米国から、大手銀行をはじめ数々のナショナルクライアントに採用されたことで注目を集めているエンドポイントセキュリティ製品がやってきた。それは、ウイルス対策製品でもマルウェア対策製品でもない。「脅威検索プラットフォーム」だ。2015年10月22日に、日本市場で本格的にビジネスを展開することを発表した米タニウム(Tanium)は、「エンドポイントの検知・可視化・コントロールを15秒で実現する」というメッセージを掲げている。
企業システムのエンドポイントは、常に脅威と隣り合わせだ。標的型攻撃に代表される、エンドポイントを狙った脅威は後を絶たず、その多くが知らぬ間に入り込んで悪さをしている。今や社員一人ひとりにPCが配られることは当たり前となっているが、大抵の社員は多かれ少なかれ、個人にあてがわれたPCを「自分流」にカスタマイズして使っている。そこにリスクが潜んでいる。
禁止されている外部ソフトのダウンロードや外部メディアの接続など、情報漏えいリスクを増長させるような動きに対して、例えセキュリティポリシーで禁止をうたっていたとしても、1台ごとのリアルタイムの状況までを情報システム部門が完全に掌握するのは困難だ。組織が大きくなるほどこの傾向は顕著となり、エンドポイントの情報漏えいリスクは高まるといえるだろう。
その、企業内のエンドポイントで行われている行為や、ダウンロードされているソフトを、リアルタイムで検知・可視化・コントロールしようというのが、日本市場への本格参入を発表した米タニウム社だ。同社の製品は「脅威検索プラットフォーム」として提供される。
写真1:Tanium CTOのOrion Hindawi氏拡大画像表示
CTOのOrion Hindawi氏によるとタニウムの特徴は、「どんなに大きな組織であっても、15秒以内に脅威に該当するPCをすべて検出・可視化し、15秒以内に修正・パッチ配布を行うこと」だという。例えば、最新のセキュリティパッチを当てていないPCを検索すると、該当するPCが15秒以内で検索結果として表示される。これに対するパッチ当て作業も15秒以内で行う。検索ワードは自然言語処理に対応しており、例えば「現在USBを挿しているPC」「DropboxをインストールしているPC」といった検索もできる。
また、一般的に同様の検索システムを運用するためには、大規模システムともなると数百台、数千台のサーバーが必要となるが、タニウムはこれをたった1台のサーバーで管理できる。その秘密が、LP2P(Linear peer-to-peer)というアーキテクチャーにある。ネットワーク上の端末同士が情報をリレー方式で伝達するというもので、シングルサーバーで何十万台ものエンドポイントの管理が可能になる。米国のある大手銀行の事例では、6000台のサーバーを1台に統合できたという。
日産自動車 / Tanium / エンドポイントセキュリティ / EDR
