Cylance(サイランス)とは、AIを搭載したアンチウイルスとEDR(Endpoint Detection and Response)、MDR(Managed Detection and Response)のシリーズ名です。マルウェアの手口や種類の多様化に伴い、アンチウイルスも進歩を遂げました。変化する環境に対応する手段の一つとして、「CylancePROTECT(サイランス プロテクト)」と、その姉妹サービスである「CylanceOPTICS(サイランス オプティクス)」「CylanceGUARD(サイランス ガード)」があります。
実際に製品説明を受けたLISKUL編集部が、他製品との違いや強みをまとめました。製品の特徴や機能、料金、評判をご紹介しています。
コンピューターウイルスをはじめとした、マルウェア対策に不安がある方や、日ごとに増す脅威への対応に辟易している管理者の方、旧来のやり方でセキュリティの危険を経験した方は、ぜひチェックしてみてください。
「3分でわかる!CylancePROTECT」を無料でダウンロード
目次
※本記事はエムオーテックス株式会社提供によるスポンサード・コンテンツです。
Cylanceとは
Cylance(サイランス)とはCylancePROTECT(アンチウイルス)・CylanceOPTICS(EDR)・CylanceGUARD(MDR)のシリーズ名を指します。
CylancePROTECTはAI(人工知能)を使った次世代型アンチウイルス製品であり、予防や防御など先回りのウイルス対策ができます。
具体的には、外敵からの侵入を阻止する「CylancePROTECT」をベースに、EDRの「CylanceOPTICS」やMDRサービスである「CylanceGUARD」を、自社の状況に応じて組み合わせて活用できます。
「アンチウイルスとEDRは何が違うの?」
「MDRって必要なの?」
「何を導入すれば良いの?」
と疑問が浮かぶ方のために、それぞれのツールが果たす役割を図にまとめてみました。
「CylancePROTECT」「CylanceOPTICS」「CylanceGUARD」の違い
「CylancePROTECT」「CylanceOPTICS」「CylanceGUARD」はそれぞれ役割が異なります。
※LISKUL編集部にて作成
※クリックで拡大できます
一言でまとめると、「CylancePROTECT」はマルウェアの侵入を防ぐ役割、「CylanceOPTICS」は侵入後の対応をする役割、「CylanceGUARD」は前出の2つの役割にプラスして専門家による監視と対応を行うものです。
「CylancePROTECT」はインターネットやUSBなどの外部ストレージからデバイスに取り込まれたファイルを検証し、疑わしいものを検知します。それらを即時に隔離、またはアラートを出すことによって、マルウェアからの攻撃を防ぐものです。
「CylancePROTECT」は99%※のマルウェアを検知できるのが特徴です。AIを用いて学習したマルウェアの特徴とファイルの特徴を照らし合わせ、ファイルの善悪を判断します。そのため、人がまだ発見していないマルウェアを検知することが可能です。
※ 2023年3月Tolly社のテスト結果より
「CylanceOPTICS」では、怪しいプロセスの振る舞いの検知や、すり抜けてしまった1%のマルウェアからデバイスを防御する役割があります。PC上で怪しい動きをしていないか継続監視し、危険を察知したらアラートを出します。管理者はそのアラートの内容に応じてファイルの削除や復旧などの対応をおこないます。
「CylanceGUARD」は、「CylancePROTECT」と「CylanceOPTICS」が出したアラートへの対応や復旧作業の指示など、オペレーション業務を外部のサポートチームに任せられるMDRサービスです。社内に情報システム部署がない場合や、なるべく少ない工数でハイレベルなセキュリティを構築したい場合は「CylanceGUARD」の導入がおすすめです。
従来型アンチウイルスと次世代型アンチウイルスの違い
※資料より引用
※クリックで拡大できます
従来型と次世代型では、マルウェアの検知技術が根本的に異なります。
長らくアンチウイルスに用いられていたのは「パターンファイル」というブラックリストのようなデータを用いた検知方法でした。すでに発見されているウイルスの情報をユーザーのデバイスにダウンロードし、それに該当する脅威をブロックするという仕組みです。しかし現代は毎日数え切れないほどのマルウェアが誕生しています。その情報を拾い上げデバイスに配布する作業の間にも未知の脅威から攻撃を受ける可能性があるのです。
そこで現れたのがAIを駆使して未知のマルウェアを検知する次世代型です。機械学習によって、先述のブラックリストのようなものに頼らずマルウェアを特定することが可能です。
そのため、人が未だ発見していない未知の脅威を検知することができるのです。「CylancePROTECT」が99%という検知率を誇るのは、そのような検知技術を用いていることが根拠に挙げられます。
アンチウイルス製品選定の際に注意しておきたい点は、「AI」を使っているからといって必ずしも次世代型とは限らない点です。中には「パターンファイル」をベースにAIが学習するという手法を使っているものがあります。情報の参照元が人の手によって集められたブラックリストである以上、未知のマルウェアを完全に防げるとは言い切れません。
CylancePROTECTとは
「CylancePROTECT(サイランス プロテクト)」はAIを活用したマシンラーニングによる予測検知が可能なアンチウイルスソフトです。従来のアンチウイルスの多くはパターンファイルを用いた検知方式でしたが、AIの力によってマルウェアを検知するため、スピーディかつ高精度な検知が可能です。
AI技術による高精度な検知
※資料より引用
「CylancePROTECT」は最新のランサムウェアやEmotetなど、未知・亜種のマルウェアを含む99%の脅威を検知します。実際、従来式の技術を用いたアンチウイルスとの比較を行なったというユーザーからは検知率の違いを実感したという声が挙がっています。
過去に発見したマルウェアや正常なファイルを10億以上収集し、クラウド上のAIが機械学習をおこないます。そこから特徴を抽出し数値化したデータを元に数理モデルを作成。「CylancePROTECT」をインストールしたデバイス上で自動で活動します。
管理者の負担を最小限に
従来の製品に比べ管理者の作業工数が少ない点は大きなポイントです。その理由としては3つ挙げられます。
1つ目は「パターンファイル」を用いないAI型のアンチウイルスソフトであることから、ソフトの更新作業がほとんどない点です。これは大きな工数削減と言えるでしょう。
2つ目は、従来型ではPCを起動するたびにフルスキャンを行う必要がありましたが、「CylancePROTECT」のフルスキャンは初回のみになっています。その後は新しいデータが入ってきたタイミングで検知・隔離を行います。
3つ目は端末の負荷が少ない点です。通常運用時のCPU負荷は平均0.3%。エンドユーザーの通常業務を妨げません。実際に導入した企業ではPCへの負荷が軽減されたことを実感したという声が集まったそうです。
主要機能
「CylancePROTECT」の主な機能は以下の通りです。
| 機能 | 概要 |
| マルウェア実行制御 | AI(人工知能)で脅威を予測し、マルウェアの実行を阻止します。毎日のスキャンは不要で、ファイルシステム変更時にスキャンします。潜在的に望ましくないプログラムが環境に入るのを拒否します。 |
| メモリ保護 | メモリの悪用、脆弱性攻撃、プロセスインジェクション、特権昇格、シェルコード/ペイロード攻撃を防御します。 |
| スクリプト制御 | 不正なパワーシェルとアクティブスクリプトや、危険なVBAマクロを制御します。また、ファイルを残さない攻撃の阻止や危険なドキュメントファイルの制御も行います。 |
| アプリケーション制御 | 機器で利用する機能を限定して利用バイナリを制御します。また、不正なバイナリの実行や任意のバイナリの変更を阻止します。 |
CylanceOPTICSとは
「CylancePROTECT(サイランス プロテクト)」のオプションとして追加できるEDRです。EDRとは通常単体で用いるものではなく、アンチウイルスとセットで使用されます。「CylanceOPTICS(サイランス オプティクス)」は「CylancePROTECT」とセットで利用することを想定しています。
防御に特化したEDR
アンチウイルスである「CylancePROTECT」がAIによるマルウェア防御の機能を果たすのに対し、EDRである「CylanceOPTICS」は攻撃被害に遭ってしまった際の対策を行うことが主な役割です。100%防げる攻撃は無いことから、攻撃被害に遭ってしまった際の対策としてEDRの導入を検討する企業が増えています。
主な機能は、システムログの継続的な収集・監視と、怪しい挙動があった際の封じ込め(感染したデバイスの切断)です。問題がなかった場合はファイルを復旧し、原因や侵入経路の調査も行うことができます。
手間も価格もローコスト
※資料より引用
※クリックで拡大できます
一般的なEDRに比べ、管理者への負担が少ないという特徴があります。EDRはアンチウイルス(EPP)と組み合わせ使用するツールであることから、アンチウイルスの性能がEDRの運用負荷に影響します。「CylancePROTECT」の場合は検知率が99%と高く、すり抜けてしまうマルウェアを最小限に抑えられます。それによってEDR管理者の工数を最小限に抑えることができるのです。万が一実行されてしまった場合も、「CylanceOPTICS」が脅威の封じ込めを行うことから、被害と復旧の手間の最小化をさせることが可能です。
価格は一般的なEDRと比較して半額程度となっています。これだけの性能を考えるとコストパフォーマンスは良いといえるでしょう。
主要機能
「CylanceOPTICS」の主な機能は以下の通りです。
| 機能 | 概要 |
| 脅威ハンティング(検索)機能 | 指定したキーワードでPC内のファイルを検索できます。ニュースなどで新たな脅威に関する情報を得たとき、環境内に該当のファイルが存在しないか調べたい時に便利です。 |
| 根本原因分析と侵入経路調査 | マルウェアの動きをタイムライン形式で表示し、どこで侵入したか、どんな動きをしていたか閲覧する機能です。再発防止などに活用できます。 |
| ネットワークからの切り離し | 怪しいファイルを検知したらネットワークから隔離します。他のデバイスに被害を及ぼすことを防ぎます。 |
| 検知インシデントへの自動レスポンス | 検知した内容に応じて処理を自動で行う設定ができます。業務への支障が懸念される場合は手動での処理も可能です。 |
CylanceGUARDとは
「CylancePROTECT(サイランス プロテクト)」「CylanceOPTICS(サイランス オプティクス)」の稼働状況を、BlackBerry社の専門家が24時間365日監視するサービスです。
専門チームによる24時間365日体制での監視
※資料より引用
※クリックで拡大できます
常時監視のため、マルウェアからの攻撃に素早く対応することができます。問題発生時や質問がある時は利用者からMDR担当者に直接の問い合わせが可能で、応答時間は平均9分です。
一般的なMDRサービスの中にはオペレーター経由でしかMDR担当と連絡を取れないものもあります。緊急時に迅速な対応ができない可能性があり、MDRとしては少々もったいないと言えるでしょう。
セキュリティ専門家に直接連絡が可能である点は大きなメリットです。監視員は全員がサイバーセキュリティの修士号を持ち、世界的なSOCコンテストで優勝経験もあります。
検知アラートへの対応を極小化
「CylanceOPTICS」では、検知ルールを自社の環境に即した設定に変更することができます。「CylanceGUARD」を利用していれば、その設定をお任せすることも可能です。
実際のところEDRを使いこなすにはある程度の知識が必要です。MDR担当者をつけることで、社内セキュリティに詳しい担当者がいない企業でも強固なセキュリティ環境を構築することができるでしょう。巧妙化するサイバー攻撃に対応していく上では専門家の手を借りることも検討すべきだと考えられます。
※資料より引用
※クリックで拡大できます
EDRの利用経験がある情報システム担当者の中には、日々の検知アラートへの対応に追われてしまうという悩みを抱えている方も多いそうです。MDRサービスである「CylanceGUARD(サイランス ガード)」は、通知アラートを読解し必要なものに絞って通達してくれます。“無意味なアラート”への対応から解放されるのは大きなメリットです。
主要機能
| 機能 | 概要 |
| プレミアムオンボーディング | 最新のサイバー攻撃にも、すぐに対処。CylanceGUARDは、世界で発生しているサイバー攻撃情報を常にチェックしています。新しい脅威情報を見つけ次第、必要に応じて設定を適用します。 |
| プロアクティブチューニング | “最適な設定”をエキスパートがご提案 。効果的なEDR運用には、「自社に適した設定」が欠かせません。CylanceGUARDは、お客様とのお打ち合わせを通して、お客様に適した設定をご提案します。 |
| 脅威検出ハンティング | AIや外部の情報を常に監視し、日々発生する脅威についてハンティングを駆使し、迅速に通知や対応を行う仕組みを構築しています。 |
| MDR 担当者に直接連絡ができる | 一般的な MDR サービスは、オペレーターを経由するため担当者の応答が遅れることがあります。CylanceGUARD は担当者に直接問い合わせが可能で、すばやく回答を得ることができます。 |
Cylanceで解決できる課題
「CylancePROTECT(サイランス プロテクト)」「CylanceOPTICS(サイランス オプティクス)」「CylanceGUARD(サイランス ガード)」を導入することで、次のような課題を解決できます。
- パターンファイルを用いた従来型アンチウイルスの検知率に不安がある
- 日々進化し続ける未知のマルウェア、ゼロデイ攻撃への対策が不十分
- 現在利用しているアンチウイルスが端末にかける負荷が高く業務に支障が出ている
- EDRを入れたことで、誤検知の対応に追われ管理者の負担が増えた
- 検知アラートに関する通知が遅いなど、現在利用しているMDRのサービスに不満がある
Cylanceでは既知のマルウェアだけではなく、未知のマルウェアを防ぐことができます。
※資料より引用
※クリックで拡大できます
これらの課題解決の裏付けとなる最も大きな要因はAIを用いたアンチウイルス「CylancePROTECT」の高い検知率です。これは類似製品にはない特徴であり、自社のセキュリティを強固にするための強力な味方になってくれると考えられるでしょう。
Cylanceはどんな企業におすすめ?
ここまで述べた製品の特徴を鑑みて、Cylanceがフィットしやすい企業とフィットしにくい企業についてまとめました。
Cylanceがフィットしやすい企業
- セキュリティに関して事前に防御できることを重視している企業
- 現状、管理者の運用負荷を感じていて、軽減したいと考えている企業
- EDRの運用負荷を軽減したい企業
- インターネット非接続端末のウイルス対策を行いたい企業
Cylanceの強みはAIの力によって未知のアンチウイルスを検知できることです。高い検知率でデバイス内部にマルウェアを侵入させないので、セキュリティ管理者の作業工数を大幅にカットできます。EDRのアラート対応などに追われている場合は特に、違いを感じることができるでしょう。
また、「CylancePROTECT」はそれぞれのデバイスにAIをインストールします。端末上で脅威の判定を行うため、インターネット非接続端末のウイルス対策もできるのです。「AI」と銘打った製品の中には、クラウド内にのみAIが存在するものがありますが、オフライン時に実行されてしまった場合、手遅れになりかねません。
Cylanceがフィットしにくい企業
- 製品の認知度を重視する企業
- 運用負荷軽減に課題感がない企業
- 多機能の製品を求める企業
Cylanceは比較的まだ新しいツールのため、クチコミや評判などが十分に揃っていません。また、Cylanceの機能は非常にシンプルなため、機能の要件にそぐわない可能性があります。
Cylanceの導入までの流れ
Cylanceを導入する場合、以下の方法があります。
- 提供元であるBlackBerry社に直接問い合わせる
- BlackBerryの国内販売パートナーを通じて導入する
基本的には上記のいずれかの方法で始めるのが一般的です。
BlackBerry社に直接問い合わせる場合は最新情報を入手することが可能です。
一方パートナー企業を通じて導入する場合は、独自のサービスやサポートを受けられることが多いです。
専門性の高いパートナー企業を通じて導入するのも一手
社内に技術者がいない場合、専門性が高く、サポートが手厚いパートナー企業に依頼すると良いでしょう。
例えば販売代理店によっては、Cylanceの導入を決定する前に、無料お試し期間を活用できます。従来製品との比較や使い勝手の検証をすることが可能です。
7年連続「パートナーオブザイヤー」を受賞しているエムオーテックス
エムオーテックス株式会社(MOTEX)はサイバーセキュリティ関連のプロダクト開発とサービス事業を行っています。主に、IT資産管理とエンドポイントセキュリティを中心に事業を展開しています。
Cylanceの日本市場におけるOEMパートナーとして、BlackBerry Japanの「パートナーオブザイヤー」を7年連続受賞するなど高い実績を誇ります。
MOTEXは運用支援に注力しており、セキュリティメーカーの技術者が直接運用をサポートしてくれるので、専任担当者がいない企業でも運用が可能です。
1カ月の無料トライアルを行っており、自社のPCに「CylancePROTECT(サイランス プロテクト)」「CylanceOPTICS(サイランス オプティクス)」をインストールして使い勝手を確かめることができます。
お試し台数は無制限なので、実践的な検証となるでしょう。また、セキュリティに精通したエンジニアによる質の高いサポートが受けられます。サポートのもとで構築した体験版環境は、製品版に引き継ぐことができるので、導入までの流れがスムーズです。
導入に至らなかった場合でも、マルウェア検知結果のサマリーレポートを受け取ることができます。(希望者のみ)
Cylanceの料金体系
MOTEXでCylanceを導入する場合の料金体系は次の通りです。
| サービス | 料金 |
| CylancePROTECT | 月額450円/1台 [ 年額 5,400円/1台] 5台から導入可能 |
| CylanceOPTICS | 月額 600円/1台 [ 年額 7,200円/1台] 5台から導入可能 |
| CylanceGUARD | ※要問い合わせ |
Cylanceの導入事例・評判
MOTEXの公式サイトでは、導入実績が公開されています。実際に「CylancePROTECT(サイランス プロテクト)」「CylanceOPTICS(サイランス オプティクス)」「CylanceGUARD(サイランス ガード)」を導入している企業からの評価やクチコミを調べてみました。
検知率の向上でセキュリティ強化を達成したオフィスメーション株式会社の事例
情報通信業を営むオフィスメーション株式会社は、パターンマッチング型のアンチウイルスソフトから、「CylancePROTECT」に変更した企業です。
同社は「CylancePROTECT」の導入によって、パターンファイル型のアンチウイルスソフトでは検知できないファイルを検知できるようになったという成果を得ました。
導入の決め手となったのは、マルウェアの検知率、オフライン時でもマルウェアの検知・隔離が可能な点、管理者の運用負荷の軽減や業務効率の向上につながる点を挙げています。
選定ポイントでもあった検知率の高さを実感できたようです。導入初期に既存のアンチウイルスと検知性能の比較テストを行なった際、違いが明らかに出たと話しています。
「これまで利用していたパターンファイル型のアンチウイルスソフトと、次世代型AIアンチウイルスであるCylancePROTECTの両方をPCにインストールした状態で、テスト用の検体を検知できるか試してみたところ、パターンファイル型のアンチウイルスソフトでは検知できないファイルをCylancePROTECTが検知できることを確認した」
引用:導入事例/ユーザーの声|オフィスメーション株式会社 様| LANSCOPE サイバープロテクション
管理者の対応時間を1/20までに削減させたBXゆとりフォーム株式会社の事例
建設業を営むBXゆとりフォーム株式会社は、パターンマッチング型のアンチウイルスソフトから「CylancePROTECT」「CylanceOPTICS」に変更した企業です。
導入による成果として、運用負荷の軽減を挙げています。月に4〜5時間相当だった対応時間を10分〜15分程度までに減らすことができました。
導入の決め手となったのはマルウェアの検知率が高く、PCにかかる負荷が少ない点だったそう。
評価としては管理者の工数削減が大きなポイントとなっているようです。検知アラートに即座に対応できることや、管理時間そのものを大きく減らすことができたようです。
「これまでは週に1回程度、定期的に管理コンソールを開いて検知状況や、パッチ適用の有無を確認していたが、CylancePROTECT導入後は、気になったことがあるタイミングで見に行けばよく、管理者の負荷は軽減されている」
て「1回1時間で月4〜5時間相当だったものが、1ヵ月に10分〜15分程度に減っている」
引用:導入事例/ユーザーの声|BXゆとりフォーム株式会社 様| LANSCOPE サイバープロテクション
「検知のアラート通知があったときに、即座に対応が可能になった」と話す。パターンマッチング型のアンチウイルスでは事後に気づくケースもあったが、CylancePROTECT導入後は検知から対応までがシームレスでスピーディになったということだ。
引用:導入事例/ユーザーの声|BXゆとりフォーム株式会社 様| LANSCOPE サイバープロテクション
まとめ
ここまで、Cylanceの特徴や機能、EDRやMDRを含めた役割の違いなどをご説明しました。
「CylancePROTECT(サイランス プロテクト)」はAIを用いた次世代型アンチウイルスであることから未知のマルウェアを検知することができ、デバイスへの攻撃を防ぎます。
「CylanceOPTICS(サイランス オプティクス)」はEDR機能で、万が一マルウェアがデバイス内に侵入してしまった場合の追跡を行います。
「CylanceGUARD(サイランス ガード)」はMDRサービスで、外部からの監視やアラートへの対応を一任することができます。
マルウェアの進化など、外部環境の変化に応じてセキュリティを見直すことは重要です。そんな中で「CylancePROTECT(サイランス プロテクト)」「CylanceOPTICS(サイランス オプティクス)」「CylanceGUARD(サイランス ガード)」はAIがますます進歩するこれからの時代に味方となってくれるでしょう。
「3分でわかる!CylancePROTECT」を無料でダウンロード
※本記事はエムオーテックス株式会社提供によるスポンサード・コンテンツです。
コメント