FAQ

yaraiによる防御とEDRについて

最終更新日:2022/12/14

目次

EDRとは?
EDRに求められる機能
 フェーズ1:脅威の「検出」
 フェーズ2:脅威の「封じ込め」
 フェーズ3:脅威の「調査」
 フェーズ4:脅威からの「復旧」
yaraiは純国産セキュリティ製品
yarai+EDRの特徴

EDRとは?

「EDR(Endpoint Detection and Response)」とは、組織内のマシン(Endpoint)に侵入したマルウェアやランサムウェアなどのセキュリティ的な脅威(サイバー攻撃/標的型攻撃)を検出するシステムのことを指します。

昨今の脅威の高度化/複雑化やリモートワークの普及などにより、侵入を完全に防ぐことが難しくなっています。そのため、よりアグレッシブに脅威を検出する製品/機能が重要になっています。
また、「機密情報が存在する場所」「マルウェアが実際に活動する場所」である「Endpoint」は、攻撃・防御両方の側面で最も重要なポイントとなります。

上記のような背景から、EDRには、万が一侵入された場合に備えて、侵入された脅威をよりアグレッシブに検出する機能や、事後対応(インシデント対応/インシデントレスポンス)のサポートを行う機能が求められています。

EDRに求められる機能

インシデントに対応するため、一般的に、EDRには「検出 → 封じ込め → 調査 → 復旧」の各フェーズに対応した機能が求められます。
弊社yaraiとAMCでは、標準でそれぞれのフェーズに対応した多数の機能があります。

※以降、「yarai」は「エンドポイント/端末を防御するクライアント」、「AMC」は「yaraiの管理コンソール」と同義とします。

✔ 情報
  • 弊社yaraiおよびAMCの全体概要については、こちらの弊社製品ページをご参照ください。
  • yarai/AMC v3.5.0にて、EDR機能は大幅に拡充されています。本ページでは、それ以降のバージョンをご利用いただいていることを前提とします。

以降、各フェーズへの弊社製品の対応について、記載させていただきます。

フェーズ1:脅威の「検出」

5つの振る舞い検出エンジンによる「先読み防御」

パターンファイルに依存せず未知の脅威を「先読み防御」

例えば、以下のように、防御エンジンのリリース時点では未知の脅威を、「先読み防御」により防御した実績が多数あります。

これが実現できるのは、脅威を確認してから防御機能(パターンファイルの作成など)を実装しているのではなく、「先読み防御」を実装しているためとなります。

脅威の名称 発生報道時期 防御エンジンのリリース時期
Emotet:2022年11月版 2022/11 2021/10
(※約1年前)
Emotet:2022年6月版 2022/6 2021/5
(※約1年前)
ランサムウェア:RobinHood 2022/3 2019/1
(※約3年前)
ランサムウェア:LockBit 2022/6 2019/11
(※約2年前)
ランサムウェア:Conti 2022/2 2019/1
(※約3年前)
ランサムウェア:Ragnar Locker 2020/11 2018/2
(※約2年前)
東京オリンピックに関係する日本語のファイル名をもつマルウェア 2021/7 2019/1
(※約2年前)

※上記以外にも、多数の検出実績があります。そのごく一部とはなりますが、「マルウェア検出速報」として随時公開しています。

巧妙化/複雑化していく脅威を「多層防御」

端末内のアクティビティをリアルタイムで監視/解析

さらにリアルタイムな脅威に対応する

脅威インテリジェンスを利用した「クラウド連携機能」により、製品やエンジンのアップデートを行わずに、リアルタイムに検出精度の向上(新たな脅威やマルウェアへの対応など)が可能となります。機能の詳細については、こちらのFAQも併せてご参照ください。

また、脅威インテリジェンスを利用した「検体自動判定機能」により、検出した脅威の自動判定を行うことも可能であり、より迅速に脅威に対応することが可能となります。

マルチエンドポイントセキュリティによる「ハイブリッド防御」

端末内/組織内に潜む脅威をハンティング

端末内/組織内に潜む脅威をハンティングすることが可能です。機能の詳細については、こちらのFAQも併せてご参照ください。

また、検出したファイルの駆除や、端末をネットワークから隔離するなど、インシデント対応も可能です。

監視モード/ブロックモードの切り替えによる柔軟な運用

不審なアクティビティを管理者に通知/外部連携

標準機能として、メール通知とsyslog通知機能のご用意があります。また、任意の外部プログラムを実行することも可能であり、外部プログラム向けのガイド資料のご用意もあります。

フェーズ2:脅威の「封じ込め」

不審なアクティビティをブロックして封じ込め

上述「フェーズ1:脅威の「検出」」の各機能により実現が可能です。

端末を隔離して横展開を防止

端末をネットワークから隔離することが可能です。

検出された脅威を安全に駆除

「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。

他社ウイルス対策ソフトのパターンファイルの更新

パターンマッチング型の他社ウイルス対策ソフトをご利用の場合、最新の脅威に対抗するためには、一般的にパターンファイルを最新版に更新する必要があります。

yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、管理コンソールから命令配布(シグネチャーアップデート)することが可能です。連携機能の詳細については、こちらのFAQをご参照ください。

フェーズ3:脅威の「調査」

検出された脅威のアクティビティの可視化

AMCの管理コンソール画面から視覚的に確認が可能です。

■ サンプル画面1




■ サンプル画面2

検出された脅威の実体(検体ファイル)やログの自動収集

検出時に自動収集され、AMCの管理コンソール画面から安全な状態でダウンロードすることが可能です。また、そのまま弊社へ脅威判定を依頼することも可能です。

脅威の自動判定

「検体自動判定機能」により脅威の自動判定を行うことが可能です。機能の詳細については、こちらのFAQも併せてご参照ください。

弊社専門チームによる脅威判定のサポート

上述の通り、自動判定することも可能ですが、別途、弊社へ手動でお問い合わせいただくことも可能です。弊社専門チームにより、解析と判定を行わせていただきます。

端末の詳細なログ情報のリモート収集

AMCの管理コンソール画面から収集命令の配布とダウンロードが可能です。遠隔地のトラブルシューティングなど、オンサイトでの作業が難しい場合に役立ちます。

組織内に潜む脅威をハンティングして横展開を防止

上述「端末内/組織内に潜む脅威をハンティング」の機能により、個別の端末のみではなく、組織内に潜む脅威のハンティングも可能です。

フェーズ4:脅威からの「復旧」

検出された脅威を安全に駆除

「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。

マルウェアが与えた影響を可能な限り修復

「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。

yaraiのフルスキャンの実行

念のため端末内に残存したマルウェアを駆除する目的などのため、yaraiでフルスキャンを実行することも可能です。管理コンソールからリモート実行することも可能ですが、yaraiクライアント側の画面から実行することも可能です。

他社ウイルス対策ソフトのパターンファイルの更新/フルスキャンの実行

パターンマッチング型の他社ウイルス対策ソフトをご利用の場合、最新の脅威に対抗するためには、一般的にパターンファイルを最新版に更新する必要があります。そのため、フルスキャンを実行する前に、パターンファイルを最新版に更新することが必要です。

yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、管理コンソールから両方の命令配布(シグネチャーアップデート/フルスキャン)することが可能です。連携機能の詳細については、こちらのFAQをご参照ください。

yaraiは純国産セキュリティ製品

yaraiは純国産のセキュリティ製品です。研究/開発/サポートなど、製品に関するエンジニアは日本国内に常駐しています。


yarai+EDRの特徴

提供形態/利用形態

  • クラウド環境やオンプレミス環境などの選択肢があるか
    あります。
    クラウド環境(サーバーのご用意や管理が不要)とオンプレミス環境の何れでも構築可能です。
    提供形態については、こちらの弊社製品ページも併せてご参照ください。
    ※AMCサーバー/管理コンソールが無い形態でもご利用は可能ですが、使用できる機能に制限があるため、特定の環境や端末に限定したご利用を推奨します。

  • 完全なクローズド/オフライン環境でも利用できるか
    可能です。
    ※一部の機能(クラウド連携や検体自動判定システムなど)が使用できない場合がありますが、殆どの機能が使用可能です。

  • 小~中規模環境でも利用できるか
    可能です。
    ご利用の環境や規模に応じたシステム構成および要件のガイド資料のご用意もあります。また、クラウド環境(サーバーのご用意や管理が不要)のご用意もあります。

  • 大規模環境でも利用できるか
    可能です。
    大規模環境向けのシステム構成および要件のガイド資料のご用意もあります。

コスト

  • 低コストで導入/運用が可能か
    可能です。
    可能な限り、セキュリティやインシデントの専門知識を持った人材が不在でも運用可能とするため、シンプルな構成と分かりやすい機能となっています。
    また、yaraiは基本ライセンスで全ての機能が使用可能です。

  • EDRに追加費用は必要か
    不要です。
    yaraiの基本ライセンスで使用可能です。

  • その他の機能(連携機能や脅威判定など)に追加費用は必要か
    不要です。
    yaraiの基本ライセンスで使用可能です。

導入/運用

  • ホワイトリスト(例外リスト)の作成は可能か
    可能です。
    ホワイトリスト(例外リスト)の詳細については、こちらのFAQも併せてご参照ください。

  • 特定の機能を無効にして運用することは可能か
    可能です。

  • 監視モード(非ブロック)で運用することは可能か
    可能です。
    yaraiの検出時の動作として、「ブロックモード」と「監視モード(非ブロック=ログ出力モード)」があります。例えば、評価期間のみ利用する、特定の拠点や端末のみ利用する、特定のエンジンのみ利用するなど、柔軟な運用が可能です。

  • 管理コンソールやクライアントのインストールは簡単にできるか
    可能です。
    yaraiの管理コンソール(AMC)はシンプルな構成のため、殆どの環境では、簡単な手順で対応が可能です。
    yaraiクライアントについては、標準インストーラーによるGUIベースのインストール、インストール情報を埋め込んだカスタムしたインストーラーの作成、サイレントインストールなど、ご利用の環境に応じて様々なインストール方法のご用意があります。
    設計・構築・運用に役立つガイド資料やパラメーターシートのご用意もあります。

  • 管理コンソールやクライアントのアップデートは簡単にできるか
    可能です。
    yaraiの管理コンソール(AMC)はシンプルな構成のため、殆どの環境では、簡単な手順で対応が可能です。
    yaraiクライアントについては、標準インストーラーによるGUIベースのアップデート、管理コンソールからのリモート配信、サイレントアップデートなど、ご利用の環境に応じて様々なアップデート方法のご用意があります。
    アップデートの流れについては、こちらのFAQも併せてご参照ください。

  • 管理コンソールのバックアップ/復元、または移行/リプレースは簡単にできるか
    可能です。
    yaraiの管理コンソール(AMC)はシンプルな構成のため、殆どの環境では、簡単な手順で対応が可能です。
    作業の流れについては、こちらのFAQも併せてご参照ください。

  • 管理者へ通知することは可能か/他システムと連携することは可能か
    可能です。
    標準機能として、メール通知とsyslog通知機能のご用意があります。また、任意の外部プログラムを実行することも可能であり、外部プログラム向けのガイド資料のご用意もあります。

他社ウイルス対策ソフトとの併用/同居による強化

  • 既存の他社ウイルス対策ソフトとの同居は可能か
    可能です。
    多数の他社ウイルス対策ソフトと同居が可能であり、弊社側で動作検証も行っています。対応している製品についてはシステム要件をご参照ください。
    同居可能な製品例)Microsoft Defender、Trend Micro Apex One、ウイルスバスター、Symantec、McAfee、ESET、その他多数
    ※対応している製品やバージョンやエディションなどに制限がある場合や、別途同居に必要な設定や制限事項が存在する場合があります。正確な情報については、必ず事前に最新版のシステム要件をご参照ください。

  • OS標準/無償のMicrosoft Defenderとの同居や連携は可能か
    可能です。
    Microsoft Defenderとの連携機能もあり、管理機能も付属しています。連携機能の詳細については、こちらのFAQをご参照ください。

  • 有償のMicrosoft Defenderサービス(Microsoft Defender for Endpoint)との同居は可能か
    可能です。
    ※正確な情報については、必ず事前に最新版のシステム要件をご参照ください。

サポート

  • 日本国内に特化したサポートは可能か
    可能です。
    yaraiは純国産のセキュリティ製品です。製品開発およびサポートに関するチームも日本国内に常駐しています。そのため、日本国内向けのスピーディかつきめ細やかなサポートが可能です。

  • 脅威が検出された場合に判定を依頼することは可能か
    可能です。
    自動判定することも可能ですが、別途、弊社へ手動でお問い合わせいただくことも可能です。弊社専門チームにより、解析と判定を行わせていただきます。

実績/評価

  • 導入実績はあるか
    あります。
    純国産のセキュリティ製品として、国内の行政、民間問わず、多数のユーザ様にご利用いだいている実績があります。また、多数の販売店で取り扱っています。
    導入実績については、こちらの弊社製品ページも併せてご参照ください。
    販売店については、こちらの弊社製品ページも併せてご参照ください。

  • 検出実績はあるか
    あります。
    多数の検出実績があります。そのごく一部とはなりますが、「マルウェア検出速報」として随時公開しています。

  • 評価/テスト用のマルウェアはあるか
    あります。
    基本的な検出機能を確認できるよう、複数のテストマルウェアのご用意があります。

  • 評価用のライセンスはあるか
    あります。

その他

上記以外にも、多数の機能が存在します。詳細については、販売店までお問い合わせください。
また、各バージョンで追加された新機能については、こちらのFAQをご参照ください。

この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop