フォーティネットは5月26日、エンドポイントの脅威保護・検知・レスポンスを自動化する「FortiEDR」を国内パートナー各社を通じて日本市場に投入すると発表した。

マーケティング本部の山田麻紀子氏は、「FortiEDR」の特徴として、脅威の感染前と感染後の双方においてリアルタイムでエンドポイント保護を提供できる点を挙げた。

「FortiEDR」がターゲットとしている顧客層は従業員数1,000人から数十万人規模の企業であり、エンドポイント数500人の中規模組織にも対応可能とする。

山田氏は「FortiEDR」の強みとして、「 セキュリティファブリックとの連携による効率的な運用 」「脅威の自動検出と回避 」「柔軟に設定可能なプレイブック 」「OT環境やレガシー端末にも対応」の4点を挙げた。

「FortiEDR」の具体的な機能については、技術本部の宮林孝至氏が説明を行った。宮林氏は、「FortiEDR」によって解決できる課題として、「SOCの有無によらず柔軟な運用が可能」「被害の最小化」「脆弱性の把握」を紹介した。

「FortiEDR」は、侵入を受ける前に「発見と予測」「保護」を、侵入を受けた後に「検知」「無効化」「対応と調査」「修復とロールバック」を行う。

  • 「FortiEDR」の主要機能

侵入前の「発見&予測」のフェーズでは、アプリケーションの脆弱性可視化&評価を行い、脆弱性を突いた攻撃を受けるリスクを軽減する。「保護」フェーズでは、カーネルベースのアンチウイルスがマルウェアを自動的に防御し、継続してアップデートされるクラウドベースの脅威インテリジェンスのフィードと機械学習を組み合わせて、脅威検知の効率化を実現する。

侵入後の「検知&無効化」のフェーズでは、振る舞いベースの検知機能を用いて侵害をリアルタイムで停止し、C&Cサーバや脅威の横展開といった通信をブロックする。侵入前と後にわたり、3つのポリシーで脅威を的確に検出してブロックする。

「対応と調査」(インシデントレスポンス)のフェーズでは、プレイブックに基づいて、インシデント対応の調整、インシデント対応/修復プロセスの自動化を行う。脅威は5種類に分類され、脅威に応じた処理を実行可能。検出されたイベントは同社のナレッジと連携して継続的に検証される。さらに、独自のインタフェースでガイダンスやベストプラクティスを提示し、セキュリティアナリストに対して次に実行すべき論理的なステップを推奨する。

  • 「FortiEDR」で用いられている技術

  • 「FortiEDR」のインシデントレスポンスの画面

あわせて、FortiEDRを円滑に導入するための有償の支援サービスとして、アーキテクチャデザインやプランニング、構成、インストール、プレイブックのセットアップ、環境チューニング、トレーニングなどの専門的な支援が提供される。

「Deployment サービス」は、同社のエンジニアがリモートで初期構築を支援するもので、EDR対象端末数に応じて発注が必須となっている。

オプションとして、「FortiResponder MDR」と「インシデントレスポンスサービス」が第3四半期より、国内で提供が開始される予定だ。前者は24 時間365日の継続的な脅威の監視、アラートのトリアージ、インシデント分析を提供し、後者はデジタルフォレンジック、コン サルティング、トレーニングなどを提供する。

  • 「FortiEDR」の有償サービス