Cylance Japan (サイランス)は11月7日に記者向けの説明会を開催し、AIによる予測型のエンドポイント脅威防御である「CylancePROTECT」に、機械学習を応用してエンドポイントを解析するEDR(Endpoint Detection and Response)機能「CylanceOPTICS」を統合したAIプラットフォームソリューション「CylancePROTECT with OPTICS」を11月27日から提供開始すると発表した。

CylancePROTECTはAIがファイル構造を学習して、マルウェアが実行される前に安全性を予測・判定するセキュリティサービス。ゼロディマルウェアを含めたさまざまな脅威を99.7%という高い検知率でブロックできる。

今回追加されるEDR機能は、従来のCylancePROTECTでは対応しきれなかった、セキュリティのオペレーションセンターや、セキュリティインシデントへの対応を行うチームCSIRTを保有している顧客企業が求める予防以外の要件に対応するために実装されたもの。予防をベースにしつつも、すり抜けた脅威などに対して、AIによるエンドポイント防御を実行することができる。

Cylance Japan 最高技術責任者の乙部幸一朗氏は「従来のCylancePROTECTはあくまでもマルウェアの予防型のセキュリティ。これまで提供できていなかった、検知した脅威がどのような経路で訪れたのかというオンデマンドの脅威分析、すでに内部に侵入してしまった脅威を検知するハンティング調査、そして、内部に脅威が存在する端末が見つかった場合にいち早く封じ込めを行うレスポンス機能などについて補完するために、CylanceOPTICSの提供を開始するに至った」と、今回の新機能が導入された背景を説明した。

Cylance Japan 最高技術責任者の乙部幸一朗氏

CylanceOPTICSの特徴

同ソリューションは、分散型モデルによるイベント情報の検索と収集を行っているため、エンドポイント上で収集した情報のうち、必要なものだけがクラウド上に送られる仕組みになっており、管理サーバの設置やインフラ増強が必要ない。また、マルウェアを検知した場合、根本原因分析と侵入経路調査を実行することも可能だ。端末上で起こったイベントを時系列で表示することで、管理者が侵入経路を調査できるようになっている。侵入経路を特定できれば、その経路をブロックすることで、経路をふさぎ潜在的な脅威の防止にもつなげることができるという。

次に、InstaQuery という機能では、脅威に関連性の高いインディケータを元に全社規模で即座にエンドポイント検索、隠れた潜在的な脅威や侵入の形跡を把握し、危険にさらされているエンドポイントがないかを瞬時に判断することができるようになる。

そのほか、インシデント対応アクションを迅速に実行し、隔離、疑わしいファイルを取得することで、管理者がネットワークから感染が疑われるエンドポイントを即座に隔離できる感染端末封じ込め機能、動的にシステムのイベントから脅威を見つけていく機能などを搭載している。

2017年末には、AIによるデータモデルでの動的脅威検知機能を追加予定。同機能では、端末で起こるイベントに概念モデルを作ることができるので、人があらかじめ教えることなく、自動的に未知の脅威を見つけて止めることができるようになるという。

乙部氏は、上記CylanceOPTICSの機能を説明したうえで「ただし、あくまで重要なのは予防。CylancePROTECTで99%の脅威を止めたうえで、止められなかった脅威やすでに潜伏していた脅威に対して必要な対処を行うことで管理者の負担を軽減することができる。また、それを1つのコンソール上で提供できることも大きな特徴である」と述べた。

なお、同ソリューションはオープンプライスで、すでにCylancePROTECTを購入している場合はCylanceOPTICSへのアップグレードを購入。新規の場合はCylancePROTECT with OPTICSを購入する。

利用シーンと目的に応じたカバーエリア

また、同日、CylancePROTECT with OPTICSの提供開始に合わせて、同社はコンサルティングサービスを本格的に開始することも発表した。

同サービスでは、これまでの受け身の検知対応ではなく、AI人工知能を活用した予測検知防御による脅威の検出と対応を実現し、自動化された予知防御の体制の確立を目指す。

Cylance Japan コンサルティングサービス本部 本部長のアレックス・シム氏は「グローバルのエキスパート集団が中心となってサービスを提供できる点、AIをベースとした技術やツールを活用し、効果的かつ迅速に脅威の検知・対応・防御・監視を実現できる点などが強みだと考えている」と同社が提供するコンサルティングサービスの強みを語った。

Cylance Japan コンサルティングサービス本部 本部長のアレックス・シム氏

具体的には、企業や組織のサイバー攻撃に対するレジリエンスを評価する「レッドチーム」、AIを活用しデータの収集と解析を行い、標的型攻撃による企業内の侵害の有無を診断する「侵害診断」、侵害発見時、インシデントの内容を詳細に分析し、原因を究明し、早く業務を復旧できるようにマルウェア隔離と復旧支援サービスを提供する「インシデント封じ込め」、顧客環境に最適化し、エンドポイントの脅威を限りなくゼロに近づける導入支援サービス「ThreatZERO」、ThreatZERO、侵害診断、インシデント封じ込めサービス全てを年単位のサービス契約として提供する「ThreatZEROハンティング」などのラインアップが用意されている。

コンサルティングサービスのメニュー