セキュリティのコンサルティングやセキュリティ監視センター「JSOC」などを提供するラックは2017年12月14日、企業で使っているWindows PCのセキュリティ被害を検出して対処する常時監視サービス「マネージドEDRサービス」を発表した。2018年1月から提供する。Windows 10の企業向けボリュームライセンス「Windows 10 Enterprise E5」ユーザーが対象となる。
ラックの「マネージドEDRサービス」は、Windows PCがマルウェア感染などのセキュリティ被害にあった際に、ユーザー企業に成り代わってセキュリティ被害を検出して対処するマネージドサービスである。
図1:マネージドEDRサービスの概要(出典:ラック)拡大画像表示
PCのログやアラートを24時間365日体制で監視し、問題を検出したPCを遠隔でネットワークから切り離す。さらに、発生したアラートの影響範囲や、時間の経過によって侵害が拡大する可能性を調査して報告する。オプションの「サイバー119サービス」を組み合わせれば、セキュリティ被害からの復旧や対応も支援する。
図2:マネージドEDRサービスのサービス内容(出典:ラック)拡大画像表示
PCがセキュリティ被害を受けているかどうかを判断する材料として、Windows 10の企業向けボリュームライセンス(Windows 10 Enterprise E5)が備えているクラウド型のEDR(エンドポイント検出・対処)機能である「Windows Defender ATP」を使う。同機能を使うと、ユーザーやプロセスの挙動から脅威を検出できる。OSに組み込まれたエージェントが、1日あたり数MBのログやアラートをクラウドに転送する。
ラックのJSOCは、Windows Defender ATPのクラウド上の管理画面にアクセスし、Windows Defender ATPのエージェントから収集したログやアラートを監視して分析する。マルウェアの感染が疑われるPCなどは、ネットワークから隔離する指示を出す。エージェントがクラウドにアクセスした際に、ネットワークからの隔離指示があった場合は、エージェントみずからアクセス制御ルールを設定しなおしてクラウド以外との通信を遮断する仕組み。
マネージドEDRサービスの価格(税別)は、対象となるWindows 10 PCが3000台のモデルケースの場合、月額180万円(PC1台あたり月額600円相当)で、初期費用は個別見積もり。最低契約期間は12カ月。PC台数が3000台に満たない場合も、月額費用について個別に対応するとしているが、想定している規模は3000台規模であり、数百台クラスの小規模では1台あたりの費用が割高になる。なお、前提となるWindows 10 Enterprise E5の価格は、「1ユーザーあたり月額1400円程度」(日本マイクロソフト)である。
今回ラックがPCを対象とした監視サービスをメニュー化した背景について、マルウェア対策において、「ゲートウェイと比べてエンドポイント向けのセキュリティは手薄となっている」(同社)ことを挙げている。
「一方、エンドポイント向けセキュリティの課題は、マルウェア対策ソフトだけでは不十分で、マルウェア対策ソフトとEDRソフトを組み合わせる必要があることだ」という。しかし、こうした複数のソフトを導入するとコストがかさむので、Windows OSに組み込まれた機能を活かす形でマネージドサービスを提供する。
ラック / EDR / マネージドサービス / MSS / エンドポイントセキュリティ / Windows 10 / Microsoft / Windows Defender
