ソフォスは10月30日、エンドポイント保護ソリューションにEDR(Endpoint Detection and Response)機能を追加した「Intercept X Advanced with EDR」を発表した。

これまで、同社のエンドポイント保護ソリューションは、主な機能として、「ディープラーニングによるマルウェアのスキャン」「エクスプロイト対策」「ランサムウェア対策」「マルウェアの削除」「根本原因解析」を備えている。

  • エンドポイント保護ソリューション「Intercept X」の主要機能

シグネチャベースの検知などの基本プロテクションが行える「Central Endpoint Protection」、ディープラーニングによる検知などが行える先進プロテクションが行える「Intercept X」、基本プロテクションと先進プロテクションが行える「Intercept X Advanced」が提供されていたが、今回、最も機能が豊富な「Intercept X Advanced with EDR」が加わった。

  • ソフォス エンタープライズ営業本部 セキュリティソリューション コンサルタント 佐々木潤世氏

エンタープライズ営業本部 セキュリティソリューション コンサルタントの佐々木潤世氏は、同ソリューションの特徴として、「エンドポイント保護とEDRを同時に利用できること」「同社の知見を付加したプラットフォーム」「ガイド付きのインテリジェント対応」を挙げた。

EDR製品を単独で利用する場合、他のエンドポイント保護製品と組み合わせて利用することになるが、同ソリューションを利用すれば、単一のエンジンによるエンドポイント保護とEDRを利用可能になる。

同社はディープラーニングを活用して脅威の検知を行っているが、佐々木氏は「他の機械学習モデルと異なり、ディープラーニングはスケーラブルで軽い。かつ、われわれのエンドポイント保護では、人間のように働くディープラーニングを使っているので、高い精度でマルウェアを検知するとともに、誤検知も抑えることができる」と語った。

加えて佐々木氏は、第3者機関の調査結果を引用し、同社のマルウェアとエクスプロイトの検知率の高さと誤検知率の低さをアピールしながら、同ソリューションでは、エンドポイント保護機能で多くの脅威を抑止するため、ノイズが軽減され、EDRのワークフローが削減されると説明した。

ソフォスは世界中の脅威を調査するラボを抱えているが、同ソリューションでは、ラボの知見を活用することができる。セキュリティ製品を導入しても、脅威から組織を守るには、疑わしいイベントの判別や優先付け、疑わしいファイルのリバースエンジニアリング、脅威情報の解釈といった専門的なスキルを必要とする作業が求められる。

例えば、同ソリューションでは、疑わしいプロセスについて、ラボの脅威インテリジェンスから情報を得たり、1クリックでラボに解析を求めたりすることができる。また、ディープラーニングモデルによるファイルの分析結果を得ることも可能だ。

  • 1クリックで、疑わしいプロセスについてラボに解析を依頼できる

「一般的な機械学習による分析結果は、マルウェアか否かの2択になる。これに対し、ディープラーニングモデルでは疑わしさの確率まで算出できる」と、佐々木氏はディープラーニングによる解析のメリットを示した。

3つ目の「ガイド付きのインテリジェント対応」としては、検知された脅威に対し実行すべきことをガイドとして提示し、1クリックで疑わしいファイルやフォルダの隔離や削除することができる。「脅威を発見したら、調査などを行う前に、まずはその脅威を隔離することが大事」と佐々木氏。

  • 「推奨される次のステップ」として、次におこすべきアクションが提示される

  • EDRの日々のオペレーション

佐々木氏は、「われわれは中堅・中小企業、いわゆるSMBにおいて、EDRを使っていただくことを目指している。そのため、ユーザーが使いこなすための機能を提供する」と、同社のEDRは専門知識がなくても利用できることをアピールした。

「Intercept X Advanced with EDR」は現在、Early Access Programが提供されており、正式リリースは11月中旬を予定しているという。正式リリースンの際は、日本語に対応したGUIが提供される予定だ。