侵入前提のセキュリティ対策を実現する EDR
VMware Carbon Black Cloud によるサイバー脅威への迅速な対応
これからのエンドポイントセキュリティに必要な検出、解析、運用面の全てで高水準の性能を提供します。
- ハイブリッドワーク
攻撃は 100% 防げない
エンドポイントセキュリティの課題
現在のサイバー脅威は、従来のアンチウイルスでは検知できない OS 標準機能を悪用する非マルウェアの台頭や攻撃側の進化により、最新の AI を活用したアンチウイルスソリューションであっても100%侵入を防御できるとは限りません。さらに、エンドポイント自体も、リモートワークの促進やクラウドサービスの増加により、企業が設置するファイアウォールの外側で使用されることが多くなり、エンドポイントとなる PC にウイルスが侵入する危険性は増加しています。
- 脅威の進化で侵入増加
-
- 侵入後の可視化、
対応ができない -
- 運用、調査が複雑化
-
連載記事/コラム
連載記事/コラムでは、セキュリティへの脅威や管理の複雑化など企業におけるテレワークに関する課題とその対応方法をわかりやすく解説しておりますので合わせてご覧ください。
攻撃は100%防げないことを前提に侵入後の対策を考える侵入前提の対策 EDRとは
これまでのセキュリティ対策と言えば攻撃者の侵入を食い止める「防御」が中心でした。しかし、現在は攻撃側の進化により100%攻撃を防ぐことが難しくなってきており、「防御」をすり抜けられた場合の、被害をどのように防ぐかを想定する必要がでてきています。
EDR ソリューションは、脅威の侵入を前提として、侵入後のウイルス検出、感染端末の隔離、収集した情報の調査・分析、原因ファイルの駆除と早期の運用復旧を迅速に実現し、まさにこれからのセキュリティ対策で重要なソリューションといえます。
VMware Carbon Black Cloud
VMware Carbon Black Cloud は 侵入前の対策として NGAV(Next-Generation Antivirus)による、未知のサイバー攻撃に対処するために進化した独自開発の次世代アンチウイルス機能を提供し、侵入後の対策となる EDR では、エンドポイントのイベント情報を収集し、セキュリティインシデントにつながる振る舞いや、感染の早期検知や封じ込めといった対処と調査、早期の復旧を提供します。
未知のマルウェア、ファイルレス攻撃、または Living Off the land 攻撃(自給自足/環境寄生型攻撃)などの、これまでにない攻撃に対してもNGAV による強固な防御と、万が一の侵入後も EDR による対応によりサイバー脅威による被害と影響を最小限に抑えることが可能です。
ピンチアウトしてご確認ください
VMware Carbon Black Cloud が提供する EDR の対応例
VMware Carbon Black Cloud が提供する EDR ソリューションが、サイバー脅威の侵入後にどのように役立つのか、EDR ソリューションで重要となる「検出」「封じ込め」「調査」「復旧」の 4 つの視点から解説します。
1侵入したマルウェアやファイルレス攻撃の検出
ピンチアウトしてご確認ください
| EDR なし | EDR あり | |
|---|---|---|
| 検出 |
アンチウイルスソフトをすり抜けられたら被害がでるまで侵入に気が付けない 外部からの指摘で侵入に気がついた場合は情報漏えいの被害が大きくなっていることも |
EDR が各エンドポイントの振る舞いを監視することで侵入した脅威の検出が可能 侵入を迅速に検知することで、すぐに対応することができ、被害や情報漏えいを最小限に抑えます |
あらゆる種類の攻撃を検知する
既存のアンチウイルスソリューションでは、攻撃を検知しても「どの端末がどんな種類のウイルスに感染して処置した」という情報を確認できるだけで、マルウェアの隔離や削除以外の対応は困難です。次世代型のアンチウイルス機能と EDR を兼ね備えた VMware Carbon Black Cloud は、既知および未知の脅威をブロックするだけでなく、攻撃の流れを検知することでファイルレス攻撃、環境寄生型などの高度な攻撃をエンドポイントの振る舞いから検出できます。
2感染デバイスの封じ込め
ピンチアウトしてご確認ください
| EDR なし | EDR あり | |
|---|---|---|
| 封じ込め |
感染デバイスを特定しても、管理システムが別だと即座に隔離などの処置が出来ない テレワークで持ち出しされている端末などが感染していた場合など IT 担当者がすぐに対応できない場合は特定していても対策に時間がかかる場合も |
VMware Carbon Black Cloud の EDR なら、特定したデバイスをリモートから即座に隔離可能 封じ込めを迅速に行えることで、影響範囲や被害状況などの事後対応をすぐに開始できます |
異常を検知したデバイスを即座に隔離
これまでは、感染が疑われるデバイスをシステム上で発見しても、そのデバイスがある場所の特定に時間がかかったり、設置状況によっては即時での隔離が難しい場合があります。EDR なら、各デバイスにインストールしたエージェントを通して、感染したデバイスの迅速な特定や隔離を実現します。
3感染経路や被害状況のためのログ調査
ピンチアウトしてご確認ください
| EDR なし | EDR あり | |
|---|---|---|
| 調査 |
各ログがバラバラに保管されているため、収集や分析に人海戦術での調査による工数増や、ログが残されていない可能性も... ログの収集と調査時間の長期化は、解決や事態収束までの長期化にもつながります |
平常時から EDR が各種のログを収集・分析しているため、調査に必要なログだけを迅速に抽出・調査が可能 脅威の侵入検知がそのまま影響範囲や被害情報の調査へと直結しているため、事態の収束に向けてすぐに動くことができます |
感染経路や被害範囲の調査と分析
VMware Carbon Black Cloud の EDR は、ストリーミング分析によりエンドポイント上のすべての挙動を捉える独自の分析アプローチを実現しています。こうして収集したデータから、全体で相関し即時対応可能な状態まで分析・集約した結果をアラートとして提供するため、各所から発せられる膨大なアラートを1から分析することなく、迅速な対応が可能になります。
4感染したデバイスの復旧
ピンチアウトしてご確認ください
| EDR なし | EDR あり | |
|---|---|---|
| 復旧 | 端末の管理が別システムだと、マルウェアの除去やシステムの再インストールは IT 担当者が端末を直接操作するなど個別に行う必要があり、業務で使用できるようになるまでにも時間がかかります | マルウェア除去やデバイスの再セットアップも EDR 経由でリモートから可能なため、感染した端末をすぐに業務に回すことができるようになります |
日本語対応のダッシュボードからインシデント対応
感染したデバイスの状態を実際に確認してから対応する必要があるこれまでの対応と比べて、VMware Carbon Black Cloud の EDR なら、感染したデバイスを特定できれば、分析結果や VMware Carbon Black Cloud が推奨する対処方法から実施すべきレスポンス(ブラックリスト、ホワイトリスト、アプリケーション削除、実行停止)をリモートから実行することができます。
VMware Carbon Black Cloud の EDR で実現できること
VMware Carbon Black Cloudは、次世代型のアンチウイルス機能とEDRによる侵入後の対応を兼ね備えた、サイバー脅威の検出、分析、セキュリティの運用性全てにおいて高い水準の性能を提供する、これからの企業や組織に必要な次世代のセキュリティ製品です。
- 検出・封じ込め
-
デバイスの振る舞いを監視することで、未知の脅威や正規ツールの不正使用なども素早い検出を実現
- 調査・分析
-
クラウド型でありながら、全てのログ(Unfiltered Data)の保存・分析を実現
- 運用性
-
日本語化された UI や日本国内サーバでの運用と、コンソールやエージェントの統一によるセキュリティの一元管理を実現
さらに VMware のセキュリティを知りたい方に
新しい時代に対応するVMwareのセキュリティ
-
VMware が提唱する本質的なセキュリティ戦略「VMware Security」 VMware Security は、これまでとは異なるアプローチで「一歩先を行く対策」を実現する新しい考え方です。
セキュアでシンプルな EDR 運用をサポート
-
SB C&S Carbon Black
セキュリティ監視サービス (SOC) これからのテレワーク時代に対応しサイバー脅威の侵入を前提としたセキュリティを実現するVMware Carbon Black Cloud を対象として提供する、セキュリティ監視サービスです。
