サイバー攻撃の基本プロセスのすべてに対応
VMware Carbon Black Cloud の最もベーシックな製品となるのがEndpoint Standardで、「侵入→基盤構築→調査拡散→目的遂行」という流れをとるサイバー攻撃の基本プロセスのすべてに対応します。
まずは可能な限り「侵入」を防ぐため、次世代型アンチウイルスのEPP(エンドポイント保護プラットフォーム)ソリューションを提供します。
シグネチャをベースとした従来のパターンマッチングでは、そこをすり抜けてくる亜種や未知のマルウェアをブロックできません。「そこでVMware Carbon Black Cloudの次世代アンチウイルス機能は、ビッグデータに独自技術のストリーミング分析を加え、マルウェアのみならず非マルウェアについても検知・防御を可能とします」と竹内氏は説明します。
従来のシグネチャあるいは機械学習による侵入対策は“点”による防御を行っていました。これに対してストリーミング分析は、サイバー攻撃の一連の流れを検査して“線”で防御するイメージとなります。
サイバー攻撃の「目的遂行」をEDRで防ぐ
ただし、次世代アンチウイルス機能といえども、すべてのマルウェア攻撃や非マルウェア攻撃を完全にブロックできるわけではありません。
したがって侵入を前提として「目的遂行」を防ぐ必要があります。この役割を担うのがEDRソリューションです。「万が一、重要システムに侵入された場合、対応が後手に回るほど情報漏えいのリスクは高まり、顧客からの信頼も失墜して、企業は存続できなくなってしまいます。このリスクに対して自社がどのような対策をとり、安全性を回復したのかといったエビデンスを示せるようにするためにもEDRが注目されています」と竹内氏は語ります。
VMware Carbon Black Cloud のEDRソリューションは、攻撃の疑いのあるアクティビティを過去にさかのぼって調査します。この結果に基づいて管理者は、リモートからマルウェアの駆除や端末の隔離を行うことが可能。さらに攻撃の被害や拡散状況をすべてのエンドポイントにわたって調査し、報告します。
感染端末の論理隔離や追加情報の取得/修復を支援
Endpoint Standardには、「Live Response」というツールも標準で含まれています。マルウェア感染した端末を論理的に隔離し、詳細な調査を行った上で証拠を保全し、クリーンアップするまでの一連の対策を支援します。
