セキュリティ

次世代型EDR:SentinelOne

次世代型EDR「SentinelOne」の機能

SentinelOneはシリコンバレーに本社を置くSentinelOne社が開発した世界初の自律型EDRで、ランサムウェアEmotetなどのマルウェアを用いたサイバー攻撃に対してAIを活用した自動対処が可能です。

従来のセキュリティ対策製品で対処ができなかった最新の攻撃に対しても、脅威検知から封じ込め・修復までを実現できます。

EDR4つの定義

EDRには以下の4つの定義があり、SentinelOneはその全てをAIによる自動化で対応できます。

EDR4つの定義
  • セキュリティインシデントの検出
  • セキュリティインシデントの調査
  • インシデントの封じ込め
  • エンドポイントの修復

セキュリティインシデントの検出

侵入を試みるマルウェアを検知・防御する機能」です。

検知の仕組みは大きく以下の3通りです。

  1. 端末のハッシュ値、IPアドレス、ドメイン名などから、マルウェアとして既知の情報との確認をする
  2. エンドポイントの挙動から、あらかじめ定義されている不審な動きとの照合を行う
  3. AIを用いた機械学習的な検知を行う

迅速な検知により、その後の対応へスムーズに移行できます。

セキュリティインシデントの調査

侵入したマルウェアの挙動を解析する機能」です。

マルウェアは亜種を含めると、1日あたり約120万種が新たに生成されています。サイバー攻撃手法の多様化により、上記の検出機能では防ぎきれない場合があります。

EDRは端末のログ情報を常に収集しているため、マルウェアの侵入経路や影響範囲、被害情報を調査することが可能です。

インシデントの封じ込め

マルウェアに感染した端末を隔離する機能」です。

EDRがマルウェア感染を検知すると感染端末をLANから隔離し、自動でプロセスを停止させます。

感染端末の隔離を行うことでネットワーク内での感染拡大を防ぎ、2次被害・3次被害の防止を行います。

エンドポイントの修復

マルウェアの駆除、及び、感染端末を正常化させる機能」です。

EDRは侵入したマルウェアの挙動を自動で調査しています。そのため、感染端末の「どの部分に」「どのような」影響を及ぼしたかを把握できます。

必要最小限の復旧作業により、迅速なマルウェアの駆除が可能です。被害状況が分からない場合は、感染端末のクリーンインストールが必要となります。

EDRの特長

EDRには、アンチウイルソフトなど、従来のセキュリティ製品にはない、以下の特長があります。

EDRの特長
  1. アンチウイルスソフトの上位互換
  2. 検知できる攻撃範囲が広い
  3. 多層防御が可能

アンチウイルスソフトの上位互換

EDRは侵入を防ぐアンチウイルスソフトの機能に加え、侵入後の調査、感染媒体の復旧機能を併せ持っています。

多様化しているサイバー攻撃のすべてを「防ぐ」ことは困難であるため、サイバー攻撃に対する「対応」が重要になっています。

検知できる攻撃範囲が広い

アンチウイルスソフトが、脅威の「侵入防止」を目的にしているのに対して、EDRは脅威による、情報漏洩やデータ暗号化などの「被害を防ぐ」ことを目的にしています。

攻撃手法が異なっても、攻撃者の目的は同じであるため、侵入後の挙動などを解析することで、検知できる攻撃範囲が広いです。

多層防御が可能

EDRは、「脅威の検出」「脅威からの復旧」「AIによる学習機能」を持っています。

①侵入を防ぐ②侵入を許しても実被害を防ぐ③侵入した(しようとした)マルウェアの挙動学習による新たな脅威の予防、とアンチウイルスにはない多層防御を実現しています。

SentinelOne導入のメリット

SentinelOneの最大の特徴は、自律型AIエージェントによる自動運用が可能な点です。自動運用には大きく3つのメリットがあります。

SentinelOne導入のメリット
  • 全自動による最速・安全のインシデントレスポンス
  • AIによる自動化で運用コストを大幅削減!
  • 通信の遅延・誤検知の心配なし!業務に支障なく運用可能

全自動による最速・安全のインシデントレスポンス

AIによる自動運用により、従来のEDRのように脅威の検出が行われてから、SOC(サイバー攻撃の検出・分析を行う組織)の判断により調査等が行われるのではなく、即座に調査以降の対応を始めることが出来ます。

また、全自動の運用であることは、人為的なミスが起きることは無く、安全性でも優位です。

AIによる自動化で運用コストの大幅削減!

複数のAIエンジンでリアルタイムのEDR運用を行うことで、SOC(人為的な通信監視)が不要となります。セキュリティ担当者や情シスの保守・運用コストを抑え、圧倒的なコストパフォーマンスで高度なセキュリティレベルを担保できます。

通信の遅延・誤検知の心配なし!業務に支障なく運用可能

AIによる様々な角度からのリスクを相関分析することで、誤検知のリスクを最小限にし、運用の手間をかけません。

また、エージェント消費CPU約1%で、通常業務に支障をきたさず導入が可能です。また、中小企業でも導入しやすいよう1台から導入できます。

他社EDRとの比較

SentinelOneは、PC1台からの導入が可能です。AI自動対応を始め、他のEDRにはない世界初の自立型EDRの特長があります。

 

導入イメージ

システムの機能レベル・保守運用の有無をお選びいただき、お客様環境に合ったプランを提案させていただきます。価格はプランによって変動しますので、まずはサービス内容説明・お見積り等お気軽にお問い合わせください。

導入イメージ例①:最低限の対策を行いたい中小企業

  • プラン:通常プラン(EPP+EDR)
  • オプション:なし
  • 導入台数:50台
  • 費用:約¥32,500/月(1台あたり¥650/月)

導入イメージ例②:機密性の高いデータを扱う企業

  • プラン:通常プラン(EPP+EDR)
  • オプション:インシデント発生時のフォレンジック調査保証
  • 導入台数:100台
  • 費用:約¥95,000/月(1台あたり¥950/月)

導入イメージ例③:社員数が1000人を超える大企業

  • プラン:通常プラン(EPP+EDR)
  • オプション:なし
  • 導入台数:1500台
  • 費用:約¥600,000/月(1台あたり¥400/月)

業界をリードする団体から支持されています

セキュリティ業界を世界的にリードする調査機関やアナリスト・業界団体のテストを受け、信頼されているセキュリティ製品です。