このFAQページでは、お客様から寄せられることが多いご質問にお答えします。
サイバーセキュリティ対策でお困りの方は、ぜひこのFAQページをご活用ください。
EDR(Endpoint Detection and Response)について
- QEDRとはなんですか?
- A
EDR(Endpoint Detection and Response)とは、デスクトップ、ラップトップ、サーバー、モバイルデバイス、スマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。 アクトでは、「SentinelOne」や「cybereason」などのEDRにおけるグローバルリーダー製品を取り扱っております。
- QアンチウィルスソフトとEDRとの違いは何ですか?
- A
アンチウィルスソフトはプログラムがエンドポイントに保存されるときに、ファイルのパターンパッチングを用いてマルウェアを検知・防御します。 EDRはエンドポイントの振る舞い(ファイルの作成、レジストリの変更、管理者権限への昇格、認証、アプリケーションの動作等)を監視し、サイバー攻撃を検知・防御します。
- QEDRがあればアンチウィルスソフトは不要ですか?
- A
いいえ、両方を利用するのが望ましいです。 既知のマルウェアを用いた攻撃はアンチウィルスソフトで確実に防御し、侵入されてしまった後の攻撃をEDRで防ぐという異なる防御手段を持つことで、高いレベルのセキュリティを実現できます。 製品によってはSentinelOneのようにアンチウィルスとEDR機能が1つのエージェントとなっているものがあり、その場合は別途アンチウィルスソフトを購入する必要がなくなります。
- QEDRは運用が難しいと聞きましたが自社で運用できますか?
- A
EDRはひじょうに多くのデータを監視しているため、製品の機能のみでは攻撃かどうかを判定できない疑わしい振る舞いについても検知・アラートします。 そういったアラートが攻撃かどうかを自社で見極めるには、運用者に高度なサイバーセキュリティの専門知識が必要です。 自社に専門家がいない場合でも、自社に適したSOCサービスを用いることで運用が可能となります。
- QEDRを利用するにはオンプレミスに管理サーバーが必要ですか?
- A
アクトよりご提供している『SentinelOne』『Cybereason』については、クラウドの管理コンソールをご利用いただくため、オンプレミスに管理サーバーを立てる必要はありません。
- QEDRの導入を検討しています。トライアルすることは可能でしょうか。
- A
可能です。お客様情報をご入力していただく必要がございますので お問い合わせフォームより、お気軽にお問い合わせください。
- Q何ライセンスから購入できますか?
- A
新規商談の場合、SentinelOneは1ユーザー、Cybereasonは50ユーザーからの購入が可能です。
- Q医療機関、製造設備に付随する端末など、インターネットに接続しない環境での利用は可能ですか?
- A
特定のアウトバウンド方向の通信のみインターネットに出す設定により、通常の利用が可能です。詳細についてはお問い合わせください。
- Qうちは大手ではないので、大丈夫じゃないですか?
- A
大手企業の対策は完璧になりつつあり、中小企業さんの方が現在はむしろ危ないと言われています。今やEDRはインターネット上での必須の装備です。
SOC(Security Operation Center)について
- QSOCではどのような対応をしていただけるのでしょうか。
- A
アクトのSOC(Security Operation Center)は、 アラートの通知、アラート分析後のお客様への推奨作業の提示のみではなく、 サイバー攻撃の抑止作業、マルウェアの駆除、改ざんされたシステムのロールバック、 設定変更作業などの実行作業も代行して行っております。 また、SenntinelOne・cybereasonのEDRとアクトのSOCを組み合わせたサービスを提供させていただいておりますので、 ご興味がございましたらお問い合わせください。
- QSOCのレポート(調査結果報告・推奨作業定時)はアラート発生後、どのくらいの時間で発行されますか?
- A
1時間以内を目標に発行いたします。 製品により対象とするアラート、レポート内容が異なりますので、詳しくはお問い合わせください。
- QSOCでは英語対応もしてくれますか?
- A
はい、日本語・英語によるご対応が可能です。
- Qセキュリティの知識も無く、EDR製品の管理コンソールを操作出来る気がしないのですが
- A
アクトのゼロ・タッチSOCは、お客様の作業を極限まで排除するよう設計されています。
推奨行動をコンソールに記載するだけ、また誤検知/過検知の判断をユーザに任せっぱなしにするのではなく、操作はSOCにて対応しますのでご安心ください。
- Qどのような際に24時間365日対応が有効ですか?
- A
コンソールの監視および操作が社内で実施可能で、かつそれが24時間365日な場合、24時間体制のSOCを導入する効果は絶大です。その際はSentinelOneのMDR(Vigilance)をご案内します
- QアクトSOCは24時間365日対応ですか?
- A
SOCオペレータの有人対応は、平日日中帯の対応となっております。
ただし、SentinelOneの強力な自動化により、重大な脅威についてはソフトウェアが24時間保護を続けますのでご安心ください。
アクトのゼロ・タッチSOCは、お客様の作業を極限まで排除するよう設計されています。コンソールにログインしていただく必要はありません。Slack・メールでSOCオペレータとコミュニケーションしていただくだけで、ホワイトリスト・ブラックリスト化までの操作をSOC側が対応します
脆弱性診断について
- Qなぜ脆弱性診断を行った方がよいのでしょうか?
- A
サイバー攻撃者がシステムに侵入する手法の代表的なものとして、ソフトウェアの脆弱性の利用があります。 インターネットに置かれるWebサーバーやゲートウェイネットワーク装置(UTM/VPN装置など)に脆弱性があると、簡単に侵入されてしまいますので、診断を受けた上で、脆弱性が存在した場合は速やかに改修されることをお勧めいたします。
- Qアクトの脆弱性診断の特長は?
- A
アナリストによる動的ページのマニュアル診断と、ツールを使った静的ページの効率的診断を組み合わせたハイブリッド診断により、コストを抑えて十分な調査を行います。
- Qガイドラインや規格に準拠した診断は可能ですか?
- A
以下のガイドラインや規格に準拠した診断が可能です。 NIST SP 800-53、OWASP ASVS、CVSS、CVE、CWE
フォレンジック(インシデントレスポンス)について
- Qアクトのフォレンジック(インシデントレスポンス)サービスの特長は何ですか?
- A
サイバー攻撃を受けている最中にご利用いただくことで、被害を抑え攻撃者を駆逐することが可能です(著名ランサムウェアアクターの攻撃中に撃退した実績あり)。 SentinelOneのEDRエージェントが多数のエンドポイントのリアルタイム防御を行い、さらにアクトの経験豊富なアナリストがEDRから得られる詳細データを元に攻撃を発見・抑止いたします。 サイバー攻撃が収まった後の被害範囲調査・潜伏している攻撃者の駆逐ももちろん可能です。
IT導入補助金対象サービス「データお守り隊」について
- QIT導入補助金とはなんですか?
- A
IT導入補助金は、中小企業や小規模事業者の課題やニーズにあったITツール(ソフトウェア・サービスなど)の導入にかかる経費の一部を補助し、業務効率化やDXをサポートする制度です。
アクトが提供する「データお守り隊」はIT導入補助金 セキュリティ対策推進枠の対象です。
詳細はデータお守り隊 特設ページを確認ください。
- Qデータお守り隊とはどのようなサービスですか?
- A
独立行政法人情報処理推進機構(IPA)に認定されている
EDR+SOC+簡易サイバー保険がセットになったセキュリティサービスです。
従業員が利用する各端末(PC等)に導入し、ランサムウェアなどによる不審な挙動を検知・緊急時の迅速な対応を可能にします。
詳細はデータお守り隊 特設ページを確認ください。
- Q導入するにあたって初期費用などはありますでしょうか?
- A
初期費用は0円です。運用含めたフルサービスで1か月あたりの費用は1台1,000円(消費税別)となっており、導入しやすい料金体系となっております。
- Q申請手続きなどはどのようにすれば良いでしょうか?
- A
申請手続きも弊社が無料サポートさせていただいております。お気軽にご相談ください。
詳しくはデータお守り隊特設ページをご確認ください。
- Qトライアルをすることは可能でしょうか?
- A
はい、2週間の無償トライアルが可能です。 SentinelOne EDRと弊社SOCサービスをお試しいただけます。
SentineOneについて
- QSentineOneとはなんですか?
- A
SentineOneは、EDRのグローバルトップブランドで高水準のMITREベンチマークスコアを誇るEDR製品です。トップクラスの検知率・防御力を誇り、インターネット未接続でもAIエージェントがサイバー攻撃を検知・防御します。ロールバック機能も備わっているので、被害を受けた場合も即時復旧することが可能です。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーです。
- QSentineOne EDRの機能の特徴は何ですか?
- A
機能面に関する特徴としては下記が挙げられます。
・USBメモリの使用を強制的にロック
・ファイル操作を記録
・インストールされているアプリケーション情報を取得し脆弱性チェックを実行、悪意のあるアプリケーションを発見し隔離
・ネットワーク内SentineOneエージェントがインストールされていない端末、ネットワーク機器等を発見
- Qトライアルをすることは可能でしょうか?
- A
はい、2週間の無償トライアルが可能です。 SentinelOne EDRと弊社SOCサービスをお試しいただけます。
- QSentinelOne EDRの管理コンソールは日本語化されていますか?
- A
コンソールの日本語化の正式リリースは2024年に予定されており、ただいまベータ版で運用中です。
アクトのゼロ・タッチSOCを利用いただくことによってコンソールにログインしていただく必要が無くなりますので、英語コンソールを眺めたり、英語のNOTE欄を読み込んだりする必要は無くなります。
- QSentinelOne EDRをインストールするハードウェアの要件はありますか?
- A
要件は下記になります。
▮Windowsの場合
1 GHz CPU 以上
1 GB RAM 以上
Windows パーティション上に 2 GB 以上の空き容量
▮Macの場合
1 GHz dual-core CPU 以上
1 GB RAM 以上
2 GB 以上の空き容量
Linux
2 GHz Dual-core 以上
4 GB RAM 以上
OS 用に 25 GB 以上の空き容量
/opt/sentinelone に 2 GB 以上の空き容量
- Q従来型のアンチウィルスと併用はできますか?
- A
端末に2つのセキュリティ製品がインストールされていると、双方の製品が脅威をスキャンすることによる競合が発生するため、脅威の検出機能と保護機能が損なわれ、パフォーマンスの低下に繋がります。最適なパフォーマンスを維持するために、SentinelOneをインストール後は他のアンチウィルスをアンインスト ールすることを強く推奨します。
- Q従来型のアンチウィルスのように毎日スキャンしたりスケジュールでスキャンしたりするのでしょうか?
- A
SentinelOneでは導入時にフルスキャンを実施し、その後は書き込みで発生する差分のみをスキャンしており、従来型のアンチウィルスのような仕組みでのスキャンは必要ありません。スケジュールスキャンが実施されるお昼休みに端末が重くなるといった現象は発生せず、SentinelOneエージェントの動作の軽快さの一因となっています。
- Q対応OSを教えてください
- A
現在対応しているOSは以下になります。最新のOSにも対応しています。
▮Windows
7SP1, 8, 8.1, 10, 11▮Windows Server
2008 R2 SP1, 2012, 2012 R2, 2016, 2019, 2022▮Mac
11.0-11.7.9, 12.0-12.7, 13.0-13.6, 14.0-14.2▮その他
RHEL/CentOS RHEL/CentOS 6.4+
RHEL/CentOS 7.0+
RHEL/CentOS 8.0+Ubuntu
Ubuntu 14.04
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 19.04/19.10
Ubuntu 20.04Amazon Linux
2017.03, 2018.03, AMI 2その他Fedora、Debian、Oracle、SUSE等
- Qランサムウェアによる実害が発生など、重大事案の際にはどうすれば良いですか?
- A
重大事案時は、DFIR(Digital Forensic and Insident Response)モードへ直ちにかつシームレスに移行可能で、機能が大幅に拡大した専用テナントに移っていただきます。この際のエージェントは通常モードと同一のものが利用可能です。また、アクトは国内唯一のSentinelOne IRパートナーです。
- Qレポートはあるのでしょうか?
- A
コンソールからのレポートが、30日おきに自動で発行されます。