エンドポイント向け Cisco AMP(高度なマルウェア防御)

Cisco Advanced Malware Protection for Endpoints

データシート





Cisco Advanced Malware Protection for Endpoints



製品の概要


今日の巧妙なマルウェア攻撃に対抗するには、攻撃前、攻撃中、攻撃後の各フェーズにわたってエンドポイントを継続的に保護する必要があります。Cisco® Advanced Malware Protection(AMP)for Endpoints は、単純なポイントインタイム検出にとどまらず、他のセキュリティ レイヤでは見逃されてしまう高度な脅威を阻止するために必要なレベルの可視性と制御性を提供します。攻撃前、攻撃中、攻撃後の各フェーズにわたって、組織を包括的に保護します。Cisco AMP for Endpoints は、インテリジェントな大企業向けの高度なマルウェア解析/防御ソリューションです。ビッグデータ、継続的な分析、高度な分析に基づく高度なテレメトリ モデルによって、Windows PC、Windows POS オペレーティング システム、Mac、モバイル デバイス、仮想システムなどのあらゆるエンドポイントで、高度なマルウェアのアウトブレイクを検出、追跡、分析、制御および阻止します。

次のようなメリットがあります。

  • ポイントインタイムにとどまらない継続的な保護:Cisco AMP for Endpointsでは、ポイントインタイム検出にとどまらず、ファイルやトラフィックを継続的に分析します。この機能により、レトロスペクティブなセキュリティが可能となります。過去にさかのぼってプロセス、ファイル アクティビティ、および通信を追跡し、感染の全体像を把握して根本原因を特定し、修復を実行できます。その結果、組織全体をより効果的かつ効率的に保護することができます。
  • 卓越した可視性による監視:Cisco AMP for Endpointsは、ただのレトロスペクションにとどまらない機能を提供します。新しいレベルのインテリジェンスが導入されており、さまざまな形態のレトロスペクションを、リアルタイム分析で得られる一連のアクティビティに関連付けることができます。さらに、個々のエンドポイントや、それを含む環境全体にわたって、悪意のある動作パターンを検出することができます。
  • 長期間にわたって活動を監視する高度な分析 :Cisco AMP for Endpointsには、侵害やリスクの上位領域に優先度を付けて順に並べる高度な行動検出機能があり、この機能を活用して自動化を実現できます。
  • 調査結果に基づく積極的な検出:Cisco AMP for Endpoints Cisco AMP for Endpoints では、侵害の事実や手掛かりを調査するだけでなく、マルウェア検出や行動的 IoC(侵害の痕跡)のような実際のイベントに基づいて、侵害を積極的に探索します。
  • シンプルな封じ込め:Cisco AMP for Endpoints は、一連のイベントを可視化し、ダッシュボードやトラジェクトリ(感染経路追跡)ビューを補うコンテキスト情報を提供します。AMP では、特定のアプリケーション、ファイル、マルウェア、その他の根本原因に焦点を絞り、 攻撃チェーンをすばやく容易に分断することができます。
  • コンテキスト情報を表示する実用的なダッシュボード:Cisco AMP for Endpoints のレポートは、イベントを列挙したり、集計するだけではありません。リスクの観点からビジネスの関連性や影響に注目した実用的なダッシュボードとトレンド情報が表示されます(図 1 を参照)。
  • 統合されたプラットフォーム:Cisco AMP for Endpoints と Cisco AMP for Networks ソリューションを統合して、組織全体にわたる可視性と制御をさらに強化することができます。

図 1. コンテキスト情報を表示する実用的なダッシュボード


効果的なセキュリティを実現する可視性と制御


各企業は、高度なマルウェアの問題に継続的に取り組み、効果的に対処できるソリューションを求めています。必要なのは、限られた予算内で、運用効率を犠牲にすることなく、防御、インシデント応答、最新の脅威に対する修復を実行できるソリューションです。このような環境を実現することが難しい理由の 1 つは、検出/阻止テクノロジーとインシデント応答/修復テクノロジーとの間に継続性やインテリジェンスが欠如していることです。

このインテリジェンスの欠如が原因で、感染の範囲や深刻さを正確に捉えられず、感染の発生後、インシデント対応や修復措置を始めるまでに時間がかかってしまうことがよくあります。さらに、継続性の欠如が原因で、感染したシステムや根本原因を見逃してしまい、再感染が際限なく繰り返されることがあります。

このような状況では、ネットワーク内の高度なマルウェアの活動範囲を把握できず、感染後の封じ込めや修復を迅速に行うことができません。また、次のような基本的な質問の答えを得ることもできません。

  • 攻撃がどのような方法で行われ、どこから侵入したのか
  • どのシステムが影響を受けたか
  • その脅威によってどのような被害があったか
  • 脅威を阻止して根本原因を除去するにはどうすればよいか
  • 攻撃から回復するにはどうすればよいか
  • 再発を防止するにはどうすればよいか

Cisco AMP for Endpoints による高度なマルウェアの検出、分析、阻止および修復


ポイントインタイム検出だけでは、100 % の効果は望めません。脅威が 1 つでも検出の網をかいくぐってしまえば、環境が侵害されます。ターゲットを絞ったコンテキスト認識型マルウェアを使う高度な攻撃者は、ポイントインタイム防御を出し抜いて企業を危険にさらすだけのリソースと技能と粘り強さを備えています。さらに、ポイントインタイム検出は、侵害が発生した後にその範囲や深さを特定する機能を持たないため、感染の広がりを阻止したり、同様の攻撃の再発を防止する役には立ちません。

Cisco AMP for Endpoints では、単純なポイントインタイム検出にとどまらず、検出機能とビッグデータ分析を組み合わせてエンドポイント上のファイルやトラフィックを継続的に分析し、高度なマルウェアが存在するかどうかを判断します(図 2)。高度なマルウェアを分析してブロックするために、高度な機械学習機能によって個々のファイルの 400 以上の特性を評価します。検出と分析を組み合わせることで、従来のポイントインタイム検出よりも強力な保護を実現できます。また、攻撃の経過をさかのぼるレトロスペクティブ セキュリティ機能によって、侵入後に悪意のある活動を開始したファイルを検出し、警告を出すことができます。

図 2.ポイントインタイム検出と継続的分析およびレトロスペクティブ セキュリティの比較


可視性の強化と高度なマルウェア制御


現代のマルウェアはどんどん巧妙になっています。マルウェアは短期間で進化し、システムへの侵入後に検出の網をすり抜けながら、攻撃者が組織内で継続的な活動を行うための拠点を築きます。スリープ、ポリモーフィック、暗号化、未知のプロトコルの使用などは、マルウェアが検出をすり抜けるテクニックのごく一部です。Cisco AMP for Endpoints の継続的分析やレトロスペクティブ セキュリティ機能は、隠れたマルウェアを見つけ出し、高度な脅威に対抗するために必要な以下の情報をもたらします。

  • 攻撃がどのような方法で行われ、どこから侵入したのか どのシステムが影響を受けたか
  • ファイル トラジェクトリやデバイス トラジェクトリ(図 3)などの強力な新機能は、AMP のビッグデータ分析と継続的分析の機能を基に、マルウェアの影響を受けたシステムを判別し、最初に感染したシステムや、潜在的な侵害と関連付けられた根本原因などを特定します。これらの機能は、攻撃者が他のシステムへの足がかりを得るために使用しているマルウェアのゲートウェイやパスを特定し、問題の範囲をすばやく把握するために役立ちます。

    図 3.デバイス トラジェクトリを使用した高度な分析


  • その脅威によってどのような被害があったか
  • Cisco AMP for Endpoints のファイル分析(図 4)は、Talos セキュリティ インテリジェンスおよび調査グループに支えられており、AMP Threat Grid のサンドボックス テクノロジーを利用して、非常に安全なサンドボックス環境でマルウェアや疑わしいファイルの動作分析を行っています。ファイル分析では、ファイル活動に関する詳細な情報として、活動の重大度、元のファイル名、マルウェア実行のスクリーンショット、サンプル パケット キャプチャなどの情報を生成します。この情報を手に入れることで、アウトブレイクの封じ込めと将来の攻撃の阻止に何が必要かをよりよく理解することができます。

    図 4.ファイル分析


    デバイス トラジェクトリは、エンドポイントにおけるファイルとネットワークの活動を発生順に追跡し、コンピュータ上の脅威活動をすばやく分析するのに役立ちます。侵害の前後に発生したあらゆる出来事を可視化し、親プロセス、リモート ホストへの接続、およびマルウェアがダウンロードした可能性がある未知のファイルなどに関する情報を収集します。

    侵害の痕跡(IoC)は巧妙に隠されることが多いため、消去されたり攻撃者が逃げ去る前にすばやく調査する必要があります。Cisco AMP for Endpoints のエラスティック サーチは、エンドポイントをスキャンしたり新たにデータを収集することなく迅速に結果を引き出せるシンプルで柔軟性に優れた検索機能であり、セキュリティ チームはこの機能を利用して攻撃の影響範囲を迅速に特定できます。

  • 脅威を阻止し、根本原因を除去することはできるか。再発を防止できるか
  • Cisco AMP for Endpoints のアウトブレイク制御は、セキュリティ ベンダーからの更新を待つことなく、マルウェアの活動や、それに関連するコールバック通信やドロップされたファイル実行などの活動の広がりを効果的に阻止する機能を提供します。これにより、マウスを数回クリックするだけですぐに調査から制御へと移行することができ、脅威が拡散してより多くの損害をもたらす期間を最小限にとどめ、適切な制御を取り戻すまでの時間を大幅に短縮できます。

    また、AMP はフルスキャンを行わずにシステムを自動修復します。このテクノロジーでは、過去に分析したファイルを最新の脅威インテリジェンスと照らし合わせて継続的にクロス参照し、最初はクリーンまたは未知と見られていたのに後で脅威であることが判明したファイルを隔離します。

エンドポイント、モバイル デバイス、仮想システム、ネットワークを保護


Cisco AMP for Endpoints は、PC、Mac、モバイル デバイス、仮想システムなど、さまざまなエンドポイントを高度なマルウェアから保護し、セキュリティ インテリジェンスを向上させます。Cisco AMP for Endpoints の軽量コネクタ アーキテクチャは、ビッグデータ分析を活用することで、高度なマルウェアに対応するための多層防御の要件をシンプル化します。これにより、エンドポイントにパフォーマンスやリソースの負荷をかける従来のウイルス対策セキュリティ レイヤは不要になります。

さらに、Cisco AMP for Endpoints は Cisco AMP for Networks と統合することで、一元化されたビューを通じて、拡張ネットワークとあらゆるエンドポイントにわたる包括的な保護を提供できます。このように、継続的分析、レトロスペクティブ セキュリティ、マルチソースの侵害の痕跡を組み合わせることで、エンドポイントからネットワーク レベルに侵入しようとするステルス性の高い攻撃を特定し、これらのイベントを関連付けて迅速な対応を行い、優れた可視性と制御を実現することができます。

大企業向けの保護対策


AMP は大企業向けに最適化されています。プライバシーに配慮し、すべての Cisco AMP for Endpoints コネクタはメタデータを使用して分析を行います。実際のファイルを分析する必要はなく、実際のファイルがクラウドに送信されることもありません。プライバシー要件が厳しい組織では、プライベート クラウドのオプションも利用できます。この単一のオンプレミス ソリューションは、ビッグデータ分析、継続的分析、およびローカルやオンプレミスに保存されたセキュリティ インテリジェンスを活用して、包括的で高度なマルウェア防御を実現します。

管理の容易性という点では、Cisco AMP for Endpoints コンソール インターフェイスは、管理、導入、ポリシー設定、および Windows システムや Mac、モバイル デバイス、仮想システムへの報告といった機能をすべて備えています。

性能という点では、PC、Mac、モバイル デバイス、および仮想環境上に導入される Cisco AMP for Endpoints は軽量コネクタ アーキテクチャを使用しているため、ストレージや処理能力、メモリの要件が他のセキュリティ ソリューションに比べて少なくて済み、攻撃に対して迅速な防御が可能です。

真の包括的セキュリティ インテリジェンス


Cisco AMP for Endpoints は、ビッグデータと卓越したセキュリティ インテリジェンスの上に構築されます。Cisco Security Intelligence Operations、Talos セキュリティ インテリジェンスおよび調査グループ、および AMP Threat Grid 脅威インテリジェンス フィードは、業界最大レベルのリアルタイム脅威インテリジェンスを形成しており、業界トップクラスの広範な可視性とフットプリントを誇り、複数のセキュリティ プラットフォームで動作する柔軟性を備えています。このデータはクラウドから AMP クライアントにプッシュされるため、常に最新の脅威インテリジェンスを活用できます。

また、シスコの AMP Threat Grid テクノロジーを Cisco AMP for Endpoints に統合することにより、ファイルの構造だけではなくファイル送信の動作も評価する、独自の 350 個以上の動作指標を利用できます。これによって、関連する HTTP や DNS トラフィック、TCP/IP ストリーム、影響するプロセス、およびレジストリ活動を含む未知のマルウェアに対する洞察を得ることができます。また、AMP Threat Grid はコンテキストリッチな実用的コンテンツを毎日提供しており、毎月 800 万以上のサンプルを分析し、アーティファクトの数は数十億にも上ります。最後に、AMP Threat Grid の非常に正確なコンテンツ フィードは、既存のセキュリティ テクノロジーとシームレスに統合できるよう標準形式で提供されているため、それぞれの組織固有のコンテキストリッチなインテリジェンスを生成できます。

サードパーティによるテストで Cisco AMP は最高評価を獲得


2014 年の NSS Labs 侵害検出システムの比較分析レポートによると、シスコは NSS Labs の侵害検出システム セキュリティ バリューマップで最高評価を獲得しました。この比較製品テストで AMP が獲得した結果は以下のとおりです。

  • 全体的な検出率はトップ
  • 検出時間は最短
  • 保護される Mbps ごとの総所有コストは最も低い
  • セキュリティ バリュー マップの最上位に位置

NSS Labs の結果は、Cisco AMP for Endpoints が最高レベルのセキュリティ効率とコストに対する価値を提供することを示しています。

表 1 に、Cisco AMP for Endpoints の優れた機能とその説明を示します。表 2 に、ソフトウェア要件を示します。

表 1. Cisco AMP for Endpoints の機能とメリット

機能 メリット
継続的な分析 Cisco AMP for Endpoints は、クラウド ベースのビッグデータ分析を利用し、長期間かけて収集されたデータを継続的に再評価して、ステルス性の高い攻撃を検出します。これは、ポイントインタイム検出にはない機能です。
レトロスペクティブ セキュリティ Cisco AMP for Endpoints は、クラウド ベースのビッグデータ分析を利用し、長期間かけて収集されたデータを継続的に再評価して、ステルス性の高い攻撃を検出します。これは、ポイントインタイム検出にはない機能です。
ダッシュボード 環境全体の状況を一元化されたビューで把握できます。ホスト、デバイス、アプリケーション、ユーザ、ファイル、位置情報に加えて、高度で永続的な脅威(APT)、脅威の根本原因やその他の脆弱性など、包括的なコンテキストを 1 つのビューにまとめることで、十分な情報を基にセキュリティに関する決定を下せるようになります。
Collective security intelligence Cisco Security Intelligence Operations、Talos セキュリティ インテリジェンスおよび調査グループ、および AMP Threat Grid 脅威インテリジェンス フィードは、業界最大レベルのリアルタイム脅威インテリジェンスを形成しており、業界トップクラスの広範な可視性とフットプリントを誇り、複数のセキュリティ プラットフォームで動作する柔軟性を備えています。
侵害の痕跡 侵害の痕跡(IoC)とは、潜在的な侵害活動に関連付けられ、優先的な対処が必要とされるファイルおよびテレメトリのイベントです。Cisco AMP for Endpoints は、複数のソースからのセキュリティ イベント データ(侵入やマルウェアなどのイベント)を自動的に関連付け、イベントをより大規模な組織的攻撃に結び付けたり、リスクの高いイベントの優先順位を付けたりできます。
ファイル レピュテーション 高度な分析と集合型インテリジェンスを組み合わせることにより、悪意のあるファイルかどうかを判断し、より正確な検出につなげることができます。
ファイル分析およびサンドボックス 未知のゼロデイ脅威を検出するために、サンドボックスと呼ばれる安全な環境でマルウェアを実行、分析、テストできます。AMP Threat Grid のサンドボックス テクノロジーを Cisco AMP for Endpoints に統合することで、より多くの動作指標に対してより動的な分析を実行できます。
レトロスペクティブな検出 拡張分析後にファイルの性質が変化した場合に警告を送信し、最初の防御をすり抜けたマルウェアについての情報と可視性を提供します。
ファイル トラジェクトリ(感染経路追跡) 環境全体にわたるファイル伝播を継続的に追跡することで、ファイルの可視性を実現し、マルウェアによるセキュリティ侵害の範囲をすみやかに特定することができます。
デバイス トラジェクトリ(感染経路追跡 デバイス上およびシステム レベルでの活動や通信を継続的に追跡することで、根本原因をすみやかに把握し、セキュリティ侵害の前後のイベント履歴を把握できます。
エラスティック サーチ ファイル、テレメトリ、および集合型セキュリティ インテリジェンス データに対してシームレスな検索を実行し、IoC や悪意のあるアプリケーションの影響を受けているコンテキストや範囲をすばやく把握できます。
普及率の低いファイル 組織内で実行されているすべてのファイルを、普及率が低い順に並べて表示することで、少数のユーザのみが影響を受ける、以前は検出できなかった脅威を浮かび上がらせることができます。少数のユーザのみが実行するファイルでも、拡張ネットワーク内で実行することが望ましくない、悪意のあるアプリケーション(ターゲット型の高度な永続的脅威など)や疑わしいアプリケーションである場合があります。
エンドポイント IoC ターゲット型攻撃を捕捉するために、その導入環境固有の IoC を提出することができます。セキュリティ チームは、これらのエンドポイント IoC を利用して、環境内のアプリケーションに固有の、あまり知られていない高度な脅威を詳細に調査できます。
脆弱性 脆弱なソフトウェアを含んでいるホストのリスト、各ホスト上の脆弱なソフトウェアのリスト、および最も侵害される可能性が高いホストを示します。AMP はシスコの脅威インテリジェンスとセキュリティ分析をベースにして、マルウェアのターゲットとなっている脆弱性のあるソフトウェアを特定し、潜在的な欠点を指摘し、優先順位付けされたホスト パッチを提供します。
アウトブレイク制御 疑わしいファイルや感染を制御し、コンテンツの更新を待たずに感染をすばやく適切に制御、修復します。アウトブレイク制御機能では、シンプルなカスタム検出によってすべてのシステムまたは選択したシステム上の特定のファイルをすばやくブロックできます。高度なカスタム シグニチャは、一連のポリモーフィック型マルウェアをブロックできます。アプリケーション ブロック リストは、アプリケーション ポリシーを適用し、マルウェアのゲートウェイとして使用されている感染アプリケーションを封じ込め、再感染サイクルを阻止します。カスタム ホワイトリストは、安全、カスタム、またはミッションクリティカルなアプリケーションを、何が発生しても実行し続けるために役立ちます。デバイス フローの相関関係は、ソース(特に企業ネットワーク外のリモート エンドポイント)におけるマルウェアのコールバック通信を阻止します。
AMP Threat Grid との統合 AMP Threat Grid のサンドボックス テクノロジーと高度なマルウェア分析機能が統合されており、ファイルの活動を分析する 350 以上ものユニークな動作指標と、わかりやすい脅威スコア、さらに世界中の脅威から幅広い範囲で収集された数十億に及ぶマルウェア アーティファクトを利用できます。
AMP プライベート クラウド仮想アプライアンス パブリック クラウドの使用に制限のある、厳格なプライバシー要件を持つ組織のために、オンプレミス型の遮断ソリューションとして構築された AMP for Endpoints も用意されています。
AnyConnect v4.1 からの起動 Cisco AnyConnect v4.1 リモート アクセス VPN クライアントをインストールすれば、そのリモート エンドポイント上でエンドポイント コネクタ用 AMP を起動できます。これにより、VPN 対応エンドポイントに対してエンドポイントの脅威防御をすみやかに広げ、リモート ホストからの攻撃の可能性を最小限に抑えることが可能となります。リモート エンドポイントに関する洞察をより多く入手して、攻撃中や攻撃後の修復を迅速に実施できるようにします。

表 2. ソフトウェア要件

Cisco AMP for Endpoints
  • Microsoft Windows XP(Service Pack 3 以降)
  • Microsoft Windows Vista(Service Pack 2 以降)
  • Microsoft Windows 7
  • Microsoft Windows 8 および 8.1
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2012
  • Microsoft Windows Embedded POSReady 2009
  • Microsoft Windows Embedded POSReady 7
  • Mac OS X 10.7 以降
Android モバイル デバイスでの Cisco AMP for Endpoints
  • Android バージョン 2.1 以降
  • プラットフォーム サポートと互換性


    Cisco AMP for Endpoints には、Cisco AMP for Endpoints のライセンスとサブスクリプション(1、3、5 年オプション)および軽量コネクタが含まれます。Cisco AMP for Endpoints は、Cisco AMP for Networks と互換性があります。また、リモート エンドポイントで Cisco AnyConnect v4.1 から Cisco AMP for Endpoints を起動することもできます。

    保証に関する情報


    保証については、Cisco.com の製品保証 ページ [英語] を参照してください。

    購入方法


    購入をご希望の場合は、購入案内ページにアクセスするか、シスコのセールス担当者へ連絡、または 800 553-6387 までお電話ください。

    詳細情報


    詳細については、以下のリンクをご覧ください。