Cisco Secure Endpoint EPPとEDRを兼ね備えた統合型エンドポイントセキュリティ

現代の脅威には、現代の防御が必要
マルウェアに侵入されることを想定したセキュリティ対策を

マルウェアは今後さらに増え、凶悪に。 サイバー攻撃の手法は年々高度化、高巧妙化しています。
標的型攻撃や暗号化ファイルなど、従来のセキュリティ製品だけでは対応が難しいケースも増えてきました。
また、ハイブリッドワークの普及に伴い、社外での業務が増えていることもリスクを高めています。

現在のセキュリティ対策と投資比率の図。従来の侵入対策(ファイアウォール、アンチウィルス、サンドボックス)で企業の投資が集中するが侵入を100%防げていない。今後必要とされる侵害の検知と迅速な対応(EDR)は攻撃者は必ず入ってくるという前提に立った対策が必要。横軸はサイバー攻撃の進行過程で、侵入→攻撃準備→IT環境内拡散→ID/パスワード窃取→情報流出破壊。縦軸は企業の投資予算ダメージ。投資予算は侵入前に集中しているが、実際の投資予算ダメージは右側(情報流出、破壊)に来るほど大きくなる。 現在のセキュリティ対策と投資比率の図。従来の侵入対策(ファイアウォール、アンチウィルス、サンドボックス)で企業の投資が集中するが侵入を100%防げていない。今後必要とされる侵害の検知と迅速な対応(EDR)は攻撃者は必ず入ってくるという前提に立った対策が必要。横軸はサイバー攻撃の進行過程で、侵入→攻撃準備→IT環境内拡散→ID/パスワード窃取→情報流出破壊。縦軸は企業の投資予算ダメージ。投資予算は侵入前に集中しているが、実際の投資予算ダメージは右側(情報流出、破壊)に来るほど大きくなる。

これまでのマルウェア対策は、感染前の対策・感染時の対策がメインでした。
しかし、現在のマルウェアは非常に巧妙になっており、どのような対策をしてもすり抜けてくること可能性があります。そのような脅威から対策するためには、今後、従来の対策に加え「感染した後」の対策をすることで、マルウェアの被害を最小化することが必要です。 Cisco Secure Endpointは、現在のセキュリティ対策の常識である「マルウェアに侵入されることを想定したセキュリティ対策」を実現します。

Cisco Secure Endpointとは?

高度な EPP※1とEDR※2機能を内蔵したエンドポイントです。

※1…EPPは、Endpoint Protection Platformの略となり、既知のマルウェアをブロックする製品です。一般的にはアンチウイルス(AV)ソフトやウイルス対策ソフトと呼ばれます。これらの製品はパターンマッチングなどによって、マルウェアがデバイスに侵入することを防ぎます。
※2…EDRは、Endpoint Detection & Responseの略となり、デバイスへの攻撃や侵入を防ぐのではなく、デバイスの挙動監視などによって侵入を防げなかった脅威を検知・対処するセキュリティ対策が出来る製品です。
この2つの機能は、世界最大級の脅威リサーチ集団:Cisco Tarosによる知見やワールドワイドで収集した脆弱性情報が基盤となっています。Cisco Talosが提供する脅威インテリジェンス情報は既知・未知の脅威からお客様のネットワーク及びデバイスを保護いたします。

EPPとEDRの機能の図。アンチウィルス製品(EPP)は感染・侵入前、EDRは感染侵入後の調査、捕獲、分析、修復である。EPPとEDRの機能の表では、既知・未知のウィルス対策、証跡(ログ)の収集、不審なオブジェクトへの対応、エンドポイントコントロール機能に分けて説明。 EPPとEDRの機能の図。アンチウィルス製品(EPP)は感染・侵入前、EDRは感染侵入後の調査、捕獲、分析、修復である。EPPとEDRの機能の表では、既知・未知のウィルス対策、証跡(ログ)の収集、不審なオブジェクトへの対応、エンドポイントコントロール機能に分けて説明。

クラウドを活用し、マルウェア対策を実行

端末に保存・実行されるファイル情報は、Ciscoの脅威情報データベース(DB)にネットワークを経由しリアルタイムで送られます。
DB上ではハッシュ値によって【既知】のマルウェアを検知します。さらに、ファイルの特徴や構造を既知のマルウェアと比較することで【未知】のマルウェアも検知します。比較対象が少なく判断できないファイルは、クラウドのサンドボックス解析によってマルウェアかどうかを判定します。
また、ファイルのインターネット通信の監視によるマルウェア検知も実行します。端末がクラウドと通信できない場合は、シグネチャベースのエンジンを活用してマルウェアを検知し、ボタン1つでファイルの隔離が可能です。

Cisco Secure Endpointクラウドは、日々蓄えている膨大な分析データと照合し、お客様から送付されたMETA情報を高速に分析をしている。お客様ネットワークではエージェントがファイルなどを監視、監視対象の情報を収集、収集した情報をMETA情報(暗号化)としてクラウド側に送付。管理者はブラウザで管理可能で、端末の特定、原因の調査がリモートから実施可能。 Cisco Secure Endpointクラウドは、日々蓄えている膨大な分析データと照合し、お客様から送付されたMETA情報を高速に分析をしている。お客様ネットワークではエージェントがファイルなどを監視、監視対象の情報を収集、収集した情報をMETA情報(暗号化)としてクラウド側に送付。管理者はブラウザで管理可能で、端末の特定、原因の調査がリモートから実施可能。

3つの特長

最後の防御ライン、セキュアエンドポイント

全てのコントロールポイントで脅威を完全に防御

Cisco Secure Endpointは、端末に入り込んだ脅威を見つける「EPP」機能と、脅威がどこからやってきたのか過去に遡って確認が出来る「EDR」機能が組み合わされた製品になります。また、Cisco Talosという脅威リサーチ集団が、Cisco Secure Endpointでの脅威インテリジェンスとなっています。

1.脅威をブロック
(EPP)

1.脅威をブロック(EPP)

攻撃者があなたを標的とするより前に最先端の脅威もブロックするプロアクティブな保護(EPP)

2.継続的な脅威検出と応答
(EDR)

2.継続的な脅威検出と応答(EDR)

エンドポイントでの挙動を捕捉、高度なEDRで継続的に脅威を検知して対応

3.脅威インテリジェンス
(脅威リサーチ集団)

3.脅威インテリジェンス(脅威リサーチ集団)

Cisco Talosを介したグローバルな脅威でインテリジェンスの活用

1. 脅威をブロック

Cisco Secure Endpointには、複数の場所で脅威をブロックする機能が備えられています

メモリ内

  • Exploit Prevention
    (ファイルレスマルウェアからの保護)
  • System Process Protection
詳しくはこちら

メモリ内には、ファイルレスマルウェアからの保護を行うエンジンを搭載しています。

閉じる

ディスク上

  • AMP Cloud
    (ファイルレピュテーション)
  • Malicious Activity Protection
    (ランサムウェアからの保護)
  • Antivirus
  • Custom Detections
詳しくはこちら

ディスク上でも複数の脅威を止める機能があり、ファイルへのアクセスが発生した際、クラウドで確認を行う事で常に最新の評価が確認出来るため、定義ファイルの確認遅れなどによる検知漏れは発生しません。

閉じる

侵害後

  • Device Flow Correlation
  • Cloud & Endpoint IOC’s
  • Static & Dynamic Analysis
詳しくはこちら

万が一、メモリ/ディスク上での保護を潜り抜けて、端末内に怪しいファイルが入ってしまった際にも、その怪しいファイルが行う挙動を判別して保護を行います。
端末から行われる怪しいIPアドレスへの接続をブロックする機能もあり、こちらの機能によりマルウェアが行う通信をブロックする事が出来ます。

閉じる

2. 継続的な脅威検出と応答

Cisco Secure Endpointは、怪しい挙動だけではなく、通常の挙動も常に監視をしています。それにより、怪しいファイルや挙動が確認された際、過去に遡り、何が起きたのか、怪しいファイルはどこにいて、どこからきたのか、どのような挙動を行ったのかを確認する事が可能です。また、確認ができる画面よりアクションを実施する事も可能です。

Device Trajectory画面では「何が起きたのか?」「マルウェアはどこから来たのか?」「マルウェアはどこにいたのか?」「何をしたのか?」「どうやって止めるのか?」が確認できる。 Device Trajectory画面では「何が起きたのか?」「マルウェアはどこから来たのか?」「マルウェアはどこにいたのか?」「何をしたのか?」「どうやって止めるのか?」が確認できる。

継続的なモニタリング

検出
  • 継続的なアクティビティモニタリング
  • アドバンスドエンドポイントサーチ
  • サンドボクシング
  • クラウド型侵害の兆候検知
  • 脆弱性と低普及のソフトウェアの認識

特定の条件にマッチしたファイルをクラウド上のサンドボックスへ送信して挙動チェックを行う機能や、環境内で脆弱性のあるアプリケーションが利用されていないかの確認を行う機能などがあります。

応答
  • カスタムブラック/ホワイトリスト
    (ファイル・ネットワークトラフィック)
  • 管理外端末の発見
  • エンドポイント隔離
  • フォレンジックスナップショット
  • 自動化アクション

端末をネットワーク的に切り離すエンドポイント隔離や、その端末の瞬間的な情報を取得するフォレンジックスナップショットがあります。これらは管理者が手動で行うか、特定のイベントの発生をトリガーに自動で行うかを選択する事が出来ます。

3. Cisco Talosからの脅威インテリジェンス

Cisco Secure Endpointが脅威を検出するための、バックとなっている脅威インテリジェンスは、Cisco TALOSという脅威リサーチ集団より提供がされています。Cisco TALOSは世界最大の非政府系の脅威情報機関であり、毎日2.2超のアーティファクトを解析している脅威リサーチチームになります。

Cisco Threat Intelligence Team: Talosの説明。TALOSは24H, 7W, 365DオペレーションでVisibility, Radwar DDoS, URL, Network analysis, Email, Threats, Identity and NAC, DNS, Firewallの脅威リサーチをする。ブロックした脅威の数/日:200億、マルウェアサンプル/日:150万、Eメール数/日:600億、Webリクエスト/日:160億、専任の脅威リサーチャー:250人以上、テレメトリーエージェント:100万、グローバルデータセンター:4、脅威インテリジェンスパートナー:100以上

広い窓口を持つCiscoのセキュリティ製品

Ciscoは様々なシチュエーションを保護できる、複数のセキュリティ製品を保有しています。
全ての製品のバックとなっている脅威インテリジェンスはCisco TALOSより提供がされています。Cisco Secure Endpoint以外の製品で検出された脅威の情報をTALOSで解析し、Cisco Secure Endpointに反映されるため、新たな脅威を見つけることが出来ます。非常に広い窓口を持っているのが、Cisco のセキュリティ製品の強みです。

Cisco Talos

Network

  • Firewall
  • Intrusion Prevention
  • Web Security
  • SD Segmentation
  • Behavioral Analytics

Endpoint

  • Endpoint Detection and Response
  • Mobile Security
  • VPN
  • Multi-factor authentication

Cloud

  • Security Internet Gateway
  • Public Cloud Security
  • Workload Security
  • Cloud Access Security
  • Email Security

ライセンス体系

ビジネスニーズに合わせて選択可能なライセンス体系

ライセンス体系の表。ライセンスはEssentials, Advantage, Premierの3種類。機能は、マルチウェア、アプリケーション制御、動的ファイル解析、振る舞い監視、脆弱性識別、エンドポイント隔離、Orbital Advanced Search、Threat Grid アカウント、SecureX Threat Huntingであり、ライセンスにより使用機能が異なる。

NTTデータルウィーブ × Ciscoラインナップ

快適且つセキュアな環境の実現を支援いたします

NTTデータルウィーブはCisco製品取扱いの歴史が長く、Ciscoゴールド認定パートナーとして、多数の実績、ノウハウを有しています。
お客様のニーズに合わせ、提案から導入まで一気通貫で行います。

Cisco Umbrella

Cisco Umbrella

  • 新しい境界防御
  • SWG / CASB / リスク分析
Cisco Duo

Cisco Duo

  • 多要素認証
  • MFA / SSO / 端末識別
Cisco Secure Endpoint

Cisco Secure Endpoint

  • 端末脅威防御
  • EPP / EDR / 脅威リサーチ

ご相談・お問い合わせはこちらから

Cisco Secure Endpointの導入に関するご質問・ご相談はお気軽にお問い合わせください。

当社はCisco Systems ゴールド認定パートナーです。
サービスについて気になったことや相談したいことがございましたら是非お気軽にご相談・お問い合わせください。

イメージ画像

トライアルのお申し込み

「Cisco Secure Endpointを今すぐ試してみたい!」方へ。
当社のテスト環境で、体感していただくことが可能です。

トライアルお申し込みフォーム

ご相談・お問い合わせ

サービスに関するご質問・ご相談は
下記フォームよりお気軽にお問い合わせください。

ご相談・お問合せ

※ お客様の情報を安全にお預かりするため、暗号化技術SSLを利用しています。