SentinelOne EDR セットアップガイド
macOS 対応不要: SentinelOne は Jamf MDM によって自動的にインストールされるため、インストール作業を行う必要はありません。
Linux 前提条件 ファイル整合性の監視と侵入 …
SentinelOne エンドポイント検出と対応 (EDR)
概要
GitLab ではエンドポイント (チームメンバーのラップトップ) の検出と対応 (EDR) に SentinelOne を使用しています。
GitLab チームメンバーが GitLab チームメンバーとしての職責を果たすために使用するすべての macOS、Windows、Linux デバイスには、SentinelOne EDR エージェントがインストールされ、機能している必要があります。
Windows エンドポイントの使用には特定のビジネス上の理由と承認済みの例外が必要です。これは Windows エンドポイントの使用が禁止されている ためです。
#sentineloneSlack チャンネル- SentinelOne セットアップガイド
- SentinelOne トラブルシューティングガイド
DRI
このプラットフォームは責任共有モデルを採用しています。
- Corporate Security (Device Trust Engineering): エージェントの設定とデプロイ (Jamf 経由)
- Security Operations (Security Incident Response Team): インシデントおよび調査のためのコンソールアラートの管理
- Security Compliance: コンポーネントと設定の監査
- Legal Privacy: インシデントおよび個人データに対する適切な管理者アクセスの監査
背景
GitLab は成長中のグローバル企業として、各国のコンプライアンス要件を満たす必要があり、その要件のひとつにエンドポイント保護があります。EDR ソリューションはこの要件を満たします。多くの顧客もまた、自社データへアクセス可能性のあるシステムを当社が保護することで自社データを保護しているかを問い合わせており、特に EDR とアンチウイルスについて尋ねてきます。EDR はこの要件を満たし、顧客の懸念に対処します。
同様に重要なのは、チームメンバーとそのラップトップのセキュリティとプライバシーです。GitLab が成長を続けるにつれて、悪意ある攻撃者の標的になる可能性が高まっています。チームメンバーが自宅、移動中、または近所のカフェにいるかにかかわらず、チームメンバーとそのラップトップを保護する手段があることを確実にしたいと考えています。
メディアで報道される大規模な侵害件数が増加する中、GitLab が直面するリスクと外部脅威について慎重に検討することが重要です。当社のサービスとそれを利用する企業の性質から、GitLab またはその顧客を狙う攻撃者にとって GitLab が現在または近い将来に注目度の高いターゲットになることは十分にあり得ます。
ベンダー選定
仕組み
エンドポイント検出と対応 (EDR) 技術は、エンドポイントセキュリティをさらに強化し、GitLab だけでなく各チームメンバーも保護するのに役立ちます。EDR は、エンドポイントシステムレベルの動作を記録および保存し、さまざまなデータ分析手法を用いて疑わしいシステム動作を検出し、コンテキスト情報を提供し、悪意ある活動をブロックし、影響を受けたシステムを復旧するための修復経路を提供する、エンドポイントセキュリティ技術の集合体です。
第一の防御線は、ラップトップ上で一般的な脅威を停止する (または設定によってはアラート発出する) ことです。追加または「多層的」な防御線として、特定の種類の活動 (主にラップトップ上のプロセスに関するもの) が記録され、さらなる処理と調査のためにプライベートインスタンスにアップロードされます。より徹底的な脅威検出のために、はるかに高度な処理を行うことができます。その結果、ラップトップ上のエージェントは通常 40〜60MB のサイズに収まり、1GB を超えることもある従来型のアンチウイルスソリューションとは対照的です。これにより CPU やメモリの使用量が低く抑えられ、ラップトップで使用されるリソースが少なくなります。
- Wikipedia - Endpoint Security
- Wikipedia - Endpoint Detection and Response
- Wikipedia - Data Loss Prevention Software
- Wikipedia - Network Detection and Response
アンチウイルス vs EDR
コンピュータにアンチウイルスやアンチマルウェアスキャナーをインストールしていた昔を覚えているなら、これは同種のスキャン技術の次世代版で、当社のセキュリティ態勢を改善するためにより広い範囲をカバーしています。
アンチウイルスは EDR という総合的なセキュリティ技術ソリューションの一部と見なせます。従来、アンチウイルスソフトウェアは、ウイルスやさまざまな種類のマルウェアのスキャン、検出、削除といった基本的な目的を果たす単一のプログラムです。EDR では、リアルタイムのステータス、修復経路、エンドポイントファイアウォール、システム動作分析が一体となり、現代のデジタル攻撃に対抗する包括的な技術スタックを構成します。
MDM vs EDR
EDR 技術は Jamf MDM に追加されるものです。Jamf もセキュリティ機能と保護を提供しますが、EDR ソリューションを Jamf と組み合わせることで、GitLab チームメンバーのラップトップに対する重大な脅威や高度なデジタル攻撃を検出し、停止する優れた能力を実現できます。
FAQ
モニタリング除外
Corporate Security からトラブルシューティング目的で指示された場合を除き、SentinelOne コンポーネントを変更または削除しようとしないでください。
SentinelOne があなたの職責遂行能力に問題を引き起こしている場合、Information Security Policy Exception Management Process を使用して例外の付与をリクエストできます。
例外は最小限のニーズという目標に基づいて付与され、SentinelOne の有効性、効率性、セキュリティリスク低減効果を最大化しつつ、チームメンバーへの悪影響を最小化することを目指します。このため、SentinelOne を完全に無効化する例外が付与されることはまれです。むしろ、SentinelOne がクォランティンやシステムパフォーマンス低下を通じて悪影響を及ぼしている可能性のある特定のディレクトリパス、特定のアプリケーション、特定のデータコレクションに対して例外が付与されます。
ローカルネットワーク監視
ローカルネットワークを監視しますか?
いいえ。EDR ソリューションは、アンチウイルスソリューションと同様に GitLab ラップトップのみを監視します (ただし、はるかに効率的に)。
ホームネットワークプライバシー
チームメンバーは自宅ネットワークのプライバシーを保護するためにどのような選択肢がありますか?
ホームネットワークにさらなるプライバシーとセキュリティを追加したい場合は、業務マシン用に別個のネットワークを作成することで、業務マシンをさらに分離できます。
このタイプのネットワーク設定について直接的なサポートは提供できませんが、ワイヤレスネットワークおよびネットワーク分離ガイドを参照してください。例 は出発点として役立つでしょう。
サードパーティベンダー
なぜサードパーティの EDR システムを使うのですか?
私たちは独自の EDR ソリューションを書きたくはありませんし、コンプライアンス要件を満たすために部分的なソリューションを連結させて何らかのチェーンを組み立てたくもありません。サードパーティの EDR ソリューションは、要件をより徹底的かつ経済的に満たすことを可能にするだけでなく、監査人、規制当局、顧客に対し、私たちがセキュリティを真剣に受け止め、一貫して実装していることを示せます。
SaaS vs セルフホスト
よりコントロールを得るために自前でソリューションをセルフホストできませんか?
可能ですが、コンプライアンス要件と顧客の懸念の両方に対応する自社管理ソリューションを実現するには相当な労力が必要です。選定した EDR 技術は、GitLab とチームメンバーのデータプライバシーを確保するため、シングルテナントでホストされるサードパーティ製 EDR ソリューションとなっています。
オペレーティングシステムのパーティション
2 つの異なる OS をデュアルブートしているのですが、両方にエージェントが必要ですか?
はい。GitLab のコンピューティングリソース、インフラ、または環境にアクセスするために使用されるホストコンピュータ上の各 OS には、EDR エージェントをインストールする必要があります。
仮想マシン
ラップトップ上にいくつかの仮想ホスト/マシンがありますが、すべてにエージェントが必要ですか?
はい。GitLab のコンピューティングリソース、インフラ、または環境にアクセスするために使用されるコンピュータ上のすべての OS (ホスト OS およびすべてのゲスト OS を含む) には、EDR エージェントをインストールする必要があります。
アンチウイルスの代替
業務用ラップトップで自前のアンチウイルスソリューションを動かしているのですが、それでは不十分ですか?
その努力は確かに評価されますが、コンプライアンス要件を満たすにはラップトップを監査できる手段が必要です。EDR ソリューションがあなたのラップトップに展開されるまでは、そのようなアンチウイルス製品の使用を継続することをお勧めします。展開後は、以前にインストールされたアンチウイルスソリューションをアンインストールすることを強くお勧めします。これらの技術 (特に異なるベンダー製のもの) を複数インストールすると、エンドポイント上で問題を引き起こし、システムパフォーマンスや生産性に悪影響を与える傾向があります。
管理上の安全策
このプロセスのオーナーが悪用を防ぐために、どのような安全策が講じられていますか?
そのような可能性は存在しますが、エンドポイント管理ソリューションが対処するために設計されているリスクの一部と比較して、このようなことが起こるリスクははるかに小さいと考えています。例えば次のようなリスクです。
- ラップトップが偶発的にマルウェアに感染し、チームメンバーが感染に気付かない。
- ラップトップが偶発的にマルウェアに感染するか、攻撃のターゲットになった。
- ラップトップが侵害され、GitLab チームメンバーのアクセスとアイデンティティが GitLab とその顧客への更なる攻撃に使用される。
- 新たなセキュリティの脆弱性が発見され、未パッチのアプリケーションが野放しに悪用され始める。
- GitLab がエンドポイントを標的とした攻撃を受け、GitLab 本番環境の侵害につながり、結果として顧客データの侵害に至る。
とは言うものの、EDR ソリューションは管理者または技術自体によって実施されたあらゆるプロセスとアクションを監査する機能を提供します。このソリューションには、特定の機能へのアクセスを制限するロールベースアクセス制御が実装されており、こうした機能の使用はすべて監査可能です。
SentinelOne EDR トラブルシューティングガイド
SentinelOne で問題が発生している場合は、以下のトラブルシューティング手順をお試しください。
Linux インストールエラー Linux のインストール手順で出力が表示されません。どうすれば …
最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (
bfd74782)