Elastic Endpoint Security 登場
本記事中で“Elastic Endpoint Security”および“Elastic SIEM”と呼称されているソリューションは、現在“Elasticセキュリティ”の名称で提供されています。Elasticセキュリティは、より広範なソリューションとしてエンドポイントセキュリティやSIEM、脅威ハンティング、クラウド監視などに対応します。
ElasticはElastic Endpoint Securityの導入に先立ち、MITRE ATT&CK™マトリックスに基づくエンドポイントの脅威防御、脅威検知分野の草分けであり、業界の牽引役として高い評価を誇るEndgame社を合併いたしました。ElasticはSIEMとエンドポイントセキュリティを統合し、単一のソリューションとして提供してゆく予定です。このソリューションで、組織はクラウド、オンプレミス、ハイブリッドのいずれの環境を使用するかにかかわらず、自動的に、フレキシブルに、かつリアルタイムに脅威に応答することが可能になります。Elastic Endpoint Securityの導入と併せて本日、Elasticはエンドポイント毎の料金を廃止することを発表いたします。
451 Researchでプリンシパルアナリストを務めるフェルナンド・モンテネグロ氏は次の見解を述べています。「エンドポイントセキュリティには2つの主要なトレンドが存在しています。1つはバックエンドでの強力な分析の重要性。もう1つはMITRE ATT&CKフレームワークが共通言語として普及していることです。両者はケースの重点を脅威ハンティングに置く上で、またインシデントレスポンスのユースケースに役立ちます。ElasticによるEndgameの合併は、この2つのトレンドに確かに沿うものです。SIEMとエンドポイントセキュリティの統合により、組織はこうしたユースケースで効率性を追求することが可能になります」
Endgameの技術は、NSS Labs社、SE Labs社、MITRE社を含む多数の、独立したテスト実施企業による検証において、最も強力な防止と検知機能を兼ね備えることが証明されています。直近ではAV Comparatives社のIndependent Anti-Virus Test(個別抗ウイルス試験)におけるパフォーマンスで、クラウド接続を必要としないEndgameの技術が、現実世界の脅威に対して99.7%のマルウェアを防止するという驚異的な保護能力が明らかになりました。
さらにElastic Endpoint Securityは既存のロギング・セキュリティ・APM・インフライベント収集と並び、エンドポイントセキュリティデータに関する強力なソースや生のエンドポイントイベントデータ、Elastic Stackへのアラートを提供するソリューションとなります。脅威の平均的な滞留時間が100日間超であるのに対し、データのシッピング、スケーリングから格納までを効率的に実行するElasticsearchなら、相互にかけ離れたあらゆるセキュリティ関連データを横断して、実践的かつ簡単に、すばやく検索することが可能です。また、エンドポイントセキュリティはElastic Stackとスムーズに連携し、脅威を防止しながら、可能な限り早い段階での攻撃検知と応答を実現します。
Elastic創業者でCEOのシャイ・バノンは次のコメントを発表しています。「ユーザーは、デプロイするツール以上の恩恵を手にするべきです。Elasticはその方針に基づき、1つのスタックで検索、格納、分析、データの安全確保までを行うシンプルな設計で、バリューをすみやかに提供するサービスを開発しています。この度、最高品質の脅威ハンティングソリューションを、最高品質のエンドポイント防御と共に提供することが可能になりました。これは、検索を複数のユースケースに適用するというElasticのビジョンを実現する大きな一歩です」
SIEMとエンドポイントセキュリティが目指す場所
組織内で複数のツールが独立に動作していても、安全装置の役割は果たしません。個々のツールが収集するデータを実用的な情報に変換するには、一元的な管理コンソールが必要です。多くのセキュリティチームは、サイロ化されたデータや遅すぎるクエリ時間、関連性やコンテクストの不足による不十分な分析といった問題に直面しています。リアルタイムな作業を実施する必要性はすでに認識されています。たとえばあらゆる種類のデータを制約のない形で投入、および格納する必要があります。関連性を算出し、既存の、あるいは新たなセキュリティワークフローで自動的に運用することも必要です。
Elasticが組織におけるセキュリティの取り組みを進化させるプロジェクトに着手したのは2年近く前でした。すでにElastic Stackは脅威ハンティングや不正検知、セキュリティ監視といったセキュリティソリューションとしてされていましたが、Elasticはセキュリティ向けにより簡単にプロダクトをデプロイできるようにしたいと考えました。はじめに、コミュニティとの共同作業によってElastic Common Schema(ECS)が開発されました。ECSはネットワークやホストデータなど、かけ離れたソースから来るデータを簡単に正規化します。次にリリースされたのがElastic SIEM、世界初の無料かつオープンなSIEMです。もちろん、これで終わりではありません。
今回のElastic Endpoint Security導入により、Elastic SIEM用にデータ収集エージェントをデプロイすると同時に、エンドポイントを保護することができるようになりました。タイムリーな応答のできない複数ソリューションの併用など、非効率なスキームを排除し、損害や損失を回避できます。
前Endgame CEOで現在はElastic Securityのジェネラルマネージャーを務めるネイト・フィックは次のように述べています。「できる限り早期に攻撃を止めることが目標です。そのために、エンドポイントでは最高水準の防止策と高精度の検知機能が求められます。Endgameのすぐれたエンドポイント防御テクノロジーとElastic SIEMを組み合わせることで、セキュリティ運用・脅威ハンティングチームが攻撃を阻止し、組織を保護するためのインタラクティブな作業スペースが誕生します」
エンドポイント料金の廃止
Elasticは、世界初の無料かつオープンなSIEMへ最高水準のエンドポイントプロテクションテクノロジーを導入すると同時に、エンドポイント毎の料金を廃止します。
シャイ・バノンは次のように説明しています。「保護を必要とするデバイスの数をユーザーが数えなければならないというのはナンセンスです。脅威インテリジェンスデータを保持するのに、何日分の費用をかけるか選択するというのもおかしなことです。Elasticは組織に最高水準の防御を提供し、組織がその防御をどこでも活用できるように、そしてエンドポイント毎の費用で組織が負担を被ることのないようにしたいと考えています」
Elasticのソリューション(Elasticログ、APM、SIEM、App Search、Site Search、Enterprise Search、そして今回加わったEndpoint Securityなど)をご利用いただく場合、ソリューションの種類を問わず、費用はリソースキャパシティに関しての請求となります。これにより、ユーザーに一貫性のある、明瞭な料金体系が提供されます。この料金体系は、組織がデータの価値を最大に引き出す取り組みを支えます。Elastic Endpoint Securityを利用するユーザーは、必要なエンドポイントの数だけ完全な保護を受けることができ、またエンドポイントを危険にさらすことなく、完全なデータ収集とシッピングを実施することができます。
Elastic Endpoint Securityについて、セキュリティ分野のリーダーによるコメント
テキサスA&M大学(副センター長兼情報セキュリティー責任者、アンドリュー・ストークス氏)
「反応の速さと、履歴データから学習・分析する能力の高さを評価しています。レガシーのアンチウイルス機能に代えてElastic Endpoint Securityを導入したことにより、平均修正時間が7日間から30分へと劇的に短縮しました。さらにElastic Stackがデータを格納/分析/対応する方法は、市場に流通するどの競合製品とも比較できないものです。Elastic Endpoint SecurityとElastic Stackを組み合わせることで、単体のインテリジェンス主導プラットフォームが誕生し、この大学のセキュリティ運用をますますシンプル化、自動化できると確信しています」
Optiv(エマージングサービス、部門ヴァイスプレジデント、アンソニー・ディアス氏)
「Elasticは世界屈指の検索テクノロジーを用いて、次世代のSIEMと堅牢な可視化エンジン、さらに最高水準のエンドポイントプロダクトを統合しようとしています。この統合で、エンタープライズがますます複雑化するサイバー脅威と戦うための土台が誕生します。これらのコンポーネントをオープンなエコシステムに持ち込もうとするElasticのビジョンは革新的であり、しかし極めて実践的です。あらゆる規模の組織がデータを最大活用し、サイバーセキュリティのニーズを満たす助けとなるでしょう」
Infotrack(グローバル開発、最高技術責任者、セバスチャン・ミル氏)
「私たちInfoTrackは、運用の可視性を高める上で、そしてインフラを安全に保つ上で、エンドポイントデータがもつ価値の大きさを実感しはじめたところです。弊社のイノベーションチームはそうした目標に向けて、すでにAuditbeatを環境に導入しています。しかし、Elastic Endpoint Securityの導入後は、まったく新たな水準に到達するでしょう。セキュリティイベントデータとElasticの機械学習による異常検知を組み合わせた取り組みを行っていますが、Elastic Endpoint Securityの脅威防止能力にも非常に関心を寄せています。おそらく最強のコンビネーションになるでしょう」
各種資料
Elastic Endpoint Securityや、開発者による詳しい解説にご関心をお持ちの方は、ぜひ米国、欧州、アジア太平洋で開催されるElastic{ON}ツアーにご参加ください。