良いポイント
■管理サーバーについて
社内の約10000台のクライアント、500台のサーバに導入しています。管理サーバがクラウドのため、複数の管理サーバが不要で、10000台の端末でも3台の中継サーバで管理できています。Sophos Centralになってから、管理サーバ自身の管理が不要なので非常に運用が楽になりました。また、Centralの機能が豊富であり、この台数でも3名程度で管理できています。
■エンドポイントについて
クラウド管理のため常に最新の機能が利用でき、また、新たな脅威が発生しても早急に対応していただけます。昨年のEMOTETでは、EDRによっていち早く防御できたため、社内での被害はありませんでした。
Webプロテクション、ダウンロードレピュテーションなど、脅威を検知する機能が多数あり、バックエンドで静かに防御される強力な防御機能を備えており、マルウェア等の被害を大幅に削減できています。
EDRによる防御は協力で、何が原因で検知されたかグラフィカルに表示されます。脅威検知やLiveDiscoverなど、脅威原因を調査する機能が豊富にあり、非常に使いやすい製品です。
改善してほしいポイント
Sophosサーバ側に検知の問い合わせを頻繁に行うため、Proxyを専用化する必要に迫られました。また、Centralの管理機能が多数あり日々更新されていくのですが、ナレッジ公開されないため、どのように使いこなせばよいのか分かりません。もっとKBを多くし、管理者向けのセミナーなどを開催していただきたいです。
検知が多くありブロックされた原因系もわかるのですが、いざ”検体”を取得する方法が面倒です。クラウド管理ですので、検体やログを外部のサービスから取得できるようにしていただきたいです。
EDRでは、グレーウェアの検知でブロックされることが有るのですが、真の原因まで不明です。自社製のソフトウェアが検知されることが有り、調査もできないため、EDRをOFFにするという本末転倒な運用になっています。ここは大いに改善していただきたいところです。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
クラウド管理のため、どの場所にいても管理サーバー(Central)にアクセスできるため、出先での問い合わせでは非常に楽に立っています。検知状況を自動的に集計してくれるため、どのクライアントに原因が有るのか、その検知が何が原因になっているのかがわかるようになり、脅威の防御に大いに貢献できています。
ログも多くあるため、問題の有るクライアント・ユーザーを用意に表せるようになり、検知から対応までの時間が大幅に短縮できました、
検討者へお勧めするポイント
管理サーバを最小化できるため、大規模導入でも容易に導入できるところ。
強力かつ多数の検知・対応機能がある。
多くの機能が標準で備えられており、無償で追加されること。クラウド管理のOptiXの一部が無償化で利用できるようになった。
クライアントライセンスのため、他社より安価である。
