これまでのセキュリティ対策はマルウェア攻撃に主眼が置かれていました。しかし、現在はマクロやリモートログイン、PowerShellなど、Windows正規ツールを悪用した非マルウェア攻撃やファイルレス攻撃による被害の割合が半数を超える状況となっています。
実際、日本の大手企業でもPowerShell機能を悪用した攻撃により海外拠点のサーバに侵入され、これを踏み台に複数の端末を経由しながら国内のシステムにも侵入先を広げていくといったインシデントが発生しています。こうした非マルウェア攻撃やファイルレス攻撃はシグネチャをベースとした従来型のウイルス対策ソフトのみでは検知が困難です。
このような脅威が拡大している中でどんな対策をとるべきなのか、株式会社ネットワールドの竹内 純氏が解説します。
株式会社ネットワールド
マーケティング本部
ソリューションマーケティング部
SDソリューション課
主任
竹内 純 氏
ビッグデータ解析による防御対応力を強化
エンドポイントのセキュリティ対策への新たな戦略が求められる中で注目されているのが、VMware Carbon Black Cloud™ です。
具体的にVMware Carbon Black Cloud は、従来型のウイルス対策ソフトを含めたエンドポイントセキュリティ製品とどんな点が違っているのでしょうか。
強みの1つは、クラウド(VMware Carbon Black Cloud)上に展開された独自のインテリジェンスです。「世界中のエンドポイントから日々集積される膨大なビッグデータを分析することで、攻撃を予知し、エンドポイントでの防御対応力を強化します」と竹内氏は語ります。
VMware Carbon Black Cloud上で分析されているエンドポイントのデータ量は200TB以上、日々収集されるセキィリティイベント数は約5,000億件に達しています。
すべてのイベントデータを記録して分析/活用
VMware Carbon Black Cloud の2つめの強みは、すべてのデータを記録して分析/活用する「Unfiltered Data」のコンセプトです。
一般的なEDR(Endpoint Detection and Response)製品は、アラートを発するなど黒判定されたログしか保存されないため、最初は白で侵入し、後から黒に変異する攻撃については、過去にさかのぼった調査ができませんでした。「これに対してVMware Carbon Black Cloudは、たとえばブラウザを開いたといった通常のイベントにもタグ付けを行い、脅威レベルを判定します。これにより過去にさかのぼって、あらゆるイベントの“流れ”からあやしい動作を抜け漏れなく調査することが可能です」と竹内氏は強調します。
さらにエンドポイントだけにとどまらず、SIEM(セキュリティ情報イベント管理)やネットワークセキュリティ製品など、ログを収集・転送する幅広いセキュリティ製品の検知力を高めることも可能です。
VMware Carbon Black Cloudの構成
VMware Carbon Black Cloudはその名のとおりクラウド型の製品であるため、オンプレミスでの管理サーバなどの設置は一切不要です。各エンドポイントにエージェントをインストールするだけでサービスを開始することができます。大規模ユーザーでもエンドポイントの追加を瞬時に行うことが可能で、運用ポリシーの設定や変更についても管理コンソールから一括して処理することができます。
