パロアルトが「侵入後」対策――EDRの課題も解決!?

脅威の侵入を100%防ぐことは不可能――。そんな現実を前にして、「侵入後」の対策にフォーカスしたセキュリティソリューションが増えているが、パロアルトネットワークスからも登場した。日本での提供が3月23日から始まった「Magnifier」(マグニファイア)だ。

「侵入後の対策としては、主にDetection & Responce(D&R)がある」(同社シニアプロダクトマーケティングマネージャーの広瀬努氏)が、MagnifierもD&Rにカテゴライズされるソリューションだ。

攻撃者は、侵入すること自体を目的にしているわけではない。侵入後、まずは内部での活動範囲を広げ、最終的にデータを持ち出すことなどが目的である。そして、侵入から目的達成までには通常、数日から数週間、数カ月の期間を要することから、「攻撃が成功する前段階で止めてしまおうというのがD&Rだ」。

D&Rの概要
D&Rの概要

具体的には、組織内部のログを収集し、その挙動を分析。様々な脅威インテリジェンスも活用しながら、異常な挙動を検出(Detection)することで、迅速な対応(Responce)につなげる。

ただ、既存のD&Rには「多くの課題がある」と広瀬氏は指摘した。

まずはストレージの問題だ。「内部のログ情報の粒度はできるだけ細かいほうがいいが、細かくするとログのサイズが大きくなるため、ストレージのスケーラビリティが問題になる」

次は、アラートの精度の問題。よくある閾値ベースのアラートでは、本当に注意すべき脅威が大量のアラートに埋もれかねない。

さらに、「アラートが挙がった後、素早く対処するためには、情報を集める必要があるが、その点も不十分」だという。

無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。