セキュリティを維持または強化し、コストを削減するには?

はじめに

「セキュリティ対策を強化すればするほど、作業負荷と共に維持管理コストが増えて困っている」というお話をよく伺います。

現場で管理されている方は、日々、パッチ当てやバージョンアップなど運用作業に多くの時間を割いていることでしょう。これにくわえて、ユーザーからの問い合わせ、インシデント対応など、負荷は増す一方です。その要因の一つに「利用している製品やモジュールが分散していること」が挙げられます。

エンドポイントの課題:分散したモジュール

実際、1つの端末に以下のような機能のモジュールが複数導入されている状況をよく見かけます。

  • 管理用エージェント
  • シグネチャ型アンチウィルス
  • 振る舞い検知機能
  • 機械学習防御機能
  • エクスプロイト防御 (脆弱性防御)
  • USBデバイス管理
  • サンドボックス
  • EDR

ここで、複数のモジュールが導入されている環境で、あるモジュールのバージョンアップをするケースを考えてみましょう。そうした環境では、モジュール間の互換性を保つためにべつのモジュールのバージョンアップが必要となり、動作確認テストも実施しなければならない、ということがよくあります。そこでかりに、これが上記のように8つのモジュールが導入されている環境で、数千から数万台の端末全体への作業を、1回の作業に1.5ヶ月かけて、各モジュール全部に対して作業をするとすれば、エンドポイントの作業にほぼ1年という時間を費やすことになります。運用される方は作業計画を立ててまとめて作業されることも多いので、実際にはここまで単純な計算にはなりませんが、モジュールが複数にまたがれば互換性テスト作業は必ず生じてしまいます。

これがモジュールが1つにまとまっていたらどうなるでしょうか。

作業は1.5ヶ月で済みます。作業時間は削減され、維持管理コストは大幅に削減できます。そのほか、モジュールをまとめることで、以下のような多くのメリットが考えられます。

  • 端末のリソース負荷が軽減し、業務PCの動作が軽くなり生産性が向上
  • 管理インフラ環境の集約によるコスト削減
  • アラート運用集約による、インシデント対応時間の短縮
  • インシデントやトラブルの問い合わせ窓口の一本化によりたらい回しのリスク回避

このほかにも、削減できた時間をセキュリティ運用の人材育成の時間に充てることで、社内にセキュリティ運用スキルを持つ人材を育てることができれば、それまでMSSPに委託していた運用の内製化も検討できるようになるでしょう。

エンドポイントの課題『分散したモジュール』を解決する方法とは

パロアルトネットワークスでは、以下の3つのブランドを立ち上げていますので、これらを使うことで上記の課題を解決することができます。

エンドポイントの課題を解決するパロアルトネットワークスの3つのソリューション
エンドポイントの課題を解決するパロアルトネットワークスの3つのソリューション

ネットワークセキュリティが中心の「STRATA」、クラウドセキュリティが中心の「PRISMA」、エンドポイントセキュリティやSOC運用が中心の「CORTEX」です。

以下の図はブランド毎にどのような製品が含まれるかを表した図になります。

各ブランドに含まれる製品
各ブランドに含まれる製品

Cortex XDR prevent(EPP、旧称 Traps) による課題解決

本稿ではCORTEXブランドのCortex XDR prevent(EPP、旧称 Traps)による課題解決方法をご紹介します。

Cortex XDR Preventは、様々な防御機能を1つのモジュールに集約したCortex Agentを端末に配備して運用します。他社マルウェア対策製品・EDR製品では通常オプションとして提供されている「エクスプロイト防御(脆弱性防御)」や「サンドボックス解析」、「USBデバイス管理機能」なども標準として提供されています。

また、管理サーバやサンドボックスをクラウド提供とすることで、インフラコストの削減はもちろん、管理サーバのバージョンアップなどのメンテナンスコストも削減できます。

エンドポイント管理モジュールの集約、管理環境の最適化 オンプレからクラウドへ (* EDR機能は、別ライセンスとなります。)
*EDR機能は、別ライセンスとなります。

インシデント対応に必要な運用補助機能 (端末ネットワーク隔離、LiveTerminal) も、Cortex XDR preventの標準機能として備えています。そのため、今までならマルウェア感染時に管理者が現場に出向いて調査したり電話越しに指示したりしていたケースでも、手元の管理コンソールから対応することが可能になります。

  • 端末ネットワーク隔離:マルウェア感染が疑わしい端末に対し、管理サーバへの通信以外を遮断することで組織内のマルウェア拡散リスクを抑え、管理サーバから端末の調査が行えます。
  • LiveTerminal:管理サーバから、プロセス一覧による状況の確認・停止、ファイル一覧による状況確認・削除、コマンドライン操作などが行えます。
端末ネットワーク隔離、LiveTerminal 利用イメージ
端末ネットワーク隔離、LiveTerminal 利用イメージ

Cortex XDRには管理負荷を下げるメリットも

ここまでEPP(マルウェア防御)についてお話させていただきましたが、EDR (Endpoint Detection and Response) やNTA (Network Traffic Analysis) の導入をご検討される場合にも、Cortex XDRは1つの管理コンソールで対応できます。

通常であれば、EDR(エンドポイント対策)とNTA(ネットワークによる社内不正対策)などは、個別で導入されることでしょう。しかし、パロアルトネットワークスの場合、次の図に示すように、セキュリティのプラットフォーム化という考えのもと、セキュリティの向上はもとより、製品の分散による運用負荷を最小限に抑える環境を構築することが可能です。

将来的な拡張性も高い
将来的な拡張性も高い