この記事は、Cisco AMP のプロダクト マネージャーである John Dominguez によるブログ「Endpoint Protection Platform (EPP) vs Endpoint Detection & Response (EDR)」(2016/3/21)の抄訳です。
「なぜ、エンドポイント向け Cisco AMP は、Gartner のエンドポイント保護プラットフォーム(EPP)を対象とした最近の Magic Quadrant に含まれていないのか」と、多くの同僚、お客様、シスコ パートナーから質問を受けました。その答えはとてもシンプルです。AMP は従来の「EPP」には分類されておらず、したがって、レポートには含まれていないのです。
Gartner は、「エンドポイント保護プラットフォームは企業のツールセットの基盤を形成し、マルウェア対策スキャンとその他の多くのエンドポイント セキュリティ機能を提供するものである」[i] としています。また、EPP の Magic Quadrant では、「企業のエンドポイント保護プラットフォーム(EPP)は、マルウェア対策、パーソナル ファイアウォール、ポートおよびデバイス制御を備えた統合ソリューションである」[ii] と定義していると Gartner は説明し、「マルウェア対策スキャンおよび保護」[iii] のカテゴリではさらに、「シグニチャ検出[iv] がマルウェア対策スキャンおよび保護の必須条件である」[v] とも述べています。したがって、この場合、EPP の定義は主にエンドポイント マルウェア対策スキャンを実行し、ウイルス対策(AV)とも呼ばれるシグニチャ ベースの検出方式に大きく依存する予防ツールを意味します。
エンドポイント向け Cisco AMP は、防止、シグニチャ ベースの検出、AV 以上の機能を提供します。たしかに、エンドポイント向け AMP には特定の予防機能が含まれており、最初の検査でファイルの性質を確認する際に、(その他の多数のエンジンの中でも特に)シグニチャ ベースの検出を使用し、リアルタイムでマルウェアをブロックします。しかし、エンドポイント向け AMP の主な価値は、エンドポイントでのファイルのアクティビティに対して高い可視性を提供することや、他のセキュリティ層で見逃されることのある悪意のある動作を検出し、それを止めることのできる制御を提供することにあります。結局、高度なマルウェアは最前線の防御(ウイルス対策、ファイアウォール、IPS など)を潜り抜け、内側に侵入してしまいます。決して攻撃を 100 % 防ぐことはできません。エンドポイント向け AMP は、最前線の防御をすり抜ける実行可能ファイルやファイルのアクティビティを素早く発見できるように、それらのファイルに対する可視性を提供して、数回のクリックでマルウェアを修復できるようにします。私の意図することについては、このデモをご確認ください。
エンドポイント向け AMP は高い可視性と制御を提供する 4 つの主要機能で構成されています。
- 脅威インテリジェンス:Cisco Talos グループは、ユーザが 24 時間 365 日保護されるように、1 日あたり数百万のマルウェア サンプルとテラバイト単位のデータを分析し、エンドポイント向け AMP にインテリジェンスをプッシュします。優れた脅威インテリジェンスにより、最前線の防御を強化できます。
- サンドボックス:Threat Grid エンジンで実現する高度なサンドボックス機能が、550 以上の動作指標に対してファイルの自動静的/動的分析を実行し、ステルス性の脅威を発見します。
- ポイントインタイムのマルウェアの検出とブロック:1 対 1 のシグニチャ マッチング、機械学習、ファジー フィンガープリントを使用し、AMP はエントリ時点のファイルを分析し、リアルタイムに既知および未知のマルウェアをとらえ、ブロックします。
- 継続的な分析、レトロスペクティブ セキュリティ、修復:ファイルが自社のネットワークに入ると、AMP はファイルの性質に関係なく、そのファイルのアクティビティを観測、分析、記録し続けます。悪意のある動作が後から検出された場合は、AMP はセキュリティ チームに、脅威の履歴の全記録を含むレトロスペクティブ アラートを送信します。そこには、マルウェアがどこからきたか、どこにいるのか、何をしているのかが記録されます。AMP ではさらに、数クリックで脅威の封じ込めと修復を行うことができる制御機能も提供します。
これらの機能を考慮した場合、エンドポイント向け AMP は、Gartner の定義とカテゴリのどこに該当すると考えるべきでしょうか。エンドポイント向け AMP には、ある程度の EPP の特徴(上記で説明したような特徴、また次の表を参照)がありますが、間違いなく EDR(エンドポイントの検出および応答)ソリューションに最も近いと言えるでしょう。Gartner は、EDR ソリューションには次の 4 つの主要機能があると定義しています。それは、セキュリティ インシデントの検出、エンドポイントでのインシデントの封じ込め(例:ネットワーク トラフィックやプロセス実行をリモートで制御)、セキュリティ インシデントの調査、エンドポイントの感染以前の状態への修復です。[vi] これらはほぼ応答メカニズムであり、エンドポイント向け AMP は、上記の概要で示すように 100 % これらに該当します。しかし、エンドポイント向け AMP は応答だけではありません。AMP は、フロントエンドでマルウェアを解析、検出、ブロックし、脆弱性マッピングや普及度の低い実行可能ファイルの特定などの予防機能を提供するだけでなく、エントリの時点で未知のファイルを分析する組み込みサンドボックスも含みます。
エンドポイント向け AMP は EDR、EPP、次世代 EPP ソリューションのハイブリッドであると言えますが、シスコのエンドポイント向け AMP ソリューションは、Gartner の EDR ソリューションに関するマーケット ガイド(2015 年 12 月発行分)に含まれています。現在、Gartner の発行するこのカテゴリの Magic Quadrant はありません。今後のさらなる調査において、防御、検出、応答というセキュリティ上の 3 点の各カテゴリでのエンドポイント向け AMP の強みが示されるのを期待しています。
しかし、EPP また EDR の各カテゴリにおけるパラメータに関わらず、適切なエンドポイント セキュリティ ソリューションを見つける組織のアプローチは依然として同じです。組織が効果的に脅威から保護されるために必要な機能に焦点を当てる必要があります。防御を強化する最高の脅威インテリジェンスの入手、ステルス性のあるファイルを発見するサンドボックス、リアルタイムでマルウェアを検出およびブロックするエントリ時点でのファイル スキャン、または、高度なステルス性をもったマルウェアが上記や他の最前線の防御をかわした際に、継続的にファイル アクティビティを分析して素早く悪意のある動作を検出し、マルウェアがどこから来たか、どこに存在しているのか、そして何をしているのかを確認する機能、数クリックでマルウェアを修復できる機能をお望みの場合、エンドポイント向け AMP が候補リストに昇るべきです。
エンドポイント向け AMP の詳細については、www.cisco.com/jp/go/ampendpoint を参照してください。
Gartner が定義する EPP ソリューションの機能とエンドポイント向け AMP の対応状況については以下をご覧ください。
Gartner が定義する EDR ソリューションの機能とエンドポイント向け AMP の対応状況については以下をご覧ください。
[i] 「エンドポイント保護プラットフォームの評価基準」、Gartner Inc、Mario de Boer。
2015 年 3 月 24 日
[ii] 「エンドポイント保護プラットフォームの Magic Quadrant」、Gartner Inc、Peter Firstbrook、Eric Ouellet。2016 年 2 月 1 日
[iii] 「エンドポイント保護プラットフォームの評価基準」、Gartner Inc、Mario de Boer。
2015 年 3 月 24 日
[iv] 「エンドポイント保護プラットフォームの評価基準」、Gartner Inc、Mario de Boer。
2015 年 3 月 24 日
[v] 「エンドポイント保護プラットフォームの評価基準」、Gartner Inc、Mario de Boer。
2015 年 3 月 24 日
[vi] 「エンドポイントの検出と応答ソリューションに関するマーケット ガイド」、Gartner Inc、Peter Firstbrook、Neil MacDonald。2015 年 12 月 16 日