Special Issue
<標的型攻撃対策特集>エンドポイントセキュリティとネットワークセキュリティの組み合わせで標的型攻撃から確実に保護する「シンクロナイズドセキュリティ」――ソフォス
2019/10/24 08:00
標的型攻撃の大部分を占めるメールとウェブからの攻撃。年々、巧妙化する攻撃に対し、ソフォスが提供するソリューションは、ネットワークセキュリティ製品「XG Firewall」とエンドポイントセキュリティ製品「Intercept X Endpoint Security」が自動連携して防御し、万が一、感染しても検知から隔離、復旧までを自動的に実行する「シンクロナイズドセキュリティ(Synchronized Security)を提供している。ソリューションの特徴や販売・パートナー戦略について、足立修・セールスエンジニアリング本部本部長に聞いた。
足立修
セールスエンジニアリング本部
本部長
これは、ネットワーク製品「XG Firewall」とエンドポイント製品「Intercept X」が「Security Heartbeat」という独自の通信プロトコルを介して自動連係するもの。例えば、Intercept Xが検知したマルウェア情報をXG Firewallに即座に通知し、内部での感染拡大の防止や外部との通信遮断を迅速に適用する。エンドポイントでは、感染の検知から隔離、復旧までを自動的に行い、復旧後にXG Firewallに通知して遮断したネットワークをもとに戻すことができる。
「これら一連の処理を自動実行するため、感染の検知から無害化までのタイムロスを最小限に抑えることができる。他社も連携ソリューションを提供するようになってきたが、シンクロナイズドセキュリティは2、3年、先行している」と足立本部長は語る。
ソフォスの主要なユーザーは、SMBから1000ユーザー程度までの中堅・中小企業。こうした企業の場合、専任のセキュリティ担当者がいないことも多いため、管理者に負担がかからない同社のソリューションは大きなメリットを提供することができる。
「シンクロナイズドセキュリティ」による防御の仕組み
Intercept Xが搭載するAIは、ウイルス定義ファイルに依存せず、未知のマルウェアを検知できる。また、脆弱性への攻撃を防御するエクスプロイト対策、さらに昨年にEDR機能も追加され、侵入手段や経路の迅速な特定も可能になった。
現在のセキュリティ対策は、100%の侵入防御ができないことを前提とした対策が必須で、侵入された後に対処するソリューションが欠かせない。一旦、ネットワークに侵入されると内部での拡散(ラテラルムーブメント)が発生し、段階的な攻撃を受けて、管理者の認証情報が盗み出されたり、社内コントロールが変更されたり、バックアップが無効化されたりする。管理者が攻撃を把握した時には、既に損害がかなり拡大した後になる。
こうしたケースに対応するため、Intercept XへのEDR機能の追加とともに、昨年12月にはXG Firewallにラテラルムーブメント保護機能が実装された。Intercept Xと自動連係して脅威を事前に予測、感染を検知し、感染した端末を自動的に隔離して攻撃の拡散を防止。また、感染を自動修復することができる。「たとえ同一のセグメント内でも、各クライアントに手法を通知して、拡散を防止できる」(足立本部長)という。
ランサムウェアの場合、Intercept Xに組み込まれたCryptoGuard機能が、暗号化の開始前にファイルをバックアップ。悪意ある暗号化プロセスと判断すると暗号化プロセスをブロックするとともに、バックアップファイルから復旧することができる。
また、クラウド環境への対策についても、Sophos Cloud Optixを提供する。これは、AWS、Microsoft Azure、GCP環境にある自社のアセットを自動的に検知して可視化。AIを活用してアセットを常時監視し、不審な振る舞いなどをすばやく検知。警告したり、自動修復したりする機能を提供する。
主な顧客は中堅・中小企業だが、グローバルでは万単位のクライアントを持つ企業での導入例も増えているという。「統合管理コンソールのSophos Centralは、1コンソールで2万程度のユーザー管理が可能で、大規模ニーズにも十分に対応できる」と足立本部長。
一方で中堅・中小企業をさらに開拓していくため、パートナー向けの技術トレーニングに力を入れている。トレーニングプログラムの無償提供をはじめ、当社の認定資格取得に向けたトレーニングキャンプを月2回実施。また、2次店のパートナーを技術面から支援する技術支援パートナーの育成にも力を注いでいる。このほかにも、新製品の情報やベストプラクティスなどを紹介するテクニカル・コミュニティ・デイの開催など、支援策を充実させている。
「現在、約200社のパートナーを倍増させていくとともに、各都道府県でパートナーがソフォス製品を活用した専門的なセキュリティサービスを実施できるよう支援していきたい。2021年には、セキュリティ専業ベンダーとして7社目のビリオンダラー(約1000億円以上の売り上げの)企業となる見込みで、国内市場でも大幅なビジネス拡大を狙いたい」と足立本部長は力を込める。
セールスエンジニアリング本部
本部長
エンドポイントセキュリティとネットワークセキュリティ双方のセキュリティ対策が自動連携
ソフォスは、1985年に英国で創業したセキュリティ分野の老舗ベンダーだ。同社は、エンドポイント製品とネットワーク製品の売り上げが同じ規模という、大手セキュリティベンダーとしてユニークな存在である。それを端的に表しているのが、エンドポイントセキュリティとネットワークセキュリティを組み合わせた独自のシンクロナイズドセキュリティにある。これは、ネットワーク製品「XG Firewall」とエンドポイント製品「Intercept X」が「Security Heartbeat」という独自の通信プロトコルを介して自動連係するもの。例えば、Intercept Xが検知したマルウェア情報をXG Firewallに即座に通知し、内部での感染拡大の防止や外部との通信遮断を迅速に適用する。エンドポイントでは、感染の検知から隔離、復旧までを自動的に行い、復旧後にXG Firewallに通知して遮断したネットワークをもとに戻すことができる。
「これら一連の処理を自動実行するため、感染の検知から無害化までのタイムロスを最小限に抑えることができる。他社も連携ソリューションを提供するようになってきたが、シンクロナイズドセキュリティは2、3年、先行している」と足立本部長は語る。
ソフォスの主要なユーザーは、SMBから1000ユーザー程度までの中堅・中小企業。こうした企業の場合、専任のセキュリティ担当者がいないことも多いため、管理者に負担がかからない同社のソリューションは大きなメリットを提供することができる。
巧妙化する標的型攻撃を予測、感染の検知・隔離・拡散を防止
現在、大きな課題となっているのが標的型攻撃だ。対策として、ファイアウォールでマルウェアをフィルタリング、それでもネットワークに入り込んできたものをエンドポイントで検知。シンクロナイズドセキュリティで自動駆除するという流れになる。Intercept Xが搭載するAIは、ウイルス定義ファイルに依存せず、未知のマルウェアを検知できる。また、脆弱性への攻撃を防御するエクスプロイト対策、さらに昨年にEDR機能も追加され、侵入手段や経路の迅速な特定も可能になった。
現在のセキュリティ対策は、100%の侵入防御ができないことを前提とした対策が必須で、侵入された後に対処するソリューションが欠かせない。一旦、ネットワークに侵入されると内部での拡散(ラテラルムーブメント)が発生し、段階的な攻撃を受けて、管理者の認証情報が盗み出されたり、社内コントロールが変更されたり、バックアップが無効化されたりする。管理者が攻撃を把握した時には、既に損害がかなり拡大した後になる。
こうしたケースに対応するため、Intercept XへのEDR機能の追加とともに、昨年12月にはXG Firewallにラテラルムーブメント保護機能が実装された。Intercept Xと自動連係して脅威を事前に予測、感染を検知し、感染した端末を自動的に隔離して攻撃の拡散を防止。また、感染を自動修復することができる。「たとえ同一のセグメント内でも、各クライアントに手法を通知して、拡散を防止できる」(足立本部長)という。
ランサムウェアの場合、Intercept Xに組み込まれたCryptoGuard機能が、暗号化の開始前にファイルをバックアップ。悪意ある暗号化プロセスと判断すると暗号化プロセスをブロックするとともに、バックアップファイルから復旧することができる。
また、クラウド環境への対策についても、Sophos Cloud Optixを提供する。これは、AWS、Microsoft Azure、GCP環境にある自社のアセットを自動的に検知して可視化。AIを活用してアセットを常時監視し、不審な振る舞いなどをすばやく検知。警告したり、自動修復したりする機能を提供する。
中堅・中小企業への拡販に向けてトレーニングを充実し、パートナーを支援
ソフォスのソリューションは政府・教育機関、製造・流通・金融など、さまざまな業種で採用され、OEM製品も含めると150カ国以上で1億人以上のユーザーが保護されている。既に国内でも、6000社を超えるユーザーが採用している。主な顧客は中堅・中小企業だが、グローバルでは万単位のクライアントを持つ企業での導入例も増えているという。「統合管理コンソールのSophos Centralは、1コンソールで2万程度のユーザー管理が可能で、大規模ニーズにも十分に対応できる」と足立本部長。
一方で中堅・中小企業をさらに開拓していくため、パートナー向けの技術トレーニングに力を入れている。トレーニングプログラムの無償提供をはじめ、当社の認定資格取得に向けたトレーニングキャンプを月2回実施。また、2次店のパートナーを技術面から支援する技術支援パートナーの育成にも力を注いでいる。このほかにも、新製品の情報やベストプラクティスなどを紹介するテクニカル・コミュニティ・デイの開催など、支援策を充実させている。
「現在、約200社のパートナーを倍増させていくとともに、各都道府県でパートナーがソフォス製品を活用した専門的なセキュリティサービスを実施できるよう支援していきたい。2021年には、セキュリティ専業ベンダーとして7社目のビリオンダラー(約1000億円以上の売り上げの)企業となる見込みで、国内市場でも大幅なビジネス拡大を狙いたい」と足立本部長は力を込める。
- 1
関連記事
ソフォス、SE Labsのレポートで「Intercept X Advanced」が最優秀製品に
日立システムズ、「サイバーセキュリティ・スターターパック」を販売
パートナーのセキュリティー事業を支援 EDRは他社ユーザーにも提案余地あり――ソフォス
外部リンク
ソフォス=https://www.sophos.com/ja-jp.aspx
「Sophos XG Firewall」=https://www.sophos.com/ja-jp/products/next-gen-firewall.aspx
「Sophos Intercept X」=https://www.sophos.com/ja-jp/products/intercept-x.aspx
「Synchronized Security」=https://www.sophos.com/ja-jp/lp/synchronized-security.aspx
