課題を解決

ランサムウェアの脅威に備えるセキュリティ対策 – エンドポイント編 –(1/2)

2022/08/09

ランサムウェアの脅威が増大していますが、背景にはクラウドサービスの利用拡大やテレワークの加速といった職場環境の変化により、従来の境界型セキュリティが限界を迎えている実態があります。この課題に対応した新たなエンドポイントのセキュリティ対策が迫られているのです。そうした中で注目されているEDRと呼ばれるソリューションについて解説します。

既存のアンチウイルスだけでは対策に限界

現在の職場環境におけるインシデント対応の実態

セキュリティインシデントの多くは、IT担当者やセキュリティ運用者が知らないところで進行します。ユーザーから「PCの挙動がおかしくて仕事ができない」「工場の生産ラインが停止してしまった」「ファイルが暗号化されて開けない」「機密情報を公開すると脅されている」といった連絡を受けて、はじめてインシデントの発生に気づくのが実情です。

現在のサイバー攻撃は非常に巧妙です。既存のアンチウイルスでフルスキャンを行っても発見できないケースがほとんどです。PCやサーバーからも侵入の痕跡が見つからず、ファイアウォールやプロキシのログからも攻撃を特定できません。

攻撃者は段階的に攻撃を仕掛ける

ランサムウェアをはじめとするサイバー攻撃は、いかにしてネットワークに侵入し、攻撃を仕掛けるのでしょうか。大きく3つの段階があります。

  1. 偵察/侵入:偽装メールで送りつけたマクロ付きドキュメントを実行させたり、VPNの脆弱性を悪用したりしてネットワークに侵入します。インターネット上に公開されているRDP(リモートデスクトップ)を悪用して侵入するケースも増えています。
  2. 接続の維持/遠隔操作:侵入したネットワーク内で横展開を図ります。システムに内在している脆弱性を悪用し、特権アカウントや認証情報などを窃取し、重要システムやデータにアクセスします。
  3. 実行/情報持ち出し:最終段階でランサムウェアを実行し、ファイルを暗号化したり、外部に送信したりします。

従来型アンチウイルスの限界とEDR

残念ながら既存のアンチウイルスで対応できることには限りがあります。

アンチウイルスは、攻撃者がマクロ付きドキュメントを実行しようしているのを検知して阻止しますが、この防御をすり抜けられてしまった場合、打つ手がありません。

そこで注目されているのがEDR(Endpoint Detection and Response)です。自社のネットワーク内に侵入された場合、実害に至る前に攻撃に気づくチャンスを生み出すことで、被害を最小限に抑えます。

 

原因特定を最短化し、被害の拡散を最小化するEDR

EDRの概要

EDRとはどういうツールなのかというと、一般的には、「侵入経路の特定」「侵害端末の特定」「漏えいした情報と経路の特定」「被害の封じ込め」「復旧、再発防止」の大きく5つの機能を持つツールの総称となっています。

これによりランサムウェアをはじめとするサイバー攻撃の原因特定を最短化し、被害の拡散を最小限に抑えます。

ヴイエムウェアのEDR「VMware Carbon Black Cloud」

ヴイエムウェアではEDR機能をVMware Carbon Black Cloudで提供しています。「リスクの特定」「防御」「検知と対応」からなるセキュリティサイクルを、1つの製品でカバーすることをコンセプトとするEDRです。

VMware Carbon Black Cloud はSaaS型で提供しているため、お客様側で管理サーバーなどを設置・運用する必要はなく、ソフトウェアエージェントをインストールするだけでご利用いただくことが可能です。

監視対象としては、物理PC(Fat端末)や物理サーバーからVDI(仮想デスクトップ)、仮想マシンまで幅広いエンドポイントをサポートしています。特にVMware vSphereをご利用の場合、vCenterと統合されており、使い慣れたvSphere Clientから管理可能です。

またヴイエムウェアではVMware Carbon Black Cloudに関しても日本市場を重視した投資を行っており、管理コンソール日本語化するほか、日本国内のデータセンターからサービスを提供しています。

EDRの重要性

VMware Carbon Black CloudのEDR機能は、監視対象のエンドポイント上のすべての挙動を、フィルターをかけることなく記録します。これによりインシデントの疑いが起こったときに、時間をさかのぼって調査を行い、原因を特定することができます。

また、大量に収集したログに対して迅速な調査を行えるよう管理コンソールのUIが設計されています。標準で用意された100を超える検索条件を組み合わせて実行し、必要な情報に短時間でたどり着くことが可能です。

さらに何らかのインシデントが検出された場合、管理コンソールからVMware Carbon Black CloudのコマンドやOS標準コマンドを入力し、当該の端末やファイルを隔離したり、不審なプロセスを停止したりといった被害の封じ込め/復旧のフローを、その場から実行することが可能です。

おすすめ資料ダウンロード

この記事を読んだ人がよく読む記事

最新の「課題を解決」

人気の記事

関連する記事

関連する資料ダウンロード

関連するセミナー

関連情報

VMware 認定ディストリビューター情報

TOP