとても重要になる」（チョーザ氏）

　FireEyeでは、その作業を同社とMandiantが収集して得られた膨大な知見を活用して支援していくという。

　また同社は、セキュリティの動向に関する年次レポートを公表している。2017年5月に公表された最新版「M-Trends 2017」によると、グローバルでのセキュリティ侵害が発生してから検知するまでの期間の中央値は、2015年の146日から、2016年は99日に短縮。アジア太平洋地域に限っても、同じく520日から172日へと大きく短縮している。

セキュリティ侵害が発生してから検知するまでの時間は短くなっているが……（出典：M-Trends 2017）

　しかしチョーザ氏は、「それでも十分とはいえない。攻撃者にとって、水平展開する準備期間は99日あれば十分だからだ」と警鐘を鳴らし、以下のように目標を掲げた。

　「だからFireEyeでは、FireEye HXをはじめとする複数の技術を活用し、日単位ではなく、“数分単位”での検知を可能にしていく」（チョーザ氏）

　こうした目標を達成するには、企業や組織におけるインシデントレスポンス体制の整備が不可欠だが、そこで直面するのが「人材不足」の問題だ。FireEyeは、複数の製品と連携したセキュリティ運用支援製品「Helix」を提供することで、セキュリティ運用の複雑さとコストを減らし、高度なSecurity Operation Center（SOC）への移行を支援していくことで、この課題にも対応できると訴えた。

　「効果的なSOCを実現するには3つのポイントがある。1つ目は、正確に状況を把握できる可視性を確保すること。あまりに多くの誤検知を出してしまう既存のツールでは、これは難しい。2つ目は、インテリジェンスや文脈を結び付け、侵入後の対応やハンティングを行うこと。そのためには、ハッシュ値やURLといったIoCだけでなく、TTPも含めた高度な知見が必要になる。そして3つ目の要素は自動化だ。自動化によって人手不足の解消につながるだけでなく、常に一貫性を保った形でレスポンスできる。誰かが退職しても、標準のプロセスに基づいて対処できるようになる。これができるのがFireEyeである」（チョーザ氏）

【おわびと訂正：2017年6月22日19時30分　チョーザ氏の氏名が誤っておりました。「コーザ氏」から「チョーザ氏」と訂正しました。関係者と読者の皆さまにおわびいたします。】