// シス担のミカタ
セキュリティ製品 - エンドポイント

SentinelOne せんちねるわん

EDRエンドポイントセキュリティAIセキュリティマルウェア検知自律型防御XDR
SentinelOneについて教えて

簡単に言うとこんな感じ!

パソコンやサーバーを守るセキュリティソフトなんだけど、普通のウイルス対策ソフトと違ってAIが「怪しい動き」をリアルタイムで見張ってくれるんだ。攻撃を受けても自動で食い止めて、元の状態に戻せる”自律型”なのが最大の特徴だよ!

SentinelOneとは

SentinelOneは、アメリカの同名企業(SentinelOne, Inc.)が開発・提供するエンドポイントセキュリティプラットフォームです。エンドポイント(PC・サーバー・仮想環境など)にエージェントと呼ばれる小さなプログラムをインストールし、AIと機械学習を使って脅威をリアルタイムで検知・遮断します。

従来のウイルス対策ソフトは「既知のウイルスのパターン(シグネチャ)」と照合する方式が主流でしたが、SentinelOneは振る舞い検知(ビヘイビア分析)を核心技術として採用しています。そのため、世の中に出たばかりの新種マルウェアや、ファイルを使わない「ファイルレス攻撃」にも対応できる点が高く評価されています。

製品ラインナップは EPP(Endpoint Protection Platform)EDR(Endpoint Detection and Response) の機能を統合しており、さらに XDR(Extended Detection and Response) へと拡張できるプラットフォームとして、大企業から中堅企業まで幅広く導入されています。

SentinelOneの主要機能と仕組み

機能カテゴリ機能名概要
予防・防御EPP(静的AI)ファイル実行前に機械学習で悪性判定
検知・対応EDR(動的AI)実行中の振る舞いを監視しリアルタイム遮断
巻き戻しStoryline™ + Rollback攻撃の経路を可視化し、感染前の状態に自動復元
脅威ハンティングSingularity XDRネットワーク・クラウドまで横断した脅威調査
管理Singularity管理コンソールクラウドベースの一元管理ダッシュボード
自動化Ranger(アセット管理)ネットワーク上の未管理デバイスを自動検出

「Storyline(ストーリーライン)」とは何か

SentinelOneの独自技術で、攻撃の「文脈」を自動でつなぎ合わせる仕組みです。どのプロセスが何を起動し、どのファイルを操作し、どこへ通信したか——その一連の流れを「物語(ストーリー)」として可視化します。セキュリティ担当者がログを手動で追わなくても、被害範囲と原因が一目でわかります。

競合製品との機能比較

比較項目従来のAVCrowdStrike FalconSentinelOne
検知方式シグネチャ中心AIクラウド判定AIオンデバイス判定
オフライン時の動作△(定義ファイル依存)△(クラウド通信必要)◎(オフラインでも動作)
自動ロールバック◎(標準搭載)
XDR拡張
エージェントの負荷軽〜中

歴史と背景

  • 2013年 — イスラエル系のセキュリティ研究者たちがシリコンバレーで創業。「シグネチャに頼らない次世代EPP」を目指してスタート
  • 2015年 — 製品を正式リリース。AIによる振る舞い検知が注目され、米国大手企業への採用が始まる
  • 2019年 — Fortune 500企業への導入が拡大。IPO(株式上場)への布石として評価額が急上昇
  • 2021年 — ニューヨーク証券取引所(NYSE)に上場。IT企業IPOとして当時最大規模の一つとなり時価総額が急伸
  • 2022年 — ログ管理・SIEM分野のスタートアップ「Attivo Networks」「Scalyr(DataSet)」を買収し、XDRプラットフォームを強化
  • 2023〜現在 — 生成AIを活用した「Purple AI(セキュリティアナリスト支援AI)」を発表。自然言語でのログ検索・脅威調査が可能に

EPP・EDR・XDRの関係と位置づけ

SentinelOneを理解するには、エンドポイントセキュリティの「3つの層」を整理すると分かりやすいです。

XDR(Extended Detection and Response) ネットワーク・クラウド・メール・アイデンティティまで横断した脅威検知・対応 Singularity XDR プラットフォームで実現 EDR(Endpoint Detection and Response) エンドポイント上の振る舞いを監視・記録し、侵害後の調査・対応を支援 Storyline™ によるアタックチェーン可視化・自動対応 EPP(Endpoint Protection Platform) マルウェアの実行を事前に防ぐ。静的AI(ファイル実行前)+動的AI(実行中) オフライン環境でも動作するオンデバイスAIエンジン エンドポイント(PC / Mac / Linux / サーバー / 仮想環境 / クラウドワークロード)

EPPが「攻撃を入口で防ぐ盾」、EDRが「入り込んだ脅威を追跡・排除する探偵」、XDRが「社内全体の脅威を統合監視する司令塔」と考えると分かりやすいです。SentinelOneはこの3層すべてを1つのエージェント・1つのコンソールで完結させている点が特徴です。

導入形態と管理方法

【SentinelOne 導入パターン】

① SaaS型(最も一般的)
   └── Singularity クラウドコンソール(管理画面)
         ├── PC(Windows/Mac/Linux)← エージェントをインストール
         ├── サーバー(物理/仮想)  ← エージェントをインストール
         └── クラウドワークロード   ← コンテナ対応エージェント

② MSSP(マネージドサービス)経由
   └── セキュリティ専門会社が監視・運用を代行
         └── 自社にセキュリティ担当者が不要なケースに最適

③ オンプレミス(一部大規模企業向け)
   └── 自社データセンター内にコンソールを構築

関連用語

  • EDR — Endpoint Detection and Responseの略。感染後の追跡・対応に特化したエンドポイントセキュリティ機能
  • EPP — Endpoint Protection Platformの略。マルウェアの侵入を事前に防ぐエンドポイント防御基盤
  • XDR — Extended Detection and Responseの略。エンドポイントを超えてネットワーク・クラウドを横断する脅威検知
  • SIEM — Security Information and Event Managementの略。ログを集約して脅威を検知する仕組み
  • マルウェア — ウイルス・ランサムウェアなど悪意あるソフトウェアの総称
  • ランサムウェア — ファイルを暗号化して身代金を要求する攻撃型マルウェア
  • ゼロデイ攻撃 — パッチ未公開の脆弱性を狙う攻撃。シグネチャ型対策が効かないため振る舞い検知が重要
  • CrowdStrike — SentinelOneの主要競合製品。クラウドAIによるエンドポイント防御プラットフォーム