エンタープライズレベルで求められるエンドポイントセキュリティの
すべての機能を持っています
-
リアルタイムの脅威隔離テクノロジー
-
脅威の主要な侵入経路を完全に防御
-
ワークフローへの影響は最小限
-
脅威分析と可視化
-
他のセキュリティシステムとの統合
-
詳細ポリシーを設定可能
エンドポイントセキュリティ強化方式の比較
| インターネット無害化 (仮想ブラウザ) |
デスクトップ仮想化 (VDI) |
アプリケーション隔離 (MicroVM) |
|
|---|---|---|---|
| インターネットアクセス時のLiveデータ保護 | 〇 | △ | 〇 |
| Eメール添付ファイル実行時のエンドポイント保護 | × | △ | 〇 |
| 保護(仮想)環境で開いたファイルの編集・保存 | × | 〇 | 〇 |
| 社外NWでの保護 | 〇 | △ | 〇 |
| 脅威の自動分析・可視化 | △ | × | 〇 |
| 常時NW接続不要 | × | × | 〇 |
| ネットワーク整備不要 | 〇 | × | 〇 |
| サーバーのサイシング不要 | 〇 | × | 〇 |
| 端末増設不要 | 〇 | × | 〇 |
| 導入コスト | 小 | 大 | 小 |
| 利便性 | 中 | 中 | 高 |
| 保護(隔離)対象 | WEB | 電源Off時のローカルデータ | 信頼されていないWEB、Eメール。その他、信頼されていない社内既存ファイル |
| 特徴 | 既存のインフラを大きく変更することなく導入することができるため、物理的なネットワーク分離の代替として数年前からシェアを伸ばしてきているエンドポイントセキュリティ。WEBをイメージ化して「無害化」する、最も一般的な攻撃侵入経路であるメール添付ファイルは「削除」するなどの対応となり、実際に業務で使用するには大きな制限がかかる。 | 電源オフの時に端末にデータが残らない為、紛失・盗難対策としては有効。電源On時ネットワーク接続をして業務を行う際のLiveデータは保護されていない為、通常PCと同じくセキュリティ対策が求められる。また高価な導入コストに対して利便性の低下が著しいことが新たな課題となっている。 | ブラウザやOfficeなど通常のアプリケーションをOS上のマイクロVMで実行するため、操作は全く変わらず、従来の利便性が確保される。ネットワーク整備や端末増設なども不要で導入コストは他ネットワーク強靭化ソリューションと比較して大きく低減される。隔離環境でマルウェアなどが活動した際のトレースや分析・可視化も自動化されており、サイドボックスやEDRに近しい機能も有する。 |
※スワイプで左右に移動します。
アプリケーション隔離技術
Eメール添付ファイル、Webブラウザ、チャットアプリ、USBメモリ経由のダウンロードファイルを
PC内仮想空間で動作させて予防します。
CPUの仮想化支援機能「Intel Virtualization Technology(Intel VT)」や
「AMD Virtualization(AMD-V)」を活用し、オーバーヘッドを極力軽減することにより、
システム負荷を抑えます。
- Windows PCのハードウェアレベル仮想化技術を使用
- メモリ内にマイクロ仮想マシン(VM)を瞬時に作成し、単一のアプリケーションを隔離して実行
- マイクロVMは都度生成の使い捨てでアプリケーションが終了する際に同時に消滅
- 信頼できるファイルとリンクは通常どおり実行されるが、信頼されないファイルとリンクは「コンテナ」に隔離され、マイクロVMで実行
ネイティブアプリケーションと変わらない操作性
感染リスクがある一つ一つの操作に対して、独立したマイクロ仮想環境(MicroVM)を生成しエンドポイントのPCを完全に保護します。
ファイルの実行がPC本体上かMicroVM内なのか見え方に差はないため、普段どおりの感覚でファイルの操作が可能となります。
動画で実際の動作を見る
マイクロVM内でマルウェア実行と破壊
マイクロVMでのファイル実行と脅威分析画面
HP Sure Controller
可視化された脅威情報で管理工数を軽減します。
問題が発生した場合は、画面を見るだけで即座に状況を確認することが可能です。
マイクロVMの安全で隔離された環境でマルウェアの挙動をトレースし、リアルタイムに脅威情報の詳細をわかりやすく分析・把握することが可能です。
オペレーションダッシュボード
各脅威の個別分析情報
MITRE ATT&CKベースの脅威評価を含む
統合分析レポート
詳細なポリシー設定が可能
ポリシー設定をお客様環境に合わせて柔軟にカスタマイズすることが可能です
| 設定項目 | 概要 |
|---|---|
| Web Browsing | 信頼済サイトに関する設定やProxy認証、イントラサイトへのアクセス設定など |
| Secure Browser | マイクロVMで隔離実行されるChromiumベースのセキュアブラウザに関する設定 |
| Files | DLやメール添付等ファイルの信頼に関する設定 (ユーザーの信頼権限、自動信頼、ファイルハッシュによるアクセスブロック等) |
| User Interaction | ユーザー環境の設定 (エンドポイント構成変更時の再初期化、確認・警告ダイアログ表示、信頼できないファイルのアイコンへ視覚的なタグ付け、トレイアイコン表示等) |
| Security | ユーザーのファイル操作に関するBlock設定、リアルタイムの脅威データを提供する Threat Intelligence Cloud Serviceへのデバイスの接続許可、カット&ペーストの制限などクリップボードに関する設定、OUTLOOK受信メールへのProactive scanに関する設定等 |
| Manageability | 詳細な分離ログファイル、ポリシー更新やリモートコマンドチェックイン頻度、ライセンスキー表示等 |
| Monitoring | PC内の既存ファイルハッシュリスト抽出と分析 |
| Advanced | 既存設定項目にないカスタム |
PC上で記録分析した脅威情報を管理サーバーで集中管理
エンドポイントエージェントの脅威情報分析
- ①PC上で実際に脅威が動作したときのみ記録
- ②脅威動作の一部始終(Kill-Chain)を仮想マシンのタスクが終了するまで記録
- ③記録終了後に脅威情報を分析し、結果を管理サーバに送信
- ④管理サーバから、セキュリティ管理者にメールで通知 STIX/TAXII情報をSIEM(Security Information and Event Management) 等
他製品へ送信する事も可能
STIX:Structured Threat Information eXpression。サイバー攻撃を特徴付ける事象などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様。http://stix.mitre.org/
TAXII:Trusted Automated eXchange of Indicator Informationサイバー攻撃活動に関連する脅威情報を交換するための技術仕様。http://taxii.mitre.org/
導入事例
米国国防総省が最新のエンドポイントセキュリティスタックを
最後の防衛線として実装
米国国防総省は、変化する脅威の状況に対処するために封じ込め(アプリケーション隔離と封じ込め)技術とEDR技術の組み合わせを活用し、今後のエンドポイントセキュリティスタックをアップグレードおよび近代化しています。
既存のHBSS(Host Based Security System:階層型防御ソリューション)と組み合わせることにより、組織はエンドポイント上のエージェントの数を減らしながら、サイバー攻撃に対する最高レベルの効果を達成し、誤検出を排除する運用コストを削減できます。
これらのアプローチのそれぞれは、攻撃の時間、インシデントの発生前または発生後、インシデントの場所、ホスト上、または封じ込め環境内などの違った側面から脅威を見ることで、個々のエンドポイントとエンタープライズで発生していることをより全体的に把握することを可能にします。
国内の企業における導入事例
-
金融系企業A社
- 課題背景
- インターネット分離を実現するため、数年前にWEB無害化ソリューションを導入していたが、Web利用業務に多くの支障が出ていた。
- 導入後
- ネイティブブラウザと同様にWebアプリケーションを使用することができるようになり、セキュリティをさらに高めつつ、業務効率を本来のレベルに戻すことができた。
-
製造系企業B社
- 課題背景
- グループ全体でインターネット分離対応が必須となり、VDI導入を検討していたが、コストが高額な点と設計開発業務へのパフォーマンス低下が懸念されていた。
- 導入後
- パフォーマンス低下を抑えつつ、インターネット分離要件を満たすことができた。
-
建設系企業C社
- 課題背景
- アンチウィルスとEDRを導入していたが、ヒューマンエラーによる攻撃侵入を防ぎきれない環境にあった。
- 導入後
- 社内外問わず、どこでも安心して外部とやりとりができるようになった。隔離環境の中でマルウェアが活動しても、マイクロVMを閉じてしまえば分析した上で対処済みとすることができ、セキュリティ部門の大幅な工数削減につながった。