trueNetLab ⚡️
Sophos アップデート 2025年9月 – ファイアウォール、エンドポイント、Eメール

Sophos アップデート 2025年9月 – ファイアウォール、エンドポイント、Eメール


2025年9月、Sophosは再び多数の新機能を発表しました。すべてを長いリストでまとめるのではなく、本記事では製品分野ごとに整理しています。管理者は自分の環境に関連する情報をすぐに見つけられるでしょう。結局のところ、すべての人がSophosのスイッチやアクセスポイントを利用しているわけではありません – もし使っているなら、それはお気の毒です。

主なポイントの概要

資格情報の窃取は依然として主要リスクであり、SophosはパスキーとITDRに注力しています。エンドポイントのアップデートはリソース消費を大幅に削減し、新しいフォレンジック機能を可能にします。ファイアウォール、スイッチ、アクセスポイントにも重要な追加があります。Eメールセキュリティは、無料で利用可能なDMARCツールとTLSレポート機能により注目度が増しています。さらに、ファイアウォール向けのプロモーション、新しい動画コンテンツ、ITSAやパートナービジネスブレックファストなどのイベントも予定されています。

Sophos エンドポイントセキュリティ

パフォーマンス改善

ようやくといったところです。バージョン2025.2.xでは、Sophosはエンドポイントのパフォーマンスを顕著に改善しました。CPUとRAMの消費が削減され、ユースケースによってはRAMが最大40%削減CPU負荷が最大30%削減されたとSophosは発表しています(Sophos News - Sophos Endpoint: Major performance enhancements)。特にVDI環境や古いシステムで効果を感じやすいでしょう。ここ数年、多くの顧客はSophosエンドポイントのリソース消費に不満を持ち、その結果Microsoft Defenderに乗り換えたケースもありました。こうした顧客は二度と戻ってきません。Sophosは技術的な追いつきだけでなく、失われた信頼の回復も必要です。

Sophos Endpoint パフォーマンス改善

Sophos Endpoint パフォーマンス改善

ロールアウトは段階的に行われます。混在環境ではCanaryグループを明確に定義し、広範囲に展開する前に計測を行うべきです。Sophos自身も、新バージョンを競合製品に対抗するものとして積極的に位置づけています。従来は「軽い・速い」という主張で他社が優位に立っていました。

レガシーサポート

古いプラットフォームを利用している企業向けに、新たにSophos Endpoint for Legacy Platformsが登場しました。これはWindows 7やサポート終了後のWindows 10といった公式に終了したシステムに対応します。理想的ではありませんが、現実的です。古い環境が残る案件でも、Sophosが即座に選択肢から外れることはなくなります。

フォレンジックAPI

新しいフォレンジックAPIは大きな進歩です。これにより、完全なメモリダンプをリモートで取得し、Amazon S3バケットに直接保存できます。RAMダンプも含まれます。これによりインシデント対応で現地作業が不要となり、大幅に時間を節約できます。取得したダンプはXDR/MDRプラットフォームで解析可能です。専用のメモリフォレンジックツールは依然必要ですが、データ取得はもはや出張ではなくスクリプトで済みます。

ドメインコントローラ & アイデンティティテレメトリ

ドメインコントローラ向けのテレメトリも拡張されました。PetitPotamのような攻撃はSophos Centralから直接検知できます。エンドポイント2025.1以降では、サーバーポリシーに「ドメインコントローライベントの監視」が標準で含まれており、すぐに利用可能です。

また、アイデンティティ関連のテレメトリ統合も強化されています。Microsoft Graph Security(XDR/MDRに無料で統合可能)を通じて、サインインイベント、Impossible Travelパターン、異常なトークン利用などを相関できます。これを基に、Centralでレスポンスアクションを定義でき、セッション無効化やユーザーロックまで対応可能です。

Sophos ファイアウォール & ネットワークセキュリティ

ネットワーク分野でもいくつかの注目すべき新機能があります。TAGISプラットフォームを通じてSophos Firewallを**Active Threat Response (ATR)**で制御できるようになりました。これは、XDRやMDRで検知されたIOC、IP、FQDNを自動的にファイアウォールに反映できるということです。エンドポイントと境界の統合が強化され、IOCイベントが即座にブロックされます。アナリストが複数のコンソールを慌ただしく切り替える必要はありません。

さらに、既にTAGIS/XDRを利用している顧客は追加コストなしでSophos Endpointを導入可能になりました。プラットフォームテレメトリを統合する上で障壁が減ります。

プロモーション情報: 新規ファイアウォール契約では、Sophosは最大25のエンドポイントライセンスを提供します。マーケティング色は強いですが、実際にはエンドポイントシグナルをATRに統合する上で有用です。ファイアウォール機能の詳細については、私の投稿 Sophos Firewall v21.5 を参照してください。

Sophos スイッチ

スイッチもアップグレードされました。MR 2.1以降、Spanning Tree Protocol (STP/RSTP) がSophos Centralから直接設定可能になりました。従来はスイッチにローカルログインして手動設定が必要で、他社に比べ明らかな不利でした。今後はサイトごとに一貫したポリシーを適用でき、Root-Bridgeもドキュメント化されます。これにより、展開時の入力ミスや孤立した設定が減り、障害発生時の動作も再現性が高まります。

しかし、これはようやく追加された基本機能に過ぎません。他社はすでにBPDU-Guard、FlexLink、自動ループ防止といった高度な機能を提供しています。エンタープライズやキャンパス環境では、引き続き競合との比較が必要です。

Sophos アクセスポイント

AP6アクセスポイントでは、旧APXモデルとの可視性のギャップがようやく解消されました。アプリケーション/クライアントの可視化、トップAP/SSID、ピーク時間などの指標が利用可能です。問題は、これらの機能は発売時から備わっているべきだったという点です。

AP6シリーズは2023年末に発売されましたが、安定稼働までに約1年を要しました。その後、前モデルと同等の機能を得るまでさらに半年かかりました。その間に他社は新機能を開発しました – QoS自動化の改善、RF最適化、WPA3-Enterpriseの利便性、ヒートマップを使ったクラウドRRMなどです。Sophosは遅れを取り戻しただけでした。AP6を選んだ顧客はようやくAPXと同等の機能を得ましたが、貴重な時間を失いました。

本番環境では明確な警告サインです。Sophosが追いつくだけでなく、優れた機能を示すまでは導入を避けるべきです。Central専用環境であれば安定していますが、それ以外では競合製品が第一選択です。詳細は私の投稿 Sophos Access Points AP6 – 地獄からの経験 を参照してください。

Sophos アイデンティティ & ITDR

9月の重点テーマは資格情報窃取です。「evilginx」のようなAdversary-in-the-Middleプロキシ攻撃は、MFAですら突破され得ることを示しました。Sophosはパスキーへの移行を推奨しています。従来のMFA手法と異なり、パスキーは傍受できません。つまり、MFAは引き続き必須ですが、AitM攻撃を完全に防ぐにはパスキーしかありません。

さらに、Sophos Centralでは新たに疑わしいログインを自動検知・対応できるようになりました。Impossible Travel、複数国や異なるブラウザトークンからの並行ログイン、BECの前兆となる不審な受信トレイルールなどです。これらのセッションを無効化したり、ユーザーをロックしたり、悪意あるルールを削除できます。Sophosは10月に**Identity Threat Detection and Response (ITDR)**を導入予定です。これはSecureWorks買収を背景にCentralへ統合され、XDR/MDRの空白を補完します。

Sophos Eメールセキュリティ

Eメールセキュリティは引き続き重要なテーマです。2025年、ドイツのBSIは「Eメールセキュリティの年」を宣言し、Sophosは殿堂入りしています。これに合わせて、無料で使える分析ツールが提供されました。https://tools.sophosdmarc.com/でドメインのDMARCレコードを確認できます。プリセールスや既存顧客の監査で迅速なチェックが可能です。

加えて、DMARC Managerがアドオン(MSP対応)として利用可能になりました。適切なのは段階的なハードニングです。p=noneから始め、p=quarantineを経て、最終的にp=rejectへ進めます。ただし、その前にSPFとDKIMを確実に整える必要があります。TLSレポートは通信のどの部分が実際に暗号化され、どのパートナーが対応不足かを可視化します。

XDR/MDRチームにとって重要なのは、他社製Eメール環境でも**Email Monitoring Service (EMS)**を追加できることです。これにより、テレメトリとイベントがCentralに統合され、既存のレスポンスプレイブックが活用できます。

コンテンツ、イベント & コンプライアンス

夏の停滞は終了しました。ドイツ語版YouTubeチャンネルと国際テックチャンネルでは新しい動画が予定されています。最新はMicrosoft AzureでのSophos Firewall展開に関するものです。ライブ形式も再開されます。特に関連性が高いのはコンプライアンスウェビナー(テーマ: Ransomware, Insurance, Compliance – 「R I C」)です。並行して10月のit-sa準備も進んでいます。チケットはSophosサイトやニュースレターから入手可能です。11月にはDACH地域の少なくとも11都市でパートナービジネスブレックファストが開催され、ビジネストラックテクニカルトラックに分かれます。両方見たい人はもちろん可能です。

最後に

2025年9月のアップデートは、Sophosが特にアイデンティティ保護効率化Eメール衛生の分野を強化していることを示しています。パスキーとITDRで資格情報窃取を直接的に対策。エンドポイント2025.2.xはシステム負荷を軽減し、フォレンジックAPIは新しい対応手法を提供します。ネットワーク分野ではATRがファイアウォールとエンドポイントの統合を推進し、スイッチとアクセスポイントは遅れた機能追加が目立ちます。Eメールセキュリティでは即効性のあるツールが提供されました。同時に、ウェビナーやイベント、マーケティング活動も進展しています – 有意義なものもあれば、遅すぎるものもあります。

個人的には、特にSFOS v22に期待しています。12月初めにリリース予定で、これまでのアップデートを凌駕する新機能が登場するはずです。

また近いうちに Joe

© 2025 trueNetLab