〇 増え続けるセキュリティ対策費用:コスパを高めるEPP+EDR統合の極意。
増え続けるセキュリティ対策コストが企業の課題に。
業務システムを導入する際、コストの上限を設けて検討するのは当然のことだ。だが、セキュリティ対策の場合はやや事情が異なる。前提として、目の前に迫るリスクを無視はできない上、「これだけ投資すれば完璧だ」という基準がない。そのため、どうしてもソリューションの追加導入が続き、コストが膨らみがちになってしまうのだ。
また、運用にもコストがかかる。たとえば、昨今の対策の主軸であるEDR(Endpoint Detection and Response)の効果を引き出すには、継続的なログ監視と対策改善のPDCAサイクルを回すことが肝心だ。社内の人材だけでそのための体制を構築することは容易ではないため、新たに人材を獲得したり、外部のSOCサービスを利用したりする必要が生じる。そのための費用もセキュリティ対策の投資としてカウントする必要があるだろう。
つまりソリューション導入に加えて、人材育成やアウトソースにかかる費用も広義のセキュリティ対策コストといえるのだ。このように、増え続けるセキュリティ対策コストが今、多くの企業の課題となっている。
この課題を解決するには、場当たり的なソリューション導入を見直し、より戦略的に対策を考えていくことが重要だ。その際のアプローチの1つといえるのが、脅威の侵入を水際で防ぐEPP(Endpoint Protection Platform)と、事後対処を担うEDR(Endpoint Detection & Response)、両方の機能を具備した統合型ソリューションを採用することである。
これにより、ソリューションの導入・運用をまとめられるだけでなく、機能連携などの統合型ならではのメリットも享受できる。セキュリティコストを抑制しつつ、より高度なセキュリティ対策を具現化できるようになるのである。その具体的な方法と効果について、次ページで紹介する。
必要十分な対策を実現する4つの機能を統合的に提供。
実際、エンドポイントセキュリティの重要性は理解していても、コストの確保で四苦八苦しているIT担当者は少なくないだろう。これについてSB C&Sの山田 尊則氏は次のように話す。
「コスト増に悩むお客さまに向けて、当社がお勧めしているのがシマンテックのエンドポイントセキュリティ製品です。お客さまの利用環境に合った必要十分なセキュリティ対策を、統合的、かつ導入しやすいコストで実施することが可能です」
必要な対策の内容とコストのバランスを、個々の企業側で考えることは簡単ではない。その点、シマンテックのソリューションであれば、必要十分な環境がワンパッケージで提供される。難しく考えずともコスト最適化とセキュリティ強化を両立できるという。
そのソリューションが「SESC(正式名称:Symantec Endpoint Security Complete)」である。ウイルス対策をはじめとするEPPとEDR、スマートフォン/タブレットなどを守るモバイル脅威対策、先進技術を適用した高度な保護機能などを統合したソリューションだ(図1)。
EPPとEDRをまとめて1つの管理画面で確認可能。
まずEPP領域を担うのが、既に多くの企業で導入・活用されているEPPソリューション「SESE(正式名称:Symantec Endpoint Security Enterprise)」である。パターンマッチングに基づく既知のマルウェア対策のほか、機械学習、振る舞い検知などの技術を用いて未知のマルウェアを検知するNGAV(次世代アンチウイルス)機能も実装。さらに、マルウェアの侵入検知と防御を行うIDS/IPS、モバイル脅威対策、USBメモリなどのデバイス制御機能なども備えており、エンドポイントを脅威から保護する。
そしてEDRは、デバイスなどの個々の防御ポイントを監視して脅威を検出するとともに、組織への影響度を加味したアラートによって迅速な対応を促す。さらに、機械学習とセキュリティ専門家の2軸による調査・分析で、組織内の脅威をプロアクティブに見つけ出す「脅威ハンティング」にも対応。簡単には検出できない巧妙なサイバー攻撃にも対処できる点が特徴だ。
「必要十分な対策を個別に揃えていくと、導入/運用コストが割高になります。たとえば、インシデント発生時にはそれぞれの製品がアラートを発しますが、担当者はそれらが同じインシデントなのか、別のインシデントなのかから判断しなければいけません。多くの手間がかかる上、対応が遅れてリスクを拡大させてしまう可能性があるでしょう」とSB C&Sの岸野 高之氏は語る。
その点SESCでは単一の管理画面でログを確認できる(図2)。各機能の連携に基づき、アラート自体もあらかじめ整理されるため、運用工数の削減や対応スピードアップにつなげることができるだろう。コストも、個別導入との比較で4分の1程度に圧縮することが可能だという。
先進的な防御機能で高度な攻撃もいち早く検知。
加えてSESCは、EPP+EDR以外に、より先進的なセキュリティ機能にも対応している。一例がXDR(Extended Detection and Response)だ。侵入後の脅威に対する事後対処を、エンドポイント以外のネットワークやクラウドワークロードなどへと拡張して適用する。
「XDRはEDRの次の一手として注目される機能です。ほかにも、セキュリティの世界では次々と新しい機能への対応が必要になりますが、それらにもAPIなどで対応することが可能です」と岸野氏は言う。
大量のダミー情報を紛れ込ませてActive Directoryの管理者情報を守る「Active Directory脅威保護(TDAD)」や、企業ごとに合う防御ポリシーをAIが提案してくれる「Adaptive Protection(適応型保護)」などの先進機能も備える。これらの機能は、シマンテック特有の機能であり、特に優位性のある要素だ。既にEPPとEDRは導入済みだという企業も、SESCに置き換えることでコスト削減と防御強化、運用負荷低減を実現することができるはずだ。
「EPPでしっかり防御することで、あとのプロセスに残る脅威を減らせます。対応すべきインシデントの絞り込みや、対策のブラッシュアップといった取り組みにつなぐことも容易になるでしょう。コスト増に加え、人材不足も多くのIT部門が抱える課題といえます。必要な作業を減らすことで、対策のコストパフォーマンスを高めることができます。コストや導入方法について、まずは気軽にご相談いただければと思います」と山田氏は述べる。
事前のトライアルによって、インシデントのアラートがどのくらい減らせるのかを確認することも可能だという。投資はなるべく抑えつつ、防御力を高めたい企業にとって、SESCは検討に値するソリューションといえそうだ。
