EDRとしてのTanium

限界を迎える境界線防御

従来までのITセキュリティ対策においては、ファイアウォール製品や、IDS/IPS製品、Webフィルター製品、アンチウイルス製品など、それぞれの階層で攻撃者の不正侵入を防ぐ防御態勢の構築が最優先とされてきました。 それぞれの製品カテゴリーにおいては高度な検知アルゴリズムやサンドボックス、人工知能を活用することにより、攻撃者が利用するセキュリティホールを最小化する取り組みが行われています。 しかしながら、攻撃者が利用する侵入手口や手法、ツールも同様に高度化されており、事前防御を主とする次世代型のセキュリティ製品を導入したにもかかわらず、システム内に侵入を許すケースが増えてきています。 また、これらの境界線防御の製品においては、攻撃者の不正侵入を許した後の脅威に対応する術がなく、攻撃者が行う情報漏洩を検知する術も持ちません。

限界を迎える境界線防御:従来製品とEDR製品

EDR (Endpoint Detection and Response) とは

従来型のエンドポイントセキュリティ製品は[Prevention:事前防止]を主な目的とするものに対して、EDRは[Endpoint Detection and Response : 侵入検知と対応]を主な目的としています。従来製品においては事前防止を前提としているため、システムへの不正侵入が行われていることを想定していません。一方、EDR機能を実装したシステムにおいては、攻撃者の侵入を前提とした防御態勢を構築することができるため、侵入経路/被害範囲/侵入原因の特定などの、いわゆるインシデント・レスポンスを迅速に行うことが可能となります。EDR機能を活用することにより、IOCファイルを用いた脅威痕跡情報の検索、不正プロセス/不正ファイルの検知、攻撃者のラテラルムーブメント(内部偵察、資格奪取、感染拡大を行う)の兆候を把握することができます。

従来型のエンドポイントセキュリティ製品(Prevention:防止)

端末上で動作する脅威を封じ込める。あらゆる脅威を想定し、その脅威に応じた各種対応策を講じる。
侵入されることは想定していない。

従来型のエンドポイントセキュリティ製品(Prevention:防止)

EDR製品(Endpoint Detection and Response:検知と対応)

侵入される可能性がない、という前提条件ではなく、侵入されることを前提として脅威の振舞いを検出する。システム内に潜んだ脅威を迅速に特定することで、被害範囲を最小限に抑え、再発防止を促す。

EDR製品(Endpoint Detection and Response:検知と対応)

Taniumが提供するエンドポイント・セキュリティ

端末への高速コミュニケーション・プロットフォームを提供するTaniumにおいても、高度で高速なEDR機能を活用することができます。この機能により、システム全体で稼働している不正なプロセス/レジストリ/ファイルなどの検知が行え、感染が疑われる端末においては、該当端末のネットワーク隔離、不正プロセスの停止、アプリケーションのアンインストールやセキュリティパッチの適用など、 数多くのインシデント・レスポンス手法を提供します。
また、このような高度なEDR機能の他に、事前防御対応策としてのシステム脆弱性情報の可視化、セキュリティパッチ適用状況の確認、EPP機能(Endpoint Protection Platform)など、エンドポイントで必要とされるセキュリティ対策を幅広く実装しています。これらの機能により、脅威の侵入前と侵入後の対応における対応範囲/対応手法の拡大が行え、システム全体のセキュリティレベルを底上げすることが可能となります。

Taniumが提供するエンドポイント・セキュリティ:端末調査、脅威の検知、対処、感染端末の特定

Taniumに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
tanium-sales@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。