必要十分なセキュリティ製品選びはもはやパズル 「全部入り」でその困難を回避：必要な機能を抜けも重複もなく導入するには

セキュリティ製品の選定においては、必要な機能を抜けも重複もなく取り入れることが重要だ。しかし、数ある製品にはそれぞれにできることできないことがあり、それをパズルのように組み合わせるのは非常に難しい。そんな課題を解決するにはどうすればいいのか。

[PR／ITmedia]

PR

　ランサムウェア感染にフィッシング詐欺、特定の企業を執拗（しつよう）に狙う標的型攻撃など、サイバー攻撃は猛威を振るうばかりだ。名の知れた大企業だけでなく、中堅・中小企業も無差別に狙われるようになっている。Windowsの正規ツールを悪用したり難読化を施して検知をかいくぐったりする手法も横行している。

カスペルスキーの関場哲也氏（チーフテクノロジーオフィサー）

　防御側もあの手この手を講じてきた。特に重要なエンドポイントセキュリティは企業規模を問わず必要不可欠なこともあり、脅威の侵入を防ぐため定義ファイルベースのアンチウイルスや振る舞い検知、ファイアウォール、IPSが導入され、侵入後はEDR（Endpoint Detection and Response）で検知し対応する。ML（機械学習）の活用をはじめとする最新技術の投入も続いている。

　ただそれが若干の混乱を招いているのも事実だ。機能や用途ごとに製品が増えていき、自社に合ったものを選ぶのにも迷いが生じる。

　カスペルスキーの関場哲也氏（チーフテクノロジーオフィサー）は「エンドポイントセキュリティ製品を導入したいと思っても、各製品の違いが分からないという状況があります。管理をオンプレミスでしたいのかクラウドでしたいのか、どのような保護をしたいのか。これらを提供側がヒアリングしないと導入後に『あの機能がなくて、思っていたことができない』と失望されてしまうこともあります」と指摘する。

　それを解決するには、欲しい機能が全て入っているソリューションが必要になる。そこで同社が提案するのが「Kaspersky Next」シリーズだ。

力業「全部入り」で顧客の不利益をなくす

　カスペルスキーも顧客の製品選びの悩みを聞いてきたセキュリティ企業だった。

　同社は2004年の日本法人設立から20年にわたり製品の機能強化と改善を続けている。2011年には法人向けの統合セキュリティ製品「Kaspersky Endpoint Security for Business」をリリース。2015年にはCASB機能を持つクラウド管理ツール「Kaspersky Endpoint Security Cloud」、EDRの「Kaspersky Endpoint Detection and Response」を投入し、ソリューションの幅を広げた。

　だが関場氏は「市場ニーズに合わせてタイムリーに製品をリリースした結果、8製品のラインアップが存在し、顧客にとって製品の選択が難しくなってしまいました」と話す。

　こうした状況を整理するため、同社は新たにKaspersky Nextシリーズを2024年7月から販売する。

　「これまで『こちらの製品にはこのセキュリティ機能があるけれど、あれは付いていない。逆に、あちらの製品にはこれが欠けている』と、分かりにくい部分がありました。Kaspersky Nextシリーズでは、そういった機能の差をなくしています」（関場氏）

　選択制だった機能をまとめて提供することで、顧客がセキュリティ的に不利益を被る状況をなくすことがKaspersky Nextシリーズの狙いだ。

企業規模に合わせて必要なものを

　Kaspersky Nextシリーズには3つのラインアップがある。

　IT部門が兼任でセキュリティも見ている中小企業向けの「Kaspersky Next EDR Foundations」（以下、EDR Foundations）、小規模なセキュリティチームを抱える中堅企業向けの「Kaspersky Next EDR Optimum」（以下、EDR Optimum）、専任のセキュリティチームがより高度な分析と対応に取り組んでいる大企業向けの「Kaspersky Next XDR Expert」（以下、XDR Expert）だ。

Kaspersky Nextの3つのラインアップと想定する顧客像（出典：カスペルスキー提供資料）

　いずれもKaspersky Endpoint Security for Businessで提供してきた振る舞い検知やML、IPSといったエンドポイント保護機能を踏襲しつつ、クラウド保護やEDR、脆弱（ぜいじゃく）性管理といった幅広いセキュリティ機能を統合した。

　関場氏は「Kaspersky Nextシリーズは、カスペルスキーのこれまでの製品と大きくは変わりません。ただ、選択制で提供してきた機能を全てセットにすることで顧客が選択する必要をなくしました」と述べる。

　規模を問わず高度なエンドポイント保護機能を提供することに変わりはない。その上で、自社のセキュリティポリシーや運用体制に応じてどのエディションを選ぶか決めることになる。

　Kaspersky Nextには、エンドユーザーが利用しているクラウドサービスを可視化する「クラウドディスカバリー」機能が「シャドーIT」対策として付属している。EDR Foundationsでは利用しているクラウドサービスを可視化するところまでだが、EDR Optimumでは「クラウドブロッキング」機能で不適切なクラウドサービス利用をブロック可能だ。

　脆弱性管理についても、EDR Foundationsでは「どの端末にどういった脆弱性が残っているか」というレポートを生成する。EDR Optimumではパッチの適用もできる。「EDR Optimumなら基本的には不足する部分はないと考えています」（関場氏）

セキュリティ部門の有無や運用体制に応じた選択肢を用意

　Kaspersky Nextシリーズのもう一つの大きな特徴として、全エディションにEDR機能が付属していることが挙げられる。

　EDR FoundationsやEDR Optimumでは「ルートコーズ分析」というベーシックなEDR機能を提供する。振る舞い検知機能などで収集した情報を可視化することで「どこからマルウェアに感染し、どのIPアドレスと通信しているか」といった情報を直感的に把握できるように支援するものだ。

　「専門のセキュリティ部門がなくてもすぐに役立つ、意味のある情報を示せるEDRというコンセプトです」（関場氏）。

　これらは5ユーザーライセンスから導入できる。EDRは「使いこなすのが難しい」というイメージが強いが、それを払拭（ふっしょく）する必要十分なEDR機能だ。

　EDR Optimumはレスポンス機能も搭載しており、感染端末をネットワークから論理的に切り離す「ネットワーク分離」や侵害の痕跡情報（IoC）を使ってネットワーク内の他の端末に影響が及んでいないかどうかを調査する「IoCスキャン」ができる。このとき、攻撃の兆候に関する情報（IoA）も提供し、高度な脅威を見つけられるように支援する。

　さらに高度なセキュリティ運用を実現したい場合には2つの選択肢がある。一つはXDR Expertを導入すること。もう一つはカスペルスキーが提供するマネージドサービス「Kaspersky Managed Detection and Response」（Kaspersky MDR）を活用することだ。

　Kaspersky MDRでは、EDR FoundationsやEDR Optimumで収集したテレメトリー情報の分析をカスペルスキーが担う。「自前でEDRを運用できない、そこまで人員がいないという顧客でも、Kaspersky MDRを使えば高度なEDR運用が可能です」（関場氏）

　同ツールには端末のネットワークを自動的に切り離すなどの対処を実施する「自動応答」機能があり特に好評だという。一般的に、24時間365日対処できる体制を整えるのは困難だ。自動承認を活用することで、業務時間外はシステムが被害拡大を抑え、従業員が出社したらあらためて本格的な対応に当たるといったこともできる。

Kaspersky MDRの特徴（出典：カスペルスキー提供資料）

　より高度な脅威ハンティングを実施するならXDR Expertの出番だ。同エディションは、エンドポイントだけでなくインフラ全体から情報を収集して高度な分析を加え、脅威を検出する際に役立つ機能を提供する。

　カスペルスキーは、ネイティブXDR（Extended Detection and Response）（単一ベンダーの製品をソースとするXDR）を実現する「Kaspersky Anti-Targeted Attack」を提供してきた。

カスペルスキーの伊藤健大氏（セールスエンジニアリング本部　エンタープライズソリューションエキスパート）

　オープンXDR（幅広いサードパーティー製品からデータを収集して相関分析し、高度な脅威を検知するXDR）製品のXDR Expertは、ネットワーク機器やオープンソースソフトウェアも含め、多数の製品やツールをサポートしている。

　脅威の検知に加えて「インベスティゲーショングラフ」機能によってインシデントの全体像を可視化できること、ファイアウォールへのルール追加といったアクションを自動的に実施し、レスポンスも自動化できることが特徴だ。これには「Kaspersky Unified Monitoring and Analysis Platform」（KUMA）と呼ぶ、同社が培ってきたSIEM（Security Information and Event Management）技術も活用されている。

　カスペルスキーの伊藤健大氏（セールスエンジニアリング本部　エンタープライズソリューションエキスパート）は「クラウド化やテレワークの推進によって、攻撃対象領域がどんどん広がっています。従業員にとってより良い環境をつくろうとすると、それが同時に攻撃者にとって攻撃しやすい環境になってしまい、インシデント対応に要する時間も伸びてしまいます」と語る。

XDR Expertの特徴（出典：カスペルスキー提供資料）

ラインアップを整理しつつ、安心して利便性を享受できる環境づくりを支援

　巧妙な攻撃への対策は必要だが、それらを積み重ねていった結果、機能が重複したり逆に足りなくなったりする事態は避けたい。Kaspersky Nextシリーズは、市場が成熟してきたからこそ求められるそうした迷いを整理し、一層の保護を提供するものと言える。

　ライセンス面もより分かりやすくなっている。これまでは管理コンソールをオンプレミスに置くかクラウド管理にするかによって異なっていた。それを一元化し、どちらの形態でも管理できる。

　デバイス単位のライセンスからユーザー単位のライセンスに切り替えることで、複数のデバイスにまたがる保護も可能になった。脅威の入り口として存在感が高まるモバイル端末も含め、追加コストなしで全体を保護できる。

　この20年でインターネットは当たり前のものとなり、さまざまなメリットをもたらすと同時に問題も引き起こしてきた。カスペルスキーは、大企業はもちろん人手の少ない中堅・中小企業でもしっかり使いこなせるKaspersky Nextシリーズを提供することで、引き続き「Building a safer world」というビジョンの下、これまでと変わらず安心してインターネットの利便性を享受できる環境づくりを支援する。