エンドポイント向け Cisco AMP （高度なマルウェア防御）

At-A-Glance
エンドポイント向け Cisco AMP
（高度なマルウェア防御）
エンドポイント向け Cisco AMP（高度なマルウェア防御）は、
攻撃の一連のサイクル（攻
撃前、攻撃中、攻撃後）をカバーする、唯一の高度なマルウェア防御システムです。シ
スコのレトロスペクティブセキュリティ機能をサポートする、継続的かつ高度な分析を
提供します。レトロスペクティブセキュリティとは、過去にさかのぼって、プロセス、
ファイルアクティビティ、および通信をトレースする機能です。これにより、感染の全
体像を把握して根本原因を明らかにし、修復を実行できるようになります。イベントト
リガー、ファイル要素の変更、侵害の痕跡（IoC）トリガーなど、侵入の痕跡が見られた
ときに、レトロスペクティブセキュリティの必要性が生じます。セキュリティマネー
ジャは、レトロスペクティブセキュリティを使用して、過去の時点にさかのぼってシス
テム内の脅威を調査できます。セキュリティ専門家は、侵害が発生したときに、レトロ
スペクション、攻撃チェーンコリレーション、動作における IoC、トラジェクトリ（感
染経路追跡）
、ブリーチハンティングなどのツールを使用して、範囲を特定して可視化し、
制御することができます。セキュリティチームはこれらの機能を活用して、手遅れにな
る前に、迅速かつ効果的にすべての脅威に対処して修復できるようになります。
エンドポイント向け Cisco AMP には、レトロスペクティブセキュリティの他に、次の
ような主要機能があります。
• 継続的な分析：エンドポイント向け AMP は、クラウドベースのビッグデータ分析
を使用し、長期間かけて収集された新旧のデータを絶えず再評価して、ステルス攻撃
を検出します。これは、ポイントインタイム検出にはない機能です。
• アウトブレイク制御：エンドポイント向け AMP には、過去および将来の脅威に対し、
エンドポイント全体で疑わしいファイルを検出して制御する機能があります。アウ
トブレイク制御は、環境内でのマルウェアの拡散を迅速に防ぐための重要な機能の 1
つです。
• IoC：エンドポイント向け AMP は、複数のソースからのイベントデータ（侵入イベン
トとマルウェアイベントなど）を相互に関連付けます。これにより、
セキュリティチー
ムは、より大きく組織的な攻撃にイベントを結び付けることができるようになります。
ポイントインタイム検出単独の場合の欠点
ポイントインタイム検出単独では、100 % の効果は望めません。検出を回避して環境を
危険にさらすには、たった 1 つの脅威で十分です。巧妙な攻撃者は、標的型でコンテキ
スト認識型のマルウェアを使用します。また、ポイントインタイム防御を出し抜いて任
意の組織を危険にさらすためのリソース、技能、そして粘り強さを持っています。さら
に、ポイントインタイム検出は、脅威が発生した後では、どこまで侵害されているのか
認識できません。
図1. ポイントインタイム防御と継続的な防御の比較
攻撃前
攻撃後
攻撃中
ポイントインタイム
継続的
エンドポイント向けAMPの追加機能
エンドポイント向け AMP では、次の機能も提供されます。
• ファイルレピュテーション：高度な分析と集約されたインテリジェンスによって、
クリーンなファイルなのか、それとも悪意のあるファイルなのかが判断され、検出の
精度が向上します。
• ファイル分析とサンドボックス：非常にセキュアな環境でマルウェアを実行して分析
し、その動作をテストできます。これは、未知のゼロデイ脅威の検出に役立ちます。
• ファイルトラジェクトリ（感染経路追跡）
：環境における経時的なファイル伝播の経路
を追跡します。これにより、マルウェア侵害の調査に必要な時間が最小限になります。
• デバイストラジェクトリ（感染経路追跡）：システムレベルの経時的なアクティビ
ティと通信を追跡します。これにより、根本原因だけでなく、侵害までのイベントと
侵害後の履歴を迅速に把握できるようになります。
• 柔軟な検索：ファイル、テレメトリ、および集約されたセキュリティインテリジェ
ンスの境界を気にすることなく、すべてに対して簡単に検索を実行できます。これは、
危険にさらされたコンテキストと範囲を、IoC または悪意のあるアプリケーションに
結び付ける際に役立ちます。
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco ロゴは、シスコまたはその関連会社の米国およびその他の国における商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご確認いただけます。掲載されている
第三者の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
At-A-Glance
利点
エンドポイント向け Cisco AMP には次のような利点があります。
• ポイントインタイムを超えた防御：エンドポイント向け AMP では、従来の検出にレ
トロスペクティブセキュリティアプローチを採用しています。これにより、ポイン
トインタイム機能を超えた、より効果的で効率のよい、広範囲の防御が可能になって
います。
• 攻撃チェーンの可視化：エンドポイント向け AMP には、レトロスペクション以上の
ものを期待できます。新しいレベルのインテリジェンス、連携が導入されています。
また、さまざまな形態のレトロスペクションを、リアルタイム分析で得られる一連の
アクティビティに関連付ける機能もあります。さらに、個々のエンドポイント、また
はエンドポイントが存在する環境全体にわたって悪意のある動作パターンを見つけ
出すことができます。
• 高度な分析：エンドポイント向け AMP には、自動化された高度な動作検出機能が備
わっています。これは、侵害およびリスクのある上位領域について、優先順位を付け
て並べたビューを提供します。
• 受動的な調査から能動的な調査への移行：エンドポイント向け AMP の調査アクティ
ビティは、事実と手がかりを探すレベルを超え、マルウェア検出や動作における IoC
などの実際のイベントに基づき、集中的に侵害を探し出すレベルに達しています。
• シンプル化された封じ込め：エンドポイント向け AMP では、イベントのチェーンが
可視化され、ダッシュボードとトラジェクトリビューを補完するコンテキストが提
供されます。エンドポイント向け AMP を使用すれば、特定のアプリケーション、ファ
イル、マルウェア、その他の根本原因をターゲットにすることができ、迅速かつ簡単
に攻撃チェーンを壊すことができます。
• コンテキストに応じた実用的なダッシュボード：イベントの列挙や集約だけのレポー
トではありません。エンドポイント向け AMP のレポート機能には、実用的なダッシュ
ボード、およびビジネスとの関連性とリスクという視点から見た影響を示すトレンド
が含まれています。
集約されたセキュリティインテリジェンス
Cisco SIO の集約されたセキュリティインテリジェンス、および Sourcefire の脆弱性
調査チーム（VRT）は、リアルタイムの脅威インテリジェンスの膨大なコレクションと
なっています（Sourcefire は現在シスコの一部です）。このコレクションには、世界中に
分散された 160 万のセンサーが含まれています。シスコは、1 日あたり 100 TB のデー
タおよび 180,000 のファイルを受信しています。また、世界中の E メールトラフィッ
クの 35 % を監視する能力があります。600 名を超えるエンジニア、技術者、および研
究者が、40 を超える言語で 365 日 24 時間体制で活動しています。これらのスタッフ
は、情報を分析することに加えて、公開および非公開で脅威に関するフィードを提供し
ています。また、Sourcefire Awareness, Education, Guidance, and Intelligence Sharing
（AEGIS）プログラムへの参加に加え、FireAMP ™、Snort、および ClamAV コミュニティ
との継続的な交流も、脅威インテリジェンスおよび修復のベストプラクティスの共有
に役立っています。シスコには、将来の攻撃に対する防御体制が整っています。
シスコが選ばれる理由
シスコには、統合された高度マルウェア防御ソリューションの幅広いポートフォリオが
あります。継続的な可視性と制御をお客様に提供し、攻撃の一連のサイクル（攻撃前、
攻撃中、攻撃後）を通じ、ネットワーク全体でマルウェアを無効化します。AMP は、
Cisco E メールセキュリティおよび Cisco Web セキュリティ、FirePOWER® ネットワー
クセキュリティアプライアンス、モバイルシステムおよび仮想システム、PC のエン
ドポイント保護を包括する統合機能として使用できます。また、柔軟な導入オプション
を備え、広い範囲をカバーして、攻撃の侵入経路を閉ざします。
次のステップ
詳細については、Cisco AMP のホームページを参照してください。また、シスコの販
売担当者、チャネルパートナー、システムエンジニアが、お客様の環境でシスコ製品
からどのようなメリットを得られるかを評価するお手伝いをいたします。
• 密接に統合されたプラットフォーム：AMP は、Cisco E メールセキュリティおよび
Cisco Web セキュリティソリューション上で、簡単にアクティブ化できます。可視
性と制御を向上させるために、AMP を専用ネットワークアプライアンスとしてイン
ラインで導入することも、軽量コネクタとしてエンドポイントに導入することもでき
ます。
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco ロゴは、シスコまたはその関連会社の米国およびその他の国における商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご確認いただけます。掲載されている
第三者の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
C45-731874-00 05/14

Download Report