【オンデマンドセミナー】-ITmedia Security Week 2021 夏- <EDR事例紹介>分析&可視化がポイント!これからのエンドポイント対策
「ITmedia Security Week 2021 夏」で配信されたネットワールドセミナーのレポート&オンデマンド配信!同時に講演資料のダウンロードも可能ですので、ぜひご視聴ください。
2021年6月7日~14日に開催された「ITmedia Security Week 2021 夏」で、「<EDR事例紹介>分析&可視化がポイント!これからのエンドポイント対策」と題して、ネットワールドの飯沼愛永が講演。その模様をダイジェストでお伝えします。
今、最も注目されるクラウド型EDR製品「VMware Carbon Black Cloud」
近年、リモートワークの進展などから、エンドポイントでの検知と対応を行うEDR(Endpoint Detection and Response)の導入を検討するお客様が増えています。これは、一般的なアンチウイルス製品だけでは、セキュリティインシデントの分析や可視化ができない、という認識が広くいきわたった結果だと思います。侵入されることを前提に、いかに端末も含むシステム全体を守るのか、ということが重要になっています。
そこで注目されているのがEDRの機能を含むセキュリティソリューションです。EDRはインシデントを隔離、排除するだけでなく、分析と可視化によって、組織のセキュリティ体制の継続的な強化も実現できます。
ネットワールドでは、主要製品の1つとしてVMware製品を扱っていますが、その中で「VMware Carbon Black Cloud」というクラウドサービスによるEDR製品をセキュリティ分野での主力製品として展開中です。
「VMware Carbon Black Cloud」を導入された当社のお客様では「プロセスツリーによる可視化によってアラートを発した理由が明確で、しかも端末への影響が少なかった」「エージェントを入れるだけで展開ができるので、導入が簡単で包括的なエンドポイント対策が可能になる」といった評価をいただいています。
さらに導入後の効果としては、ボタン1つで端末の隔離ができるうえ、テレワーク環境においても、感染端末を回収する必要がないので、コストと時間を削減できるというメリットがあります。さらにマルウェア検出から原因究明、隔離などの措置、予防措置まで一気通貫の対応が可能となって、運用負荷が軽減したといったところも評価されています。
長期間のログ保管で脅威分析や将来への対応をサポート
Carbon Black社の創業者はNSAとCIAでホワイトハッカーを務めていたプロフェッショナルエンジニアで、Carbon Black社こそがEDRの創始者といっても過言ではありません。2019年8月 VMware社が買収することで、より多くのユーザーに「VMware Carbon Black Cloud」が導入されるようになりました。
「VMware Carbon Black Cloud」はEPP(Endpoint Protection Platform)/次世代アンチウイルス(NGAV)/ITハイジーンなどの機能により可能な限り脅威の侵入を未然に防ぐことと、EDR/脅威ハンティングで侵入を前提とした検知と対応の両方を実施できます。
さらに「VMware Carbon Black Cloud」は、すべての端末のあらゆる挙動の記録をログとして保管します。マルウェアや不正アクセスのログは180日間保管すると同時に、脅威ではないブラウザを開いたなどの普通のログについても30日間保管します。
このようにあらゆる挙動の記録を長期間保存しているので、ユーザーは幅広いスパンで過去にさかのぼって分析・調査が可能です。また、世界中の端末を長期間保存したログをCarbon Black側でも分析を重ねているため、独自の防御力を高めていくことが可能となっています。
さらに運用面においても、シングルエージェント、シングルコンソールで管理することが可能です。ポリシー設定や変更も管理コンソールから一括処理することが可能です。エンドポイントの端末は、Windows、Mac、Linuxに対応しており、エージェントを入れるとそのエージェントと「VMware Carbon Black Cloud」が定期的に通信をすることで全エンドポイントの現状を把握できます。
導入事例から読み解く「VMware Carbon Black Cloud」の魅力
ここで、「VMware Carbon Black Cloud」の導入事例をみてみましょう。
セイコーエプソン様では、国内外の事業所とグループ会社に配備された約50,000台のPC端末を対象に「VMware Carbon Black Cloud」を導入しました。同社では、選定理由として、マルウェアを検知した際に、どんな動きをして、どのように見つけたのか、という検知理由が明確であったといったことを挙げられています。他の製品だとそうした理由が明確ではないことも多かったといいます。導入後は、遠隔地で感染した場合に感染者のPCの特定、ネットワークからの隔離、ファイル削除といったところがリモートで作業できるようになり、EDRを利用してインシデント調査と対応を行い、ウイルス対策の横展開にこれまで2週間かかっていたところを「VMware Carbon Black」の導入により2日で完了しました。
次に成城大学様です。こちらは学生数約5,500人、職員700人といった規模で、校内はインターネット環境が整っており、学校内に設置されたカフェ風のスペースにWi-Fi6対応の高速通信環境を整備しています。職員の方々もテレワークを導入しているため、より安全にテレワークを行うためのセキュリティ対策の見直しを行っていました。
導入前の課題として、ネットワーク内に脅威が存在しなかったということをどう証明するのか、存在していない脅威の証明が最大の課題として挙げられていました。この場合、まず過去の操作についての情報を詳細につきとめ、分析する必要があります。しかし、当時導入していたEDR製品で収集できていた情報には限りがあり、過去に何の操作をして、何があったのかといったところを完璧に追うことができなかったそうです。
PCの操作履歴をチェックする必要が出た場合にも、時間がかかることも課題でした。さらにユーザーに過去のことをたずねても、ユーザーは自分が操作した全てを覚えていないので、どこで感染したのかを確認することが困難でした。
同校が「VMware Carbon Black Cloud」を選定した理由は、大きく2つあります。1つ目は、クラウド型の製品で、管理サーバーを構築しての運用が不要だったことです。また大量のログをクラウドに保存ができ、ログの保管場所を新たにユーザー側で用意する必要がありません。
2つ目は可視化です。不審な挙動を、プロセスツリーで可視化でき、物理、仮想、両方の環境を簡単に監視できるところです。監視対象はPC160台でしたが、導入時は、20分から30分で完了しました。このほかにも、脅威ではない動きも全て記録をしているため、ユーザーの動きを全て追いながら分析、把握ができ、インシデント全体の原因究明が実現できたというメリットもあったとのことです。
セキュリティサイクルを回すことで「脅威に強い組織」へ
まとめると、「VMware Carbon Black Cloud」は、「防御」「検知と対応」「リスクの特定」というセキュリティサイクルを実現できるソリューションということになります。このサイクルを回し続けることで、日々の脅威を的確に排除できるだけでなく、セキュリティのレベルアップを実現することも可能になります。
「VMware Carbon Black Cloud」を導入することで、すべてのエンドポイントに対する脅威を排除するだけでなく、脅威を未然に防ぐための事前のリスク対応も充実させることが可能となります。
