未知の脅威対策として驚異の防御率を誇る製品Cylance社の「CylancePROTECT」と連携したMOTEX。LanScopeCatの新機能「プロテクトキャット」として搭載されました。MOTEXにとって海外製品とのOEM連携は初めての試みです。もちろんその道のりは平坦ではありませんでした。

プロテクトキャットの開発リーダーが開発者としての想いや裏話を語ります。

進化する脅威から企業を守るプロテクトキャット

なぜLanScopeCatが、外部脅威対策を？」外部からの攻撃による企業の情報漏えい事件が続いています。日々高度化するサイバー攻撃の手口に対して、強固なセキュリティ対策を実施している大企業でさえも、サイバー攻撃を防ぎ切れていません。つまり、従来のウイルス対策ソフトでは、サイバー攻撃のために新たに作られたマルウェアから企業を守れていないといえるでしょう。

このような状況で、LanScope Catで培ったノウハウを外部からの脅威対策にも活かそうと、立ち上げたのがプロテクトキャット開発プロジェクトでした。

プロテクトキャットでは、米国Cylance社の開発した人工知能エンジンによるウイルススキャン機能を採用し、従来型のウイルスはもちろん、身代金ソフト、標的型攻撃など、未知のマルウェアについても検知することが可能になっています。そのマルウェア検知率は、99%に上ります。

さらに、この人工知能エンジンは、従来のウイルス対策製品に多かったシグネチャ型や振る舞い検知型と異なり、パターンファイルの更新不要で、さらにマルウェアが動作する前にファイルを解析し、感染前に脅威を食い止めることが可能になっています。

マルウェア検知後に始まる闘いをわずか4クリックで高速解決

検知率99％を誇る驚異の人工知能エンジン。しかし、マルウェアを検知して駆除するだけで、企業のセキュリティ対策は終わりません。

弊社が行ったセミナーのアンケートでは、31％の回答者が「検知後の原因特定が困難。」「原因が分からないので、OSから入れなおしている」と回答されています。むしろ、企業にとっては、マルウェアを検知・隔離してからが、”本当の対策”の始まりなのです。
感染経路を特定し、それに対策するということが必要になります。その対策なくしては、いつまで経ってもマルウェアに感染するリスクを減らすことはできません。

そこで、プロテクトキャットでは、LanScope Catの操作ログ機能により、マルウェア検知から「いつ、どの端末で、どんな操作が原因で、マルウェアが流入したか」を、わずか数クリックで追跡可能にしました。

プロテクトキャットの2つの柱！新しい価値の創造

プロテクトキャットは次の2つの考え方を軸として開発しました。
1．ウイルス対策製品では完結できない価値を提供する
2．リアルタイム性を追求する

最も重視したことは如何にLanScope Catの特徴がインシデント対策に活かせるかということです。従来のウイルス対策ソフトでは、マルウェアに感染した端末がどのように感染したかを知る術は端末利用者に当時の利用状況を尋ねるしかありませんでした。

プロテクトキャットであれば、マルウェアが流入した当時の操作ログを取得しているため、いかなる流入経路であっても、人の記憶に頼ることなく、端末での操作ログから的確に流入経路を把握することが可能となっています。

2つ目はマルウェアの感染から如何にタイムラグなく拡散防止策を実施できるような仕組みを作るかです。LanScopeCatは社内の端末が最も稼働している時間帯にできるだけ負荷を与えないように、データ更新という夜間処理を実施することでログを閲覧することができるという考え方の元、設計されています。
ですが、マルウェアの検知から原因を特定できるまでに1日もの時間を要するとなると、瞬く間にマルウェアは感染範囲を拡大します。

そこで、LanScope Cat誕生以来、一度も覆ることのなかった根本となる設計を覆し、データ更新不要でマルウェア検知前後のログを閲覧できる新たな仕組みを用意することで、マルウェアの検知から流入経路の特定、拡散防止対策までをリアルタイムに実施し、マルウェアの流入を抑える運用を可能にしました。設計と開発ではこの部分に最も時間を使い工夫しました。

MOTEX創設以来の規模感！太平洋横断PRJ

プロテクトキャットほど多くの人を巻き込んで生まれた機能はLanScope史上、他にありません。弊社グループ会社にとどまらず、β評価を行っていただいた先行ユーザー様、そして米国Cylance社のエンジニアチームと一緒になって進めたビッグプロジェクトとなりました。

プロテクトキャットにそれほど多くの人が関わる理由の1つに、現在もなお外部から攻撃を受けている企業に対して、一刻も早くプロテクトキャットをお届けし、役に立ちたいと考えたからです。この思いもありLanScopeCatはわずか半年で、内部からの情報漏えい対策に加えて、外部からの攻撃に対策できるツールへと進化しました。
ですが、これで完成ではありません。今回リリースする機能の価値をさらに高めるための機能を外部脅威対策の運用強化をテーマにプロテクトキャット第2弾として改良する予定です。

第2弾で運用面の改良を実施するにあたり、実際にご利用いただいた企業様のご意見を取り込み、より利用者のニーズに沿った機能にしたいと考えていますので、プロテクトキャットをぜひご活用ください。

● プロテクトキャット特設サイト
　https://www.lanscope.jp/cms/cat/special/protectcat/

この記事を書いた人
高山 比福
2010年入社、LanScope育ちの設計担当。プロテクトキャット第2弾に向けて邁進中。これを機にいかに渡米するかを人知れず画策することが最近の趣味。