ますます巧妙化・悪質化しているサイバー攻撃から、エンドポイントを保護するソリューションとして、「VMware Carbon Black Cloud™」が注目されています。しかしながら、同ソリューションの運用は容易なものではありません。中心機能であるEDRは、これまでのアンチウイルス製品のように、マルウェアの駆除などをソフトウェア側で自動的に行うことはなく、ユーザー側で対処しなければならないからです。このように、多くの企業にとって扱いが難しいEDRの運用を支援し、作業を代行できるソリューションを紹介します。
ヴイエムウェアでは、VMware Carbon Black Cloudというエンドポイントのセキュリティ対策ソリューションを提供しています。中核を担うのは、NGAV(次世代型アンチウィルス)とEDR(エンドポイントでの検出&対応)という2つの機能ですが、これらは従来のEPP(エンドポイント保護プラットフォーム)と何が違うのでしょうか。
ネットワールドでは、EPP、NGAV、EDRの関係性を次のように説明しています。
EPPは「番犬」的な役割を担うもので、記憶したシグネチャをベースとして大量の動作に紛れた危険を検知・駆除します。しかし、EPPには既知のマルウェアにしか対応できないという課題がありました。
そこで登場したのが「番犬+警備員」的な能力をもつNGAVです。監視対象のふるまいを基に、大量の動作にまぎれた未知の危険も検知・駆除します。
もっとも、NGAVといえども100%の精度を発揮するわけではなく、防御を突破されてしまう場合もあります。そんな事態に対する備えとなるのが「監視カメラシステム」のような機能をもつEDRです。マルウェアの侵入を検知して、重要な情報が持ち出される前に対応します。
ただし、EDRにも大きな課題があります。EDRは検知したインシデントに対してアラートを発しますが、その後のマルウェアの駆除や復旧などの作業は、ユーザー自身で実施しなければなりません。アラートを受けてもどの程度危険なのかユーザーは判断できず、また的確な対応ができる人材もいないことから、多くの企業が運用に苦慮しています。これがEDRの運用で非常に重要で、せっかく購入したEDRをインシデント後の事後対応の情報収集にしか使わない「ドライブレコーダー」にしてしまうのか、インシデントを事前に防ぐ「監視カメラシステム」として利用できるかの違いにつながってくるのです。
そんな企業の間で利用が広がっているのが、MDR(Managed Detection & Response:検知・対応のマネージドサービス)と呼ばれる外部サービスです。ネットワールドでは、ソリューションパートナーの株式会社AGESTが運営する「DH-MDR(Digital Hearts Managed Detection & Response)サービス for VMware Carbon Black」(以下、DH-MDR)を提供しています。
DH-MDRは、VMware Carbon Black Cloudの運用を代行するサービスで、事後的対応と予防的対応といった、大きく2つのメニューで構成されています。
事後的対応では、エンドポイントにおけるインシデントのアラートをAGEST側のSOCで受信し、エンドポイントの隔離やマルウェアなどの脅威除去、再発防止施策まで一貫して支援します。予防的対応では、脅威ハンティングやITハイジーン、デジタルリスクの監視により、潜在的なリスクへの対応をサポートします。
事後的対応について、サービス内容をさらに掘り下げて見てみましょう。
前述した通り、EDRはこれまでのアンチウイルスと違って、マルウェアを自動的に駆除してくれません。そこでDH-MDRでは、マルウェアの駆除や不正ファイルの消去をAGEST側で実施、もしくは除去対象や除去手順など必要な情報を提供しています。さらに、アラート解析によって特定された脅威に対して、同様の攻撃の再発を抑止する施策を実施するとともに、エンドポイントの回復および恒久対策を支援します。
事後的対応の提供内容
DH-MDRを利用する際の具体的なサービスの流れは次の通りです。
第1ステップとして、DH-MDRはVMware Carbon Black Cloudが検出した重大なインシデントへのアラートを起点に、対応を開始します。
第2ステップでは、VMware Carbon Black Cloudから受け取ったアラートについて、AGEST側のシステム基盤上で高/中/低の危険度の自動精査(トリアージ)を実施します。この内、高/中レベルに分類されたアラートに関して、一次調査としてその内容を確認し、インシデント対応が必要なインシデントであるかどうかを確認します。
第3ステップでは、一次調査の結果から危険度が高/中レベルに分類されたインシデントに対して、一次報告を行います。事前の取り決めにより許可されている場合は、当該端末のネットワーク隔離までリモート対応します。なお、一次報告および端末緊急隔離などのインシデント対応は60分以内を目標に行われます。
第4ステップでは、VMware Carbon Black CloudのEDR機能を活用し、インシデントの詳細調査(二次調査)を実施。過去30日分の全エンドポイントのログを基にして、根本的な原因や影響範囲を調査するとともに、特に被疑端末に対してはリモート操作機能を活用して、内部の詳細調査を行います。
さらに、EDRのログだけでは調査内容が不十分な場合は、情報が流出した端末やユーザーを特定するために、Active Directory(AD)やDHCPなどのログも合わせた調査が必要となります。
そこでファイアウォールやプロキシサーバー、AD/DHCPサーバーなどのログも合わせて提供する、もしくはAGESTのアナリストへ管理UIへのアクセスを直接許可することで、DH-MDRの標準サービス内でログの突合解析を行うことが可能です。
第5ステップでは、上記の二次調査の結果に基づいた二次報告(最終報告)を行います。このレポートには、影響範囲や原因、侵害箇所に関する報告のほか、恒久対応策の方針、回復方法なども記されています。
第6ステップでは、二次調査の過程や最終報告の結果に基づいて、攻撃活動中のプロセスの停止や侵害された箇所の除去などの復旧支援を実施しています。リモート操作が許可されている場合は、AGEST側で復旧作業を代行することも可能。仮にリモート操作の許可がない場合でも、復旧用のスクリプト(.bat)を提供しています。
第7ステップでは、最終報告に記載された恒久対策を実行します。事前の取り決めによりVMware Carbon Black Cloudの操作が許可されている場合は、AGEST側で作業を代行することが可能。さらに、周辺機器など他製品の管理UIが提供されている場合は、これらに対する作業も代行します。
ユーザーによるコンソールの操作は不要
DH-MDRサービスは、VMware Carbon Black CloudのEDR機能のみに閉じた範囲内で、アラートの監視やインシデント対応を支援したり、代行したりするだけではありません。ITインフラ管理の縦割りによってサイロ化した、サイバーセキュリティ運用に対する解決策を提供していることが大きな特長です。ファイアウォールやプロキシサーバー、AD/DHCPサーバーなど、周辺機器のログとの突合調査の実施が代表的な例です。
加えてEDRを運用する際に、実際にはサイバー攻撃ではないにもかかわらずブロックされたアプリケーションなど、企業側にとって“隠れた運用負荷”となる過検知にも対処していることも、他社のMDRサービスにはないDH-MDRならではの優位性と言えます。
具体的には、AGEST側のSOCによる解析結果から過検知と判断された場合は、その旨をポータルサイトに掲載します。ポータルサイトには端末の情報のほか、当該ソフトウェアの種別について、AGESTの知見を加えた情報も合わせて記されています。そのため、ユーザーはその内容から、業務に利用しているアプリケーションが過検知に該当するかどうかを容易に確認できます。そして、そのアプリケーションの継続利用を許可し、同様のアラートが出ないように改善したい場合は、ポータルサイト上からホワイトリストへの登録を直接依頼することが可能です。
そのほかDH-MDRでは、ユーザーごとのVMware Carbon Black Cloudの運用体制に合わせた、柔軟なポリシー設定も支援しています。
また、ネットワールドではVMware Carbon Black Cloudに対してご支援プランを用意しています。
導入支援サービスでは、設計・構築やチューニングなど有資格者が幅広くサポートします。VMware Carbon Black Cloud Endpoint Standard、Advanced、Enterpriseの全てのエディションに対して技術サービスの提供が可能です。ぜひネットワールドにご相談ください。
