見出し画像

ウイルス対策ソフトKaspersky Endpoint Securityは、中小企業に最高の製品!

itnews.jp 中の人

なぜ最高の製品か?

Kaspersky Endpoint Securityは「コスパ」の上に、セキュリティ性能は「最強」だ!勤務先で3年間利用し、管理したヒトがいうから本当だ。ロシアのウクライナ侵攻がなければ、ずっと使い続けていた製品かもしれない。

勤務先の社内的な事情から、2022年度よりCylance(サイランス)を利用している。ただ、Kasperskyにおいては、透明性を図り、各種安全性に関する声明を出されています。一例を転載します。

Kasperskyの声明

Kasperskyでは、堂々と価格表が公開されている。安いですね。。。
その中でKaspersky Endpoint Security for Business Advanced(KESB)がおすすめ。オンプレ(サーバの社内設置型)においては、AdvancedとSelectの2種類があり、この違いは、脆弱性管理(KVPM:Kaspersky Vulnerability and Patch Management)や暗号化、OSデプロイの有無程度。KVPMが非常に素敵なので、Selectより多少高くともAdvancedを選んだ方が賢い。

詳細な製品説明はこちらに公開されているので参考に。

この価格表にEDRをソフトウエアで提供されているオプションがある。以前はアドオンを入れる必要があったものの、今のバージョン(EDR Optimum 2.3)であれば、特にエージェン不要で、通常のKasperskyのエージェントで対応できるようだ。EDR Optimumは利用したことが無いので、割愛させていただきたい。サンドボックスもあるけど、確か、このライセンスの他に専用のアプライアンスサーバを購入する必要があったと思う。

Kaspersky Endpoint Security for Business(KESB)

コスパで高性能なウイルス対策ソフトは、Kaspersky(カスペルスキー)か、ESET(イーセット)か、F-Secure(エフセキュア、今はWithSecureに名称変更)だと思う。ESETはプライベートでは利用した経験はあるが、勤務先では採用していないので、割愛。今回は勤務先でも3年ほど利用したKESBについて、軽く説明していきたい。

AV-TEST.org の評価検査結果。WithSecure(F-Secure)はBitdefenderを含んだ複数のエンジンでのスキャンのため、Bitdefenderと同じ結果になっているね…。Kasperskyは優秀だ…。

AV-TEST.org (Twitter)

KESBはちょっとPCへの負荷が大きいかな?ってな感じだけど、KESBの素敵なところは、1度ファイルスキャンをすれば、スキャン済みのファイルは再スキャンしないところにある(設定で再スキャンを行うこともできるが)。そのおかげで、定期的なスキャン時間は、2回目以降は短くなる。また、簡易IT資産管理ソフト(PC操作ログは取得不可)機能もあり、PCのスペックや接続構成、アプリのインストール情報とかも把握できる。ドライブ制御もできたんだっけな。

定義ファイルを更新するという、一般的なセキュリティソフトの場合、定義ファイルを更新していなければウイルスに感染するよね、的な考え方。一方、Kasperskyでは、簡易的なサンドボックスが搭載されており、振る舞い検知・脆弱性攻撃ブロック・ホスト侵入防止そして、修復エンジンといった先進脅威対策が搭載されている。そのため、多少忘れたとしても、それらが動いてくれるので、とりあえず大丈夫だよね、という製品だ。そういった点で、更に機能があるから、色々と有効にしていると、それだけでPCに負荷を与え、結果的にPCが重いという原因をもたらす。

あ、そうそう、Kasperskyは頻繁に定義ファイルを更新するので、1回あたり小さいファイルで送信されるのはありがたいね。ただ、大型連休明けの場合、結構大きな容量でまとまって管理サーバから取得することになるので、閉域網環境のPCは、同一ロケーション(同一エリア)に定義ファイルサーバを置いておかないと、通信パニック(通信混線、通信輻輳)が起きてしまうので、要注意だ。

ウイルス対策ソフトを導入することで、PCが重くなる理由として、PCへの負荷が高い、ということだ。昔は「定義ファイル」といった辞書に登録している情報を見ながら、検査中のファイルと照合させる程度で良かった。今は、定義ファイルでヒットしなくても、なんか動きが変だよね、という決まった不正の動きが行われないよう、ウォッチングして、制御してくれるから、PCへの負荷が高まっているのだ。

更に定義ファイルとかで見つからない脅威は、KSN(Kaspersky Security Network)といった、カスペルスキーのクラウド上で管理しているビッグデータを活用した解析が瞬時に行われる。色々な機能が一斉に動き出すため、こういった定義ファイル型のセキュリティソフトには限界が来ているというのが現状。

インターネットができない閉域網だと、クラウドにあるKSNにはアクセスできないよね、と思われがちだが、KSNへの接続ができるようProxy(代理サーバ)を張る設定がある。それを利用すれば、閉域網でありながら、KSNへのアクセスができ、高セキュリティで利用できるのが特徴だ。

KVPM(脆弱性管理)

KVPM(Kaspersky Vulnerability and Patch Management)、これ以上すごい製品は無いのかもしれない。簡単にいうと、WSUS+αの管理ができる、ということだ。WSUSとはWindows Server Update Servicesの略で、簡単にいうと、WindowsアップデートサーバーをKaspersky管理サーバー(KSC:Kaspersky Security Center)で管理ができる。これを更に言い換えると、Windowsアップデートのためのパッチ情報をKSC(Kaspersky管理サーバ)上で管理できるため、膨大なディスク容量が必要になるということだ。少なくとも1TB以上必要なので、これが欠点。

Windowsパッチを選択してKSC内に同期して保存することができるので、Windows 10 / 2016 以降のパッチに制限するとか、Officeにおいても、Windowsに制限するとか、任意に選択ができるので、HDD容量を抑えることも可能だ。更に、Windowsに限らず、Macに対しても有効というのが驚きだ。

ただこのKVPMの欠点は、アップデートファイルが非圧縮でネットワークに流れるため、通信パニックが起きてしまう可能性があるのがリスク。今は改善されたのかな?Windows OSのメジャーアップデートのファイル(数GB)も展開できるのは驚きだ。KVPMについては、特設サイトがありましたので、興味があればどうぞ。

脆弱性管理といえば、Windows update。でも、結局、サードパーティ(Microsoft以外のメーカー)のソフトからウイルスが侵入されるというケースもあるので、そういったMicrosoft以外の攻撃経路になりやすいソフトのアップデート管理は必要だ。どういった製品が対象になるかは、こちらのリンクを確認ください。過去にウイルスが混入したCCleanerを始め、非常に多くのアップデート管理が行える。ただ、多くの脆弱性管理を行う場合には比例して、管理サーバ(KSC)のHDD容量も使い潰す、ということに注意しておこう。この、サードパーティのパッチ管理ができるのが、他社製品と比較して珍しい機能、差別化できる機能と思っている。

こういった脆弱性管理、PC毎にバージョンが違ったりするため、膨大な情報が上がってくるのが欠点。言い換えると、脆弱性が沢山見つかって、まじかぁ〜!と憂鬱になる。

管理はKSCで行う

全てのPCの管理は、Kaspersky Secury Center、KSCで行う。Kasperskyでは2つのエージェント成り立っている。セキュリティ機能のクライアントソフトと、KSCと通信を行い、クライアントソフトに対して指示を行うネットワークエージェント(NA)だ。1〜2年前ぐらいは、EDRを利用していれば、EDR向けのエージェントが必要だった。今のバージョンはEDR専用のエージェントは不要のようだ。

KSCは非常に階層的に詳しく設計ができる。特定の階層から配下矯正といったポリシーも立てることができる。例えば、インターネットができない閉域網とインターネットができるネットワークを1台のKSCで管理ができるのも特徴だ。ただ、ここで1つリスクがあった。

ネットワークは2つに論理的に別れていても、KSCからはどちらにも繋がるため、閉域回線管理階層からインターネット接続可能PCの情報が入り、一方で、インターネット接続可能階層から閉域回線PCの情報が入る。ちょっとループ的な感じになってしまうため、管理上まずかったかな、と反省はしている。

そういうことが影響して、今思えば、ループ的な現象が発生し、KSCサーバが変になり、3年間で毎年サーバーを立て直す、という理不尽な結果になってしまった。ただ、KSCからエージェントの接続内容を変更できたりするため、セキュリティソフトのインストール展開は比較的行いやすいのが特徴だ。

ネットワークエージェント自体はセキュリティ機能が無く、非常に軽いエージェントだ。これを、ログインスクリプトとかでインストールしてしまえば、あとは、KES本体を配るだけでリモートインストールが可能になる。そして、KSC管理サーバを複数建てなおした場合でも、接続先をKSC側で変更ポリシーを配信できるため、簡単に分散管理が可能になるわけだ。こういった柔軟にPCを制御できるのは、Kaspersky流石!と言わざるを得ない。

当然、このネットワークエージェント、ログインスクリプトで配布しなくても、KSCから直接PCに接続し、PCの管理者権限の認証情報がわかってしまえれば、リモートから全部インストールすることも可能だ。PCにリモートデスクトップ接続(RDP)しなくてもインストールができてしまうのが特徴だ。

更にいうと、このインストールのついでにサードパーティのソフトのインストールも可能だったりする。至れり尽せりだ。

Firewall

KasperskyにはFirewall(ファイアウォール)も搭載されている。これも、ポリシーで制御ができ、IP範囲、ポート、結構詳しく制御できたりした。そのため、PC保護に対して、結構例外ルールとか作れて、あれやこれやカスタマイズしたがる人にはおすすめの機能だ。

例えば、会社ではこのポリシーを使って、社外ではモバイルポリシーを使うといった設定も可能。このへんは、ここを参考ください。

VLAN(ネットワークを論理的に制御する)をしなくても、KESのネットワーク制御を利用すれば、このIP範囲からは、そのPCへのアクセスをブロックするとか、ホント何でもできるのだ。

ただ、ポリシーを間違えて設定してしまうと、部分的に通信できないだの、今まで印刷できたのに、出来ねぇぞ、コラ!という問題もあるので、テスト用の階層を作って十分テストが必要という経験をした。

まとまりの無い、まとめ

セキュリティ強化って、なかなか見えないもののため、なかなか会社が投資してくれない。しかし、Kaspersky Endpoint Security for Business Advancedを利用することで、昨今騒がれているランサムウエア対策までもが可能になる。非常に製品自体は良い製品。

ただし複数のセキュリティ機能をソフトウエア上で処理する都合上、PCへの高負荷がかかるのも事実。SSD搭載のそれなりのスペックのPCを手配できる企業であれば、おすすめだ。

この記事が気に入ったらサポートをしてみませんか?