VMworld 2020 Japan で配信されたネットワールドセミナーのレポート&オンデマンド配信!
2020年11月10〜12日に開催された「VMworld 2020 Japan」で、「クラウド型セキュリティでテレワーク端末を守る!VMware Carbon Black Cloudによるエンドポイント対策」と題して、ネットワールドの竹内純が講演。その模様をダイジェストでお伝えします。
テレワークセキュリティを「VMware Carbon Black Cloud」で実現
リモートワーク環境の見直しが進む中、セキュリティ対策をどのように実施していくかが課題となっています。社外から業務を行う場合、巧妙化する未知のサイバー脅威から端末を保護し、有事の際にもあらゆる対処をリモートから実施できることが求められます。そこで、重要になってきたのがエンドポイントセキュリティ、いわゆるEDR(Endpoint Detection and Response:エンドポイントでの検知と対応)です。
この領域でVMwareが提供するのが、「VMware Carbon Black Cloud」です。このソリューションは、EDRの生みの親でありエンドポイントセキュリティ業界を牽引してきたCarbon Black社が開発したサービスです。Carbon Black社は、2019年8月にVMwareに買収され、現在は、VMware Carbon Black CloudもVMware製品として提供されています。
エンドポイントのサイバー攻撃対策は、サイバー攻撃の基本プロセスに沿って実施されることが一般的です。攻撃プロセスは、侵入、基盤構築、調査・拡散という流れで行われ、可能な限り侵入を防ぎ、さらに侵入を前提とした検知と対応が重要になります。
1つの製品で、サイバー攻撃の基本プロセスに沿った対策が可能
VMware Carbon Black Cloudは、攻撃の基本プロセスのうち、侵入、基盤構築、調査・拡散までをカバーできる製品です。可能な限り侵入を防ぐという面では、VMware Carbon Black Cloudが提供するEPP(Endpoint Protection Platform)/次世代アンチウイルス機能(NGAV:Next Generation Anti-Virus)とITハイジーン(IT公衆衛生)機能が、また、基盤構築と調査・拡散では、EDR/脅威ハンティング機能が役立ちます。
VMware Carbon Black Cloudはクラウド型であるため、オンプレミスでの管理サーバーは不要で、エージェントのインストールのみでサービスが開始可能です。大規模ユーザーでも、瞬時に追加することができ、ポリシーの設定や変更は、管理コンソールから一括処理します。
VMware Carbon Black Cloudは、一般的なEDR製品と比較して、さまざまな強みを持っています。まず、全てのデータを区別なく記録する「Unbiased Data」という特徴があり、非アラートログを含めて長期間保存し、分析に活用できます。また、ビッグデータと独自技術の「ストリーミング分析」による高い防御力も特徴です。イベントを取得し、それらにタグをつけ、1から8までのレベルで脅威スコアを判定します。

「防御」「検知と対応」「リスクの特定」のセキュリティサイクルを回す
VMware Carbon Black Cloudは、「防御」「検知と対応」「リスクの特定」というセキュリティサイクルを実現できるソリューションでもあります。
まず、防御については、次世代アンチウイルスが、ファイルレス攻撃やLiving off the Land攻撃などの最新の脅威もブロックします。不審な挙動を能動的に検知・通知し、短時間で攻撃ステージの可視化と根本原因の特定が可能です。
また、検知と対応では、EDRと脅威ハンティングで対応します。EDRは、端末上の全ての動作を記録し、環境内の不審な動きを自動的に検知する。管理端末数に依存しない検索結果表示の早さが特徴です。
リスクの特定では、ITハイジーンを実現するための機能として「LiveQuery」を提供します。これは、端末現況の可視化や、定期的な検索による運用の自動化、設定確認作業の迅速化を実現する機能です。LiveQueryは、脆弱性管理や脅威ハンティング、コンプライアンス対応にも活用できます。

テレワークの課題に包括的に対応するVMware Carbon Black Cloud
VMware Carbon Black Cloudを活用することで、テレワークにおけるセキュリティ対策でよくある課題を解決できます。

例えば「社外からインターネット経由で業務を行う必要があり、社内ネットワーク・セキュリティ設備を経由しない通信が増えた」という課題に対しては、クラウドベースのソリューションであるため、社内、社外を問わず端末の脅威の検知が可能です。オフライン時に端末で発生したイベントはオンラインになった際にクラウド上に収集され、情報が欠けることもありません。
また、「ファイルを残さない攻撃に対して、端末側に情報が無く原因が特定できない」場合でも、脅威の有無に関係なく、端末の稼働を全記録し、コマンドの実行も引数も含めて、すべて記録するため、EDRのログから脅威の調査が可能です。未知の実行ファイルの実体も収集するため、マルウェア自身を削除するタイプの攻撃の場合でも、後から調査できます。
導入にあたっては、ネットワールドの導入支援サービスやネットワールド独自の日本語サポート、ネットワールド独自の運用支援サービスを受けることも可能です。
VMware Carbon Black Cloudによって、端末の場所を問わず包括的なエンドポイント対策が可能となります。テレワークセキュリティの有効なソリューションと言えるでしょう。
オンデマンドセミナー お申し込みフォーム
(講演資料も同時にダウンロードいただけます)
今回のセミナーをオンデマンド配信しています。
同時に講演資料のダウンロードも可能ですので、ぜひご視聴ください。
またご不明点やお困りごとなどございましたら、お気軽にお問い合わせください。