ネットワールドSEが語る!VMware Carbon Black 評価・導入のポイント
既存のアンチウイルス製品のサポート切れを機に、次世代アンチウイルス(NGAV)とEDRの組み合わせへの移行を検討する企業が増えています。実環境に合わせて適切な設定を見出し、運用体制を確立するには、しっかりしたサポート体制の下でPoCを実施するのが一番です。
どれほど防御を固めても侵害は起こりうるという考え方に立ち、システム内部の脅威を検知し、拡大する前に対応して被害を最小限に抑えるアプローチが徐々に広がりつつあります。既存のアンチウイルス製品のサポート切れを機に、次世代アンチウイルス(NGAV)とEDRを組み合わせた新たなエンドポイントセキュリティを導入する企業も増えてきました。
「VMware Carbon Black Cloud Endpoint」は、ビッグデータ解析でサイバー攻撃を検知・防御するNGAV機能と、端末で発生したあらゆる事象を可視化するEDR機能によって、エンドポイントを保護するセキュリティソリューションです。
しかし、そこにはさまざまな課題もあります。VMwareによる買収の前からパートナーとして「VMware Carbon Black Cloud Endpoint」の販売、構築を行ってきたネットワールドSE阿部より、検証・導入時に多くの企業が引っかかるポイントとその解決策を解説します!
豊富なドキュメントを参照しながら気になるポイントを確実に検証
最近増えているのが、これまで運用してきたシグネチャベースのアンチウイルス製品のサポート終了をきっかけに、振る舞い検知などさまざまな方式を組み合わせて未知の脅威からPCを防御するNGAVと、それでもすり抜けて侵入してきた脅威の検知やリモートからの対応を行うEDRを組み合わせたVMware Carbon Black Cloud Endpointの導入を検討する例です。
もちろん、セキュリティ製品に限らずソリューションの導入時には、複数の候補を検討し、試験的に運用してみるPoC(Proof of Concept:概念実証)を実施するケースが一般的です。多くの企業を支援してきた経験から、「長い期間をかけてだらだら進めるのではなく、2週間程度で集中して検証項目を絞って実施するのがPoCを有効活用するポイントです」といいます。
ネットワールドでは、短期間でも必要な項目を検証できるようさまざまな支援を行っています。まずPoC実施前にはヒアリングを実施し、現在の環境はどのようになっており、何を検証したいのかを確認します。その上で、豊富なスクリーンショットを参照しながらPoC環境を構築・設定できる「スタートアップガイド」を提供しています。VMware Carbon Black Cloud Endpointのインターフェイスは日本語化され、直感的に分かりやすくなっていますが、初めて製品に触れる人でもこのガイドがあれば不安なく進められます。
また、企業によって、検知したい脅威も動作しているアプリケーションも異なります。そこで、変更可能な設定項目を抜き出した「パラメータシート」も用意しています。PoC期間中に「この設定をこう変更したい」「このプロセスについては検知から除外したい」といった要望が生じた場合にはパラメータシートを参照しながらすぐ変更し、必要な検証を実施できます。このように、同社独自のノウハウを盛り込んだドキュメント類を通してPoCを支援します。
スムーズに導入を進め、通知に振り回されない体制を作るコツは?
PoCを終えて採用を決定したら、いよいよ導入作業を進めることになります。ネットワールドはこのフェーズでもさまざまな支援メニューを用意しています。
具体的には「基本導入サービス」「構築・機能実装サービス」のほか、導入後1カ月の間パラメータの調整を支援する「チューニングサービス」、自社での運用を支援する「手順書作成・トレーニング」という4つのサービスで、導入から運用を本格的に開始するまでの何かと不安な時期をサポートします。
NGAVとしてVMware Carbon Black Cloud Endpointを導入する際には、まず「既存のアンチウイルス製品から乗り換えるのか、それとも同居させていくのか」の方針を決めることが重要です。もし後者なら、お互いにスキャン対象から除外する設定を行う必要があるため、事前に環境を洗い出しておくとスムーズに進めることができます。
導入をスムーズに進めるもうひとつのポイントは、1カ月程度の「パイロット運用期間」を設けて進めることです。業務に合わせて週次処理、月次処理で動くアプリケーションもありますが、それらが「不審なもの」として検知、ブロックされないよう、見極めの期間を設けることで、無用なトラブルを避けることができます。このとき、利用者のITリテラシーや業務内容に応じてグループ分けを行い、VMware Carbon Black Cloud Endpointに用意されている3段階のポリシーを使い分けることも可能です。
過去の記事でも紹介したとおり、VMware Carbon Black Cloud Endpointでは端末上の動作を細かく収集し、点ではなく線として分析して危険なものを警告します。ですので、自社環境で運用していく中で、「どういったものを深刻な脅威としてすぐ通知するか」「どのレベルまでなら1日1回程度の報告にとどめるか」といった通知のルールを定めることで、誤検知を減らし、自社にとって最適な設定を見出すことができるでしょう。
VMware Carbon Black Cloud Endpointは高度な設定が可能です。このため「導入したらそれで終わり」という製品に比べると難しそうに見えることがあるかもしれません。しかし、シンプルな製品では汎用的な脅威は検知できても、本当に私たちが警戒すべき「見えない脅威」「内部に入り込んでしまった脅威」を見つけ出すのは困難です。VMware Carbon Black Cloud Endpointでは、ただ脅威を検知するだけでなく、どういった理由でアラートが出たのか詳細な情報が示されます。それらを確認し、全貌を把握した上でチューニングを行うことで、誤検知を減らしつつ、知らないうちに侵入していた深刻な攻撃を見つけ出すことができるでしょう。
とはいえ、できるだけアラート処理にかける時間を減らしたい、運用負荷を減らしたいというニーズは根強くあります。アラートの内容をチェックして過検知やリスクの低いものを排除し、深刻なアラートを洗い出していく作業は確かに面倒なもので、他のさまざまな業務と並行してセキュリティも見ていかなければならないIT担当者にとって、負荷を減らせるならばそれに越したことはありません。また「セキュリティや脅威に関する知見が少なく、専門家もいない中、どのように判断すればいいのか」という不安の声もよく耳にします。
こうした場合に活用したいのが、ネットワールドが提供しているマネージドサービス「DH-MDRサービス for CB Defense」です。DH-SOCが顧客に代わってアラートを受信し、解析した結果をわかりやすい形にまとめて報告します。必要に応じて脅威の封じ込めや除去、回復支援といった作業も行う仕組みです。これにより、人員に余裕のない企業でも、少ない手間でEDRを利用した脅威の検知・対応プロセスを回すことができます。最初のうちはマネージドサービスを利用して徐々に自社内にノウハウを蓄積し、独り立ちしていく、といったことも可能でしょう。
皆が気にする「帯域への影響は?」ぜひ実環境で検証を
VMware Carbon Black Cloud Endpointでは、端末に導入したエージェントがログ情報を収集し、Carbon Blackのクラウド基盤に送信し、高度な分析を行うことで脅威の検知を行います。そこで多くのお客様が気にするのは「ネットワーク帯域に負荷がかかり、肝心の業務に影響が生じてしまうのではないか」ということです。
しかしVMware Carbon Black Cloud Endpointでは、端末がやり取りしていたデータやファイルをそのまま送信することはありません。あくまで、端末がどのような動きをしたかを記録したイベントログだけを送信するためデータサイズは小さく抑えられ、1台当たり10〜20Mbps程度の回線があれば十分です。また、24時間つなぎっぱなしではなく、定期的にイベント情報を送信するため、ネットワーク負荷についてはほとんど心配しなくて済む程度です。またクラウド側で解析を行い、その結果だけを受け取る仕組みのため、PCの負荷やディスク消費容量も少なく、「パソコンが重くて仕事にならない」といった苦情もほとんどありません。
とはいえ、やはり自分の目でどのくらい負荷がかかるかを確かめたいというご要望もよく分かります。そんなときこそ前述のPoCを実施し、既存の環境に影響を与えることなく導入できるVMware Carbon Black Cloud Endpointの特徴を確認していただければと思います。
業務システムはお客様によって異なりますし、運用形態も、検知したい脅威も異なります。2017年からVMware Carbon Black Cloud Endpointを取り扱い、多くの顧客での導入を支援してきたネットワールドでは、蓄積してきたノウハウや経験を基に、さまざまな要望に応えていきます。