コンテンツ提供:ダイワボウ情報システム株式会社
サイバー攻撃は巧妙化・悪質化の一途をたどっており、企業にとって深刻な経営リスクとなっています。そうした中で重要度を高めているエンドポイントのセキュリティを向上するソリューションとして、NGAV(次世代アンチウィルス)とEDR(Endpoint Detection and Response)が注目されています。VMware Carbon Black Cloudは1製品でこのNGAVとEDRに対応した業界最高基準のエンドポイントセキュリティを実現します。
ディーアイエスサービス&ソリューション株式会社 テクニカル本部コアテクノロジー部 ネットワーク・セキュリティグループの林 俊策氏が、VMware Carbon Black Cloudの特徴を解説するとともに、VMware Carbon Black Cloud Endpointを中堅以下の規模の企業でも容易に導入・運用できるオリジナルのマネージドサービスを紹介します。
ディーアイエスサービス&ソリューション株式会社
テクニカル本部コアテクノロジー部
ネットワーク・セキュリティグループ
林 俊策 氏
目次
- エンドポイントのセキュリティを強化するNGAVとEDR
- VMware Carbon Black Cloudの特徴
- VMware Carbon Black Cloud のより容易な導入・運用を実現 – DISオリジナルサービスを提供
- まとめ
エンドポイントのセキュリティを強化するNGAVとEDR
深刻化するサイバー攻撃の被害
ランサムウェアをはじめとするサイバー攻撃の被害は年々深刻化しています。
警察庁が発表した広報資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、2023年上半期におけるランサムウェアによる被害件数は103件で、引き続き高い水準で推移しています。
インシデントが発生した際の調査・復旧費用も膨らんでおり、1000万円以上を費やしたケースが全体の31%を占めています。これ自体も相当な負担ですが、サプライチェーンでつながる顧客や取引先に影響が及んでしまった場合、被害額はさらに莫大なものとなります。自社の信用は失墜し、存続さえも危ぶまれる事態に陥ります。
参考資料:令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
攻撃から守るべき対象が拡大
そこで急がれるのがセキュリティ強化ですが、従来のようなファイアウォールやIDS(不正侵入検知システム)、IPS(不正侵入防御システム)によって社内ネットワークを守る、いわゆる境界防御の仕組みでは対応できません。
テレワークやクラウドサービスの利用が拡大し、アタックサーフェス(攻撃対象領域)は社外にも広がっています。いまやエンドポイントがセキュリティの境界となりました。
NGAVとEDRの役割
どうすればエンドポイントのセキュリティを強化できるでしょうか。重要な役割を担うのが、「NGAV(次世代アンチウィルス)」と「EDR(Endpoint Detection and Response)」の2つの仕組みです。
パターンマッチング方式を採用した従来型アンチウィルスは、警察の手配書に相当するパターンファイルが定義DBに登録されるまで、マルウェアを検知して防御することができませんでした。
これに対してふるまい分析方式を採用したNGAVは、プログラムの動きを解析することで、定義DBに頼らず、疑わしいグレーなプログラムも防御することが可能です。
ただしNGAVといえども、未知の脅威を100%は防御できるわけではありません。そこでNGAVをすり抜けた脅威をEDRが検知して対処します。EDRは感染の経緯や経路の特定に必要な情報を収集し、分析するための機能を備えています。
VMware Carbon Black Cloudの特徴
VMware Carbon Black Cloudは全世界で1万2000社以上の実績を持つ業界最高基準のエンドポイントセキュリティ製品です。非常に多岐にわたる機能を有していますが、最大の特徴は前述したNGAVとEDRを1 製品で実現していることにあります。
このVMware Carbon Black Cloudの強みをさらに掘り下げていきます。
VMware Carbon Black Cloudの強み ( 1 )
パターンファイル未対応の不正プログラムにも対応
VMware Carbon Black Cloudはクラウドレピュテーションと呼ばれる機能に基づいてファイルの振る舞いを抽出し、そのプライオリティに応じた保護ルールを適用します。これによりパターンファイルが登録されていない未知の脅威もブロックします。
また、おとりファイル(Canary File)を使って、MBR(Master Boot Record)へのアクセスが確認された場合、ランサムウェアによる不正行為の可能性があると判断しプロセスを強制終了します。
VMware Carbon Black Cloudの強み ( 2 )
メモリ上で実行されるファイルレス攻撃の防御にも対応
昨今、Officeソフトなどのアプリケーションにスクリプトを仕込み、PowerShellに悪意を持った操作を実行させる、いわゆるファイルレス攻撃が増大しています。
VMware Carbon Black Cloudは、従来型のアンチウィルスでは対処できなかった、こうした新手の攻撃もブロックするAMSI Preventionルールや、ポリシーレベルの保護ルールといった仕組みを搭載しています。
VMware Carbon Black Cloudの強み ( 3 )
ストリーミングアナリティクスによる振る舞い検出
従来のエンドポイントセキュリティ製品はマルウェアの検知を目的としており、平常時の記録をほとんど残していません。このためマルウェアが検知された際に、それがいつ、どうやって侵入したのか原因究明に非常に手間がかかるのが弱点でした。
これに対してVMware Carbon Black CloudのEDRは、検知の材料となり得る特徴的な振る舞いを平常時からすべてクラウド上に記録します。このためマルウェアに侵害された場合でも、その経緯を過去にさかのぼって容易に調査することが可能です。
VMware Carbon Black Cloudの強み ( 4 )
プロセスツリーによる挙動の可視化
さまざまな挙動をプロセスツリーで関連づけて表示することで、そもそも何が起点になってインシデントが発生したのか、その影響範囲はどこまで及んでいるのか、直感的に把握することが可能となります。
これによりマルウェア侵害に対して必要なアクションをとるために必要な情報を、クラウドから簡単に取得することができます。
VMware Carbon Black Cloudのより容易な導入・運用を実現
DISオリジナルサービスを提供
VMware Carbon Black Cloudの重要性は理解できたとしても、「どうすれば導入できるのか。その後もどうやって運用していけばよいのかわからない」というのが多くの企業の現実です。そこでDISでは、VMware Carbon Black Cloudをより容易に導入・運用できるようにするため3つのサービスを提供しています。
オリジナルマネージドサービス
DISでは、VMware Carbon Black Cloudのライセンスとサポートを一括して提供するオリジナルサービスとして、VMware Carbon Black Cloudマネージドサービスを提供しています。
特におすすめしたいのは、100デバイス未満の小規模環境へVMware Carbon Black Cloudの導入を検討している企業です。通常VMware Carbon Black Cloud Endpoint Standardを導入するためには、最低ラインとして100デバイスからの購入が必要となります。これに対してDISのオリジナルマネージドサービスでは、25デバイスから購入が可能です。
またVMware Carbon Black Cloudの運用開始後の問い合わせに、電話やポータルサイトを通じて日本語対応(DIS 営業日の9:00~17:00)するサポート窓口もセットで提供します。さらに追加メニューとしてアラート対応や、レポート作成といったサービスも用意しています。
アラート対応では、ユーザー企業に代わってDISがVMware Carbon Black Cloudからのアラートメールを受信。その後、2営業日以内に該当デバイス、アプリケーション、ステータスを確認し、報告します。そしてユーザー企業からの指示に基づき、ポリシーの設定変更や該当ファイルの削除、該当デバイスの隔離などの対処を実施します。
一方のレポート作成は、DISの定型フォーマットにて月次レポートを提出するサービスです。月内にマネージドサービスが対応したインシデント内容の一覧、VMware Carbon Black Cloudのエージェントがインストールされているデバイスのステータスの一覧、月内に検出されたマルウェアの情報などを報告します。
構築サービス/ PoC環境構築サービス
VMware Carbon Black Cloudの導入に際して、パラメータシートの説明およびクラウド側の設定を実施します。具体的な内容は下記のとおりです。
- パラメータシート説明:Web 会議(1時間程度)によりパラメータシートの内容を説明します。
- 設定作業:ユーザーから送付されたパラメータシートを基に設定作業を行います。
- ダッシュボード利用方法説明:実際のダッシュボード画面を参照しつつ、利用方法を説明します。(Web会議)
- 実施結果レビュー/許可・除外の判断材料の提供:VMware Carbon Black Cloudを監査モードで動作させて収集した情報をまとめて提供します。この情報をもとに該当ファイルが必要か否かの判断を行い、ユーザーの指示に従って許可・除外の設定を行います。
- 問い合わせ対応:ユーザーからの問い合わせに回答します。
PoC環境構築サービスについても同様に、パラメータシート説明、設定作業、ダッシュボード利用方法説明、実施結果レビュー、問い合わせ対応を実施します。
ヘルスチェックサービス
過去にマルウェアに感染したことがあり、復旧後のセキュリティに不安がある」、「取引先でマルウェア被害が発生しており、社内のセキュリティを点検したい」、「社内にセキュリティチームがおらず、何から手を付けるのか悩んでいる」といった懸念を解消します。
企業ごとのニーズに合わせて、次の3つの異なる視点からヘルスチェックを行うサービスを用意しています。
- DNSコース:社内のDNSリクエストをクラウドに向けることで従業員の接続先を収集し、危険な接続先を検出します。
- Emailコース:ユーザーのメールボックスをスキャンし、外部からの攻撃や社内での不審なメール送信を検出します。
- EASMコース:ID/パスワードのダークサイトへの漏えいや公開サーバに内在している脆弱性など、インターネットから見たユーザー環境の脆弱性の可能性を検出します。
まとめ
エンドポイントセキュリティの強化に向けて、VMware Carbon Black Cloudは非常に効果的なソリューションとなりますが、情報システム部門などの専任体制が整っていない中堅以下の企業にとって、導入や運用はややハードルが高い場合もあります。
DISが提供しているVMware Carbon Black Cloudマネージドサービスなら、この課題を解決できます。
ほかにもDISではZTNA(ゼロトラストネットワークアクセス)やEASM(外部アタックサーフェス管理)など、さまざまなオリジナルサービスをご用意し、セキュリティ製品の導入をサポートしています。これらのサービスを必要に応じて導入していただくことで、セキュリティを段階的に強化していくことが可能です。
DISが提供するVMware Carbon Black Cloud マネージドサービスについて詳しくは、Webサイトをご覧ください。