カナダOpenText日本法人のオープンテキストは2018年9月12日、都内で説明会を開き、同年7月26日に発表し販売を開始したセキュリティソフト「EnCase Endpoint Security」について概要を説明した。詳細なデータを収集して役立てるフォレンジック技術をエンドポイントセキュリティに応用した製品だとしている。
写真1:カナダのOpenTextでAPACのエンタープライズセールスを担当するレイモンド・パーマー氏拡大画像表示
オープンテキストの「EnCase Endpoint Security」は、サーバーマシンやクライアントPCなどのエンドポイントを守るセキュリティソフトである。
運用管理ソフトなどが出力するセキュリティログや、エンドポイントの現在の稼働状態を記録したデータなどを材料に、感染したマルウェアの検知・対処などを実施する。マルウェア対策のほかに、エンドポイント上にあるべきでない機密データを削除するといった使い方もできる。
EnCase Endpoint Securityの典型的なユースケースの1つが、マルウェアの検知と削除である。運用管理ソフトやログ管理ソフトなどが出力するセキュリティアラートを分類して優先順位を付け、マルウェアの感染が疑われるなど優先度が高いインシデントについては、対象のエンドポイントの状態を調査して、マルウェアのプロセスを停止してマルウェアの痕跡を削除する、といった運用ができる。
例えば、アラート情報から、ファイルをダウンロードしたエンドポイントのIPアドレスとファイルのハッシュ値が分かる場合がある。これが危険なファイルだと判断した場合は、該当のエンドポイントの現在の状態を詳しく調べる。普通ではない異常な動作などを検出し、これに対処できる。
これまでのエンドポイントセキュリティの課題として、カナダのOpenTextでAPACのエンタープライズセールスを担当するレイモンド・パーマー氏は、「アラートが多くて埋もれてしまう」と指摘する。
ソフトウェア構成は、EnCase Endpoint Securityのソフトウェア本体と、監視対象のエンドポイントに配置する専用のエージェントソフトで構成する。エージェントは普段は動作しておらず、EnCase Endpoint Securityからの指示を受けてから動作を開始し、その時のエンドポイントの状態を記録する。動作しているプロセス一覧などの一般的な情報のほか、メモリーやディスクのイメージなども取得できる。
パーマー氏は、EnCase Endpoint Securityの特徴の1つとして、エージェントの稼働OSの多さを挙げる(図1)。さらに、セキュリティインシデントに対して対処ができることも特徴だとする。マルウェアの場合、プロセスの停止や、メモリー/ディスク上のファイルイメージの削除、ディスク上のファイルの痕跡のワイプ(消去)、などの対処がとれる。
図1:EnCase Endpoint Securityのエージェントの稼働OS拡大画像表示
OpenText / エンドポイントセキュリティ / フォレンジック / EDR / カナダ
