こんにちは。ディーアイエスサービス＆ソリューションのセキュリティ担当です。

今回は、Ciscoのセキュリティ製品の中でもエンドポイントセキュリティという分野になるCisco Secure Endpoint（旧AMP for Endpoints、以下Secure Endpoint）についてご紹介します。

 

まず、エンドポイントセキュリティとは？

「エンドポイント」とは、ネットワークに接続されている末端の機器、つまり、PCやサーバー、スマートフォンなどの端末機器のことを指します。

「エンドポイントセキュリティ」とは、エンドポイント自体やエンドポイントが保存している情報をマルウェアの侵入から守るためのセキュリティ対策となります。

 

エンドポイントセキュリティには種類があり、まず従来からあるEPP（Endpoint Protection Platform）は、マルウェアの感染を事前に防ぎます。

しかし、脅威の高度化により現在はマルウェアの感染を完全に防ぐことはできません。

よって、EPPをすり抜けた脅威による侵害が発生する前提で、侵害発生時にも迅速に検出、解析、および対応を可能とするEDR（Endpoint Detection & Response）があります。

昨今は、EPPとEDR両方を導入しエンドポイントセキュリティを強化することが推奨されています。

それでは、Secure Endpointの概要を紹介いたします。

PCやサーバーなどのエンドポイントにインストールして使用する高度な脅威にも有効なクラウド型マルウェア対策ソリューションです。

本来は、EPP製品、EDR製品をそれぞれ導入する必要がありますが、Secure EndpointはEPP、EDRどちらも兼ね備えた統合型製品となります。

 

続いて、Secure EndpointのEDR機能について具体的にいくつかご紹介いたします。

1. 管理ダッシュボード上で端末全体を可視化

GUI管理ダッシュボード上で脅威の兆候の監視、分析、原因特定などを一元管理でき、運用の負荷を軽減できます。

本製品は、クラウド管理型サービスですので、端末の場所を問わず、追加でサーバーの構築も必要ございません。

 

2. 過去に見逃したマルウェアも検知

脅威を継続的に監視するため、過去にすり抜けたマルウェアを後から止めることに役立ちます。

3. 侵入経路を特定

感染端末内でマルウェアがどのような挙動をしているかを確認でき、セキュリティポリシーの更新や再発防止策の立案に役立ちます。マルウェアファイルはどこから来たのか、どのような通信を行ったのかを把握することができます。

4. 感染範囲を把握

マルウェアが組織内ネットワーク上でどのように広がっているかを分析でき、対象端末の迅速な隔離や感染範囲の特定に役立ちます。

・いつマルウェア感染したのか。

・最初にマルウェア感染したのはどの端末か。

・現在そのマルウェアはどの端末上に存在するのか。

 

Secure Endpointの特長紹介は以上となります。

 

当社では、感染原因・侵入経路が不明なマルウェアの被害にあったお客様に、実際にSecureEndpointを導入し、次々にマルウェアを検知し隔離しました。そして、Secure Endpointの特長である侵入経路・感染範囲の特定により、メールから侵入するEmotet（ランサムウェア）による被害であると特定ができた事例もあります。

 

・現在のアンチウイルスで本当に守り切れているのか不安だ

・管理者の運用を軽減したい

・もしマルウェアに感染してしまった時の対策を講じたい

などのお悩みを抱えているユーザ様にご紹介、ご提案頂ければと思います。

 

近年は、端末の種類もアクセスする場所も多種多様となっており、ネットワーク製品が境界となるセキュリティでは守れなくなっている場面が多くあります。マルウェアが動作を開始する場所であるエンドポイントでのセキュリティ対策をご検討してみてはいかがでしょうか。

 

今回はSecureEndpointの概要をご紹介しました。

詳細は今後またブログでご紹介していきます。

最後までご覧いただきありがとうございました。