PDFダウンロード

防御、検知、復旧、適応の総合力で差がつく
脅威対策ライフサイクル指向のエンドポイント対策
課題 1
課題 2
課題 3
ダイナミックな IT 環境に
攻撃兆候の把握と
限られた人員で
対する巧妙な攻撃を防御
素早い対応開始
迅速な復旧まで実現
全ての組織は、際限なく巧妙化する脅威に、極めて限られたリソースで対抗しなければならないという宿命があります。一方で攻撃者は研究熱
心で新しい手法を短期間で開発し、変更を繰り返すことができます。攻撃者に有利な状況ですが、セキュリティ戦略やテクノロジーも日々進化し
ています。防御だけに注力するだけでなく、検知や復旧など脅威対策のライフサイクル全体を考慮した対策や自動化の積極的な活用もその一つ
です。
エンドポイントのセキュリティ対策も進化を続けています。脅威情報を素早く共有し最大限活用したり、機械学習など新しいテクノロジーにより防
御を高めたり、検知や復旧までをワークフローとして最適化できる対策もあります。限られたリソースでも継続的な強化が行える脅威対策ライフ
サイクルの構築がエンドポイントの対策においても重要性を増しています。
多段で展開される巧妙な脅威に、防御、検知、復旧、そして適応の脅威対策ライフサイクルで対抗
攻撃ステージ
攻撃ツールを準備
プログラムの実行
武器化
攻撃に有利な制御獲得
エクスプロイト
回復の長期化
権限昇格
被害の拡大
偵察
配備
C&C
継続的活動
攻撃対象組織の調査
配置システム内で展開
攻撃の遠隔制御
潜伏と長期にわたる活動
先行活動
攻撃初期活動
防御
tect（防御）
Pro
継続的な攻撃活動
シグネチャレスを含む複数の防御技術の活用
防御の強化には未知の攻撃に強い検知技術の活用や、組織内で
把握した脅威を素早く防御に反映する仕組みが有効です。
可視化の向上
旧
）
検知）
c t（
a p t（適応
情報を集約し組織内のリスク状況の把握が必要で
す。また、各エンドポイントの詳細な状況把握力を備
えると運用負担と被害を最小化することができます。
te
c t（
Ad
）
Corre
復
検知
De
自動化の促進と運用フローの効率化
復旧
一次対応に必要なアクションが迅速に行えれば、
被害対象のエンドポイントを限定し、運用負担
を大きく軽減できます。
知見と洞察を素早く反映し継続的に強化
適応
日々変化を続ける脅威に対抗するには、防御、検知、復旧の総合力が重要です。それぞれの
フェーズで得られる貴重な情報を素早く適応できる仕組みの有無が、限られた人員で効果
的に対応できるかの決め手になります。
実行前だけでなく実行開始後も考慮した対策
シグネチャやレピュテーションを代表とするブラックリストやホワイトリストは、リスクが高いものや、リスクが低いものを効率よく判断するのに適して
います。これまではブラック以外は許可、もしくはホワイト以外は禁止という判断が主流でした。
脅威が巧妙化し未知の脅威に対応するには実行前のより詳細な検査や、実行後も視野に入れた対策が必要です。
グローバル及びローカルの
定義ファイルやレピュテーション
実行状況を記録
詳細解析と一次対応自動化
Threat Intelligence
Exchange（TIE)
Advanced Threat Defense と
TIE の連携
アプリケーション実行状況を記録し
実行前
サンドボックスで振る舞いを検査し
素早い対応の準備
ブラックリスト
ホワイトリスト
実行
リスクが高い時は一次対応を自動実行
実行後
機械学習型マルウェア対策　Real Protect
ファイルの静的情報を継続的に学習し、
学習情報とファイルを比較して実行可否を判断
アプリケーションの振る舞いの学習と監視を
行い、リスクが高い振る舞い時は動作を停止
アプリケーションの動作制限
Dynamic Application Containment
リスクが不明な場合はアプリケーションの
動作を制限し、システムへの悪影響を阻止
兆候把握・調査・アクションを迅速に行えるプロセス
防御の最大化は重要ですが、完璧な防御が困難です。防御できなかった時に備えた運用プロセスの確立が重要です。運用者は兆候を把握できるか？
調査を迅速に行えるか？、特に重要な一次対応のアクションを素早く実施できるか？が被害の大きさに直接影響します。
状況と兆候把握
●
●
未知のファイル数や振る舞い分析等でリス
クが高、中、低に分類された数
該当ファイルの発生数や該当端末数のト
レンド把握
確認
●
特定ファイルや特定端末の調査
●
特定ファイル分析結果の詳細確認
●
特定端末内の事象タイムラインの詳細確認
アクション
●
ファイルの削除やプロセス停止など一次対
応をメニューから選択して素早く実行
●
特定事象発生時のトラップの設定
限られた人員でより多くの脅威に対応
運用が複雑になれば対応できる範囲が限定的になるだけでなく、クリティカルな状況ではプレッシャーからミスも多くなります。様々なテクノロジーを
統合できる基盤があれば必要な機能を柔軟に選択したり、運用の自動化を積極的に促進できます。運用効率化を超えて、革新的な運用プロセスの
確立により劇的な対応スピードの向上と被害の最小化、そして運用負担の軽減をもたらします。
従来のアプローチ
インテルセキュリティのアプローチ
統合基盤で選択＋連携
ウイルス対策
A社
ホワイトリスト
ばらまき型の攻撃
Webフィルタ
F社
連携を促進し
防御や一次対応を
ブラックリスト
実行される前に阻止
最大限自動化
グローバルレピュテーション
脆弱性保護
次世代
ホワイトリスト
E社
マルウェア対策
B社
組織内インテリジェンス
一次対応を自動化して
運用負担を大幅に軽減
新しいテクノロジーや
EDR の活用による
運用の革新
機械学習（ファイルの特徴）
次の次世代
マルウェア対策
EDR（検知＆対応）
G社
サンドボックス
高度な攻撃
C社
D社
標的型攻撃
機械学習（振る舞いの特徴）
迅速な検知と調査により
被害を最小化
アプリケーション封じ込め
?
!
?
インテルセキュリティの調査を基にした自動化を促進した際の対応と時間の効果例
●
組織内で
調査
●
ベンダーに
調査依頼
●
調査結果の
連絡
対応手段
（定義ファイル）入手
●
●
組織内のシステムに配備完了
※不審ファイルの実行禁止処置完了
●
組織内全端末の
フルスキャン完了による
影響確認
不審ファイル
3
時間
7分
4
時間
8
時間
●
不審ファイルの分析
●
感染システムの特定
●
感染システムの一次対応
14
時間
24
時間
数日
脅威の進化に対応できる対策基盤の確立
自動化の促進、対応スピードの向上と運用負担軽減の実現は、多くの組織で課題になっている属人化からの脱却にも効果があります。さらに、運用
者は最も重要な事に集中することで、継続的なセキュリティレベルの向上にリソースを投入することができるようになります。
これからの対策は防御、検知、復旧に加え、各フェースで得た洞察を効果的に、しかも素早く脅威対策ライフサイクルにフィードバックし適応を繰り返
すことで、結果的に防御力も大きく向上します。
従来の脅威対策
脅威の展開時間
検知までの時間
復旧時間
インテルセキュリティの脅威対策
Detect
Correct
Protect
Adapt
進化する脅威に柔軟に対応するエンドポイント対策基盤
Global Threat
Intelligence
GTI
Global Threat Intelligence
世界から集めたインテリジェンスを活用
McAfee Threat
Intelligence Exchange
脅威情報を即座に共有し被害と
運用負荷を最小化
McAfee Active Response
情報集約により、脅威の予兆把握
組織内のインテリジェンス活用
から迅速なインシデント対応まで
の運用プロセス実現
McAfee Advanced
Threat Defense
サンドボックスを含む高性能解析
McAfee Enterprise
Security Manager
エンジンを組織内で共有
大規模組織では SIEM との連携運用も可能
McAfee Endpoint Security 10
セキュリティ運用を劇的に向上させるだけでなく、新しい脅威に対抗する柔軟性を備えたエンドポイントの対策
マカフィー株式会社
www.mcafee.com/jp
東京本社
〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F
西日本支店
〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F
名古屋営業所〒450-0002 愛知県名古屋市中村区名駅4-6-17 名古屋ビルディング13F
福岡営業所
〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F
TEL：03-5428-1100（代） FAX：03-5428-1480
TEL：06-6344-1511（代） FAX：06-6344-1517
TEL：052-551-6233（代） FAX：052-551-6236
TEL：092-287-9674（代）
Intel と Intel および McAfee のロゴ、マカフィーは、米国およびその他の国における Intel Corporation または McAfee の商標です。● 本書中のその他の登録商標及び
商標はそれぞれその所有者に帰属します。©2016 Intel Corporation ● 製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。
●
製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。
MCAST-TDLEndpoint-1611-GRP

Download Report