ネットワンのMDRサービス

「マルウエア感染端末の検知・特定・隔離」は、マルウエア感染が疑われる端末を社内から見つけ出して対応するサービスだ。ユーザーの環境に応じて、米フォアスカウト・テクノロジーズの端末可視化・制御アプライアンス「ForeScoutACT」、米コアセキュリティの通信監視アプライアンス「Damballa Network Insight」、米カーボン・ブラックのEDR(エンドポイント検知・対応)ソフト「Cb Response」を取捨選択して組み合わせる。 「情報漏えい防止アクセス制御」は、複雑化するファイアウォールのルールを可視化して、マルウエア感染時の情報流出経路がないか確認するサービスだ。米アルゴセックの「Security Management Suite」を利用して、ファイアウォールやLANスイッチのルールやログを収集して不必要な経路を可視化。危険度に応じて経路をふさぐ。

次世代エンドポイントセキュリティについて

第1はセキュリティ侵害の検知と可視化です。侵害を受けたというインシデントをいち早く検知し、その侵害がどこまで広がっているのか、どのようなルートで侵害が行われたのか、これによってどのような影響が出ているのか、などの調査を支援します。そのためには、エンドポイントのイベントログを常に取得し、それらの関係性をつなぎ合わせる機能を持たなければなりません。 第2は侵害発生時の初期対応です。侵害を受けた端末の隔離、ブラックリストへの登録、マルウェアの削除、リモートからのプロセス遮断等の機能が必要です。 そして第3が再発防止の支援です。そのために使われるのが「IOCファイル」です。これは侵害を受けた端末で見つかった「侵害の痕跡(Indicator of Compromise)」を定義するファイルであり、これを作成・共有することで、同様の侵害をより短時間で検出できるようになります。

関連記事