「VMworld 2019」で買収が発表され、VMwareがエンタープライズセキュリティ市場に本格参入するきっかけとなったCarbon Blackとは何かを本ブログで紹介したいと思います。
VMwareが買収したCarbon Blackとは?
攻撃の検出、被害の可視化などを行う際に、圧倒的にエンドポイントのログが足りないという思想から「EDR(Endpoint Detection and Response)」というジャンルのセキュリティ製品が生まれましたが、そのEDRのパイオニアとされているのがCarbon Blackです。
グローバルではCrowdStrikeと並んでEDRジャンル単体での売上高も高い著名なEDRベンダーとして認知されてます。
また、国内においては、日本市場で有名な"Cybereason"と"CrowdStrike、Carbon Black"をひとまとめにして3Cと言うような呼ばれ方も一部されており、VMwareに買収された事により、日本での認知度も向上しております。
攻撃は100%防げない!エンドポイントセキュリティーの課題
昨今のサイバー攻撃は、従来型のアンチウイルス製品では検知困難なOS標準機能を悪用するファイルレス攻撃(非マルウェアによる攻撃)の台頭や攻撃側の進化により、機械学習を駆使したアンチウイルス製品であっても100%侵入を防御することが困難になりました。
さらにエンドポイント自体もクラウドシフトや働き方改革、リモートワークの促進で企業が設置するFWをはじめとする境界防御(ゲートウェイ)の外側で使用されることが多くなり、エンドポイントはますます危険に晒されてます。
侵入前提の対策 EDRとは?
EDRはEndpoint Detection and Responseの略称で、エンドポイントの情報を活用して侵入後の脅威を検知し対応する製品です。
総務省からの自治体セキュリティの見直しの要件にEDRの内容が含まれていることもあり、検討される企業の方が急増しております。
これまでは、99.999% 脅威を防御する為に、アンチウイルスやFW、UTM、NGFWなどで対策されてきたかと思いますが、防御層でブロックできず侵入されてしまった場合に、侵入に気づく事もできなければ後から分析・調査する情報も足りないのが問題でした。
それらを解決するのが、EDRです。侵入後の検知から最終的な修復までを支援します。
EDRで侵入後の脅威検出と対応が可能なことが分かって頂けたと思いますが、既存の防御層を強化しなければ、侵入が多発し、EDRを導入頂いてたとしてもインシデントが増大し、運用が逼迫してしまいます。
侵入前・侵入後の両面に対応するVMware Carbon Black Cloud
VMware Carbon Black Cloudは 侵入前の対策として NGAV(Next-Generation Antivirus)による、未知のサイバー攻撃に対処するために進化した独自開発の次世代アンチウイルス機能を提供し、
侵入後の対策となる EDR では、エンドポイントのイベント情報を収集し、セキュリティーインシデントにつながる振る舞いや、感染の早期検知や封じ込めといった対処と調査、早期の復旧を提供します。
未知のマルウェア、ファイルレス攻撃、または Living Off the land 攻撃(自給自足/環境寄生型攻撃)などの、これまでにない攻撃に対してもNGAV による強固な防御と、万が一の侵入後も EDR による対応によりサイバー脅威による被害と影響を最小限に抑えることが可能です。
VMware Carbon Black Cloudで実現できること
VMware Carbon Black Cloudは、次世代型のアンチウイルス機能 "NGAV"と"EDR"による侵入後の対応を兼ね備えた、サイバー脅威の検出、分析、セキュリティーの運用性全てにおいて高い水準の性能を提供する、これからの企業や組織に必要な次世代のセキュリティー製品です。
現在のエンドポイントが抱える2つの大きな問題、防御の強化と侵入後の対応をシングルエージェント、シングルコンソールで提供します。
NGAVはオプション費用は不要で、EDRの一部機能として使用頂けます。
VMware Carbon Black Cloudのロードマップ
VMwareはCarbon Black Cloudを中心に、今後はVMwareの他のプラットフォームとの連携を強化し、シングルプラットフォーム化されたセキュリティエコシステムを提供します。
直近で開催される"VMworld 2020" "vforum 2020"でも各種発表があるかと思いますが、年内にはvSphereやNSX、Workspace ONEなどにあらかじめCarbon Blackが組み込まれるようになります。
これにより、Carbon Blackはエンドポイントの情報を活用するEDRからネットワーク、サーバー、ワークロード、クラウドなどEnterPrise Network全体をカバーする"XDR":Extended Detection and Response へと進化します。
さいごに
今回はVMwareが買収したCarbon Blackとは何なのかと言う観点で説明させて頂きました。
次回以降はCarbon Blackが他の製品と比べどう言った部分に強みがあるのかを技術面も含め解説致します。
EDRを検討されている皆様には、検出と対応だけでは無く、防御の強化や今後の拡張性なども加味した機器選定を推奨させて頂きたいと思います。
CarbonBlack Cloudの最新情報やVMware が提唱する本質的なセキュリティー戦略 Intrinsic Securityの説明はこちら
