VMware Carbon Black Cloud Workload を検証
VMware Carbon Black Cloud Workload を導入することで実際にどんな効果を得られるのか。従来型アンチウイルスとの比較検証を実施しました。矢部氏が解説します。
脆弱性アセスメントの検証
そもそも従来型アンチウイルスは脆弱性アセスメントの機能を持っていません。そこで今回の検証では、同条件の初期状態のサーバに対して、従来型アンチウイルスが推奨設定スキャンした際に割り当てられた防御ルールの数と、VMware Carbon Black Cloud Workload が発見した脆弱性の数を比較するという形を取りました。
この結果、従来型アンチウイルスが推奨設定スキャンの結果、516個の侵入防御ルールを割り当てたのに対して、VMware Carbon Black Cloud Workload は1,518件の脆弱性を発見することができました。単純比較はできないものの、VMware Carbon Black Cloud Workload は従来型アンチウイルスに対して約3倍の脆弱性を検知したことになります。
セキュリティの検証
続いてセキュリティ検証を行った結果、従来型アンチウイルスが検出したのはマルウェア5件のみでした。これに対してVMware Carbon Black Cloud Workload は、マルウェアだけでなくファイルレス攻撃を含めた6件のアラートを発しました。
また、従来型アンチウイルスではマルウェアをブロックしたログが示されるのみで、どのような攻撃にさらされたのか判断することができません。
これに対して VMware Carbon Black Cloud Workload は NGAV(次世代アンチウイルス)機能で既知のマルウェアをブロックするとともに、攻撃の全体像および被害状況をプロセスツリーで可視化するといった点でもアドバンテージがあることを確認することができました。
VMware Carbon Black Cloud Workload の導入メリット
VMware Carbon Black Cloud Workload は、基本的に VMware vSphere に組み込む形で利用します。VMware vSphere 上にバーチャルアプライアンスを1台立て、管理画面で発行する API 連携のためのキーを入力するだけでクラウド側の VMware Carbon Black Cloud Workload の管理コンソールと連携させることが可能。このようにインストールも簡単です。
以降、セキュリティチームはインターネット経由で VMware Carbon Black Cloud Workload の管理コンソールにアクセスし、VMware vSphere 上のワークロードの状況把握、脆弱性管理、調査、対処を行うことができます。
一方でインフラチームも vSphere クライアントを通じて VMware vCenter 内にある VMware Carbon Black Cloud Workload の管理ページにアクセスし、自分の立てた仮想マシンに脆弱性がないかどうかを簡単に確認することができます。
こうしたセキュリティチームとインフラチームの連携により、現在起きている脅威や被害状況の可視化、封じ込めが可能となります。クライアントが乗っ取られ、ファイルレス攻撃などの高度な攻撃を受けた場合もストリーミング分析ですべての挙動および被害状況を可視化し、挙動ベースで悪しき攻撃をブロックすることができます。
VMware Carbon Black Cloud Workload は、サーバ EDRと脆弱性アセスメントの機能を併せ持つ仮想プラットフォームセキュリティを提供することで、高度化するサイバー攻撃の脅威からVMware vSphere上のワークロードを守ります。
