目次
EDRとは?
EDRに求められる機能
フェーズ1:脅威の「検出」
フェーズ2:脅威の「封じ込め」
フェーズ3:脅威の「調査」
フェーズ4:脅威からの「復旧」
yaraiは純国産セキュリティ製品
yarai+EDRの特徴
EDRとは?
「EDR(Endpoint Detection and Response)」とは、組織内のマシン(Endpoint)に侵入したマルウェアやランサムウェアなどのセキュリティ的な脅威(サイバー攻撃/標的型攻撃)を検出するシステムのことを指します。
昨今の脅威の高度化/複雑化やリモートワークの普及などにより、侵入を完全に防ぐことが難しくなっています。そのため、よりアグレッシブに脅威を検出する製品/機能が重要になっています。
また、「機密情報が存在する場所」「マルウェアが実際に活動する場所」である「Endpoint」は、攻撃・防御両方の側面で最も重要なポイントとなります。
上記のような背景から、EDRには、万が一侵入された場合に備えて、侵入された脅威をよりアグレッシブに検出する機能や、事後対応(インシデント対応/インシデントレスポンス)のサポートを行う機能が求められています。
EDRに求められる機能
インシデントに対応するため、一般的に、EDRには「検出 → 封じ込め → 調査 → 復旧」の各フェーズに対応した機能が求められます。
弊社yaraiとAMCでは、標準でそれぞれのフェーズに対応した多数の機能があります。
※以降、「yarai」は「エンドポイント/端末を防御するクライアント」、「AMC」は「yaraiの管理コンソール」と同義とします。
✔ 情報
- 弊社yaraiおよびAMCの運用や事後対応(インシデント対応/インシデントレスポンス)を支援するマネージド・サービスのご用意もあります。
設定チューニングやアップデートなどの通常業務の運用支援の他、アラートの監視やレポート作成、インシデント発生時の初動対応支援など、専門人材がいない組織においても適切な製品の運用とセキュリティ体制構築が可能となるようサポートします。
詳細については、弊社サービスページ「FFRIセキュリティ マネージド・サービス」をご参照ください。
- yaraiでマルウェア(ウイルス)や脆弱性攻撃を検出した場合の一般的な対処方法(参考情報)については、こちらのFAQをご参照ください。
- 弊社yaraiおよびAMCの全体概要については、こちらの弊社製品ページをご参照ください。
- yarai/AMC v3.5.0にて、EDR機能は大幅に拡充されています。本ページでは、それ以降のバージョンをご利用いただいていることを前提とします。
以降、各フェーズへの弊社製品の対応について、記載させていただきます。
フェーズ1:脅威の「検出」
5つの振る舞い検出エンジンによる「先読み防御」
パターンファイルに依存せず未知の脅威を「先読み防御」
例えば、以下のように、防御エンジンのリリース時点では未知の脅威を、「先読み防御」により防御した実績が多数あります。
これが実現できるのは、脅威を確認してから防御機能(パターンファイルの作成など)を実装しているのではなく、「先読み防御」を実装しているためとなります。
脅威の名称 |
発生報道時期 |
防御エンジンのリリース時期 |
Emotet:2022年11月版 |
2022/11 |
2021/10 (※約1年前) |
Emotet:2022年6月版 |
2022/6 |
2021/5 (※約1年前) |
ランサムウェア:RobinHood |
2022/3 |
2019/1 (※約3年前) |
ランサムウェア:LockBit |
2022/6 |
2019/11 (※約2年前) |
ランサムウェア:Conti |
2022/2 |
2019/1 (※約3年前) |
ランサムウェア:Ragnar Locker |
2020/11 |
2018/2 (※約2年前) |
東京オリンピックに関係する日本語のファイル名をもつマルウェア |
2021/7 |
2019/1 (※約2年前) |
※上記以外にも、多数の検出実績があります。そのごく一部とはなりますが、「マルウェア検出速報」として随時公開しています。
巧妙化/複雑化していく脅威を「多層防御」
端末内のアクティビティをリアルタイムで監視/解析
さらにリアルタイムな脅威に対応する
脅威インテリジェンスを利用した「クラウド連携機能」により、製品やエンジンのアップデートを行わずに、リアルタイムに検出精度の向上(新たな脅威やマルウェアへの対応など)が可能となります。機能の詳細については、こちらのFAQも併せてご参照ください。
また、脅威インテリジェンスを利用した「検体自動判定機能」により、検出した脅威の自動判定を行うことも可能であり、より迅速に脅威に対応することが可能となります。
マルチエンドポイントセキュリティによる「ハイブリッド防御」
端末内/組織内に潜む脅威をハンティング
端末内/組織内に潜む脅威をハンティングすることが可能です。機能の詳細については、こちらのFAQも併せてご参照ください。
また、検出したファイルの駆除や、端末をネットワークから隔離するなど、インシデント対応も可能です。
監視モード/ブロックモードの切り替えによる柔軟な運用
不審なアクティビティを管理者に通知/外部連携
標準機能として、メール通知とsyslog通知機能のご用意があります。また、任意の外部プログラムを実行することも可能であり、外部プログラム向けのガイド資料のご用意もあります。
フェーズ2:脅威の「封じ込め」
不審なアクティビティをブロックして封じ込め
上述「フェーズ1:脅威の「検出」」の各機能により実現が可能です。
端末を隔離して横展開を防止
端末をネットワークから隔離することが可能です。
検出された脅威を安全に駆除
「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。
他社ウイルス対策ソフトのパターンファイルの更新
パターンマッチング型の他社ウイルス対策ソフトをご利用の場合、最新の脅威に対抗するためには、一般的にパターンファイルを最新版に更新する必要があります。
yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、管理コンソールから命令配布(シグネチャーアップデート)することが可能です。連携機能の詳細については、こちらのFAQをご参照ください。
フェーズ3:脅威の「調査」
検出された脅威のアクティビティの可視化
AMCの管理コンソール画面から視覚的に確認が可能です。
■ サンプル画面1
■ サンプル画面2
検出された脅威の実体(検体ファイル)やログの自動収集
検出時に自動収集され、AMCの管理コンソール画面から安全な状態でダウンロードすることが可能です。また、そのまま弊社へ脅威判定を依頼することも可能です。
脅威の自動判定
「検体自動判定機能」により脅威の自動判定を行うことが可能です。機能の詳細については、こちらのFAQも併せてご参照ください。
弊社専門チームによる脅威判定のサポート
上述の通り、自動判定することも可能ですが、別途、弊社へ手動でお問い合わせいただくことも可能です。弊社専門チームにより、解析と判定を行わせていただきます。
端末の詳細なログ情報のリモート収集
AMCの管理コンソール画面から収集命令の配布とダウンロードが可能です。遠隔地のトラブルシューティングなど、オンサイトでの作業が難しい場合に役立ちます。
組織内に潜む脅威をハンティングして横展開を防止
上述「端末内/組織内に潜む脅威をハンティング」の機能により、個別の端末のみではなく、組織内に潜む脅威のハンティングも可能です。
フェーズ4:脅威からの「復旧」
検出された脅威を安全に駆除
「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。
マルウェアが与えた影響を可能な限り修復
「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。
yaraiのフルスキャンの実行
念のため端末内に残存したマルウェアを駆除する目的などのため、yaraiでフルスキャンを実行することも可能です。管理コンソールからリモート実行することも可能ですが、yaraiクライアント側の画面から実行することも可能です。
他社ウイルス対策ソフトのパターンファイルの更新/フルスキャンの実行
パターンマッチング型の他社ウイルス対策ソフトをご利用の場合、最新の脅威に対抗するためには、一般的にパターンファイルを最新版に更新する必要があります。そのため、フルスキャンを実行する前に、パターンファイルを最新版に更新することが必要です。
yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、管理コンソールから両方の命令配布(シグネチャーアップデート/フルスキャン)することが可能です。連携機能の詳細については、こちらのFAQをご参照ください。
yaraiは純国産セキュリティ製品
yaraiは純国産のセキュリティ製品です。研究/開発/サポートなど、製品に関するエンジニアは日本国内に常駐しています。
yarai+EDRの特徴
提供形態/利用形態
- クラウド環境やオンプレミス環境などの選択肢があるか
あります。
クラウド環境(サーバーのご用意や管理が不要)とオンプレミス環境の何れでも構築可能です。
提供形態については、こちらの弊社製品ページも併せてご参照ください。
※AMCサーバー/管理コンソールが無い形態でもご利用は可能ですが、使用できる機能に制限があるため、特定の環境や端末に限定したご利用を推奨します。
- 完全なクローズド/オフライン環境でも利用できるか
可能です。
※一部の機能(クラウド連携や検体自動判定システムなど)が使用できない場合がありますが、殆どの機能が使用可能です。
- 小~中規模環境でも利用できるか
可能です。
ご利用の環境や規模に応じたシステム構成および要件のガイド資料のご用意もあります。また、クラウド環境(サーバーのご用意や管理が不要)のご用意もあります。
- 大規模環境でも利用できるか
可能です。
大規模環境向けのシステム構成および要件のガイド資料のご用意もあります。
コスト
- 低コストで導入/運用が可能か
可能です。
可能な限り、セキュリティやインシデントの専門知識を持った人材が不在でも運用可能とするため、シンプルな構成と分かりやすい機能となっています。
また、yaraiは基本ライセンスで全ての機能が使用可能です。
- EDRに追加費用は必要か
不要です。
yaraiの基本ライセンスで使用可能です。
- その他の機能(連携機能や脅威判定など)に追加費用は必要か
不要です。
yaraiの基本ライセンスで使用可能です。
導入/運用
- ホワイトリスト(例外リスト)の作成は可能か
可能です。
ホワイトリスト(例外リスト)の詳細については、こちらのFAQも併せてご参照ください。
- 特定の機能を無効にして運用することは可能か
可能です。
- 監視モード(非ブロック)で運用することは可能か
可能です。
yaraiの検出時の動作として、「ブロックモード」と「監視モード(非ブロック=ログ出力モード)」があります。例えば、評価期間のみ利用する、特定の拠点や端末のみ利用する、特定のエンジンのみ利用するなど、柔軟な運用が可能です。
- 管理コンソールやクライアントのインストールは簡単にできるか
可能です。
yaraiの管理コンソール(AMC)はシンプルな構成のため、殆どの環境では、簡単な手順で対応が可能です。
yaraiクライアントについては、標準インストーラーによるGUIベースのインストール、インストール情報を埋め込んだカスタムしたインストーラーの作成、サイレントインストールなど、ご利用の環境に応じて様々なインストール方法のご用意があります。
設計・構築・運用に役立つガイド資料やパラメーターシートのご用意もあります。
- 管理コンソールやクライアントのアップデートは簡単にできるか
可能です。
yaraiの管理コンソール(AMC)はシンプルな構成のため、殆どの環境では、簡単な手順で対応が可能です。
yaraiクライアントについては、標準インストーラーによるGUIベースのアップデート、管理コンソールからのリモート配信、サイレントアップデートなど、ご利用の環境に応じて様々なアップデート方法のご用意があります。
アップデートの流れについては、こちらのFAQも併せてご参照ください。
- 管理コンソールのバックアップ/復元、または移行/リプレースは簡単にできるか
可能です。
yaraiの管理コンソール(AMC)はシンプルな構成のため、殆どの環境では、簡単な手順で対応が可能です。
作業の流れについては、こちらのFAQも併せてご参照ください。
- 管理者へ通知することは可能か/他システムと連携することは可能か
可能です。
標準機能として、メール通知とsyslog通知機能のご用意があります。また、任意の外部プログラムを実行することも可能であり、外部プログラム向けのガイド資料のご用意もあります。
他社ウイルス対策ソフトとの併用/同居による強化
サポート
- 日本国内に特化したサポートは可能か
可能です。
yaraiは純国産のセキュリティ製品です。製品開発およびサポートに関するチームも日本国内に常駐しています。そのため、日本国内向けのスピーディかつきめ細やかなサポートが可能です。
- 脅威が検出された場合に判定を依頼することは可能か
可能です。
自動判定することも可能ですが、別途、弊社へ手動でお問い合わせいただくことも可能です。弊社専門チームにより、解析と判定を行わせていただきます。
実績/評価
- 導入実績はあるか
あります。
純国産のセキュリティ製品として、国内の行政、民間問わず、多数のユーザ様にご利用いだいている実績があります。また、多数の販売店で取り扱っています。
導入実績については、こちらの弊社製品ページも併せてご参照ください。
販売店については、こちらの弊社製品ページも併せてご参照ください。
- 検出実績はあるか
あります。
多数の検出実績があります。そのごく一部とはなりますが、「マルウェア検出速報」として随時公開しています。
- 評価/テスト用のマルウェアはあるか
あります。
基本的な検出機能を確認できるよう、複数のテストマルウェアのご用意があります。
- 評価用のライセンスはあるか
あります。
その他
上記以外にも、多数の機能が存在します。詳細については、販売店までお問い合わせください。
また、各バージョンで追加された新機能については、こちらのFAQをご参照ください。