見出し画像

~ゼロトラスト~ NGAV・EDRと連携した自動化対応

Junnosuke Nakajima

ヴイエムウェアという会社で公共分野のお客様を担当している御木です。

前回の記事では、ゼロトラストセキュリティの要となる認証・認可を担うWorkspace ONEの機能について記載しました。今回はエンドポイントセキュリティを担うNext Generation Anti-Virus (NGAV)やEndpoint Detection and Response (EDR)がMobile Device Management (MDM)と連携し、「ゼロトラストセキュリティ」をどのように実現させていくのかについて考えていきたいと思います。

ヴイエムウェアのNGAV・EDR製品であるVMware Carbon Black Cloudの特徴に関しては別の記事で解説をしていきますので、公開した際は是非そちらもあわせてご参照ください。

Workspace ONEでは様々な手段でデバイスの状態を動的に変化させることで、アプリケーションやシステムへのアクセス、或いは端末の利用自体に制限をかけることを可能にすることについて解説しましたが、今回取り上げるヴイエムウェアのNGAVおよびEDR製品であるCarbon Black Cloudでは、端末の状態が健全か否かをチェックするとともに、有事の際の初動対応を迅速化し、更に関係機関への報告対応を行うために必要な情報を一元的に記録することが可能です。

従来のセキュリティ対策の課題

それではここから、従来のセキュリティ対策ではどういった点が問題となるのかについて考えていきたいと思います。

従来の対策では、端末を統合的に管理する仕組みが不足していることより設定ミス設定漏れによる脆弱性を突かれることもありますし、パッチに関しても適用漏れが原因になることが考えられます。

また、従来型のアンチウイルスソフトウェアですと、昨今のWindows標準ツールであるPowerShellやSSH、WMI等の正規のツールを使ったLiving off the Land (LoL)攻撃や、ターゲット向けに専用に作り込まれたマルウェアといった標的型攻撃を防ぐことはできないという課題があります。

スクリーンショット 2021-07-08 10.51.41

脅威に関しては100%を事前に防ぐことはどのようなセキュリティ対策ソリューションでも不可能となるため、必ず侵入後の検知対策が必須となりますが、MDMやNGAVといった、事前の対策によるインシデント数の最小化が充分にできていない場合、管理者は膨大な量のインシデントに対応しなければならなくなります。

これからのセキュリティ対策

初動の迅速化並びに、自動的なアクセス制御を行うためには、NGAV/EDR製品とMDM製品が密接に連携することが重要になります。

スクリーンショット 2021-07-01 15.11.34

MDM製品であるWorkspace ONEを用いることで、設定ミスや設定漏れを防ぐことができますし、確実なパッチ適用が可能になります。

従来型のシグネチャベースのアンチウイルスに加えてNGAVの機能を持つCarbon Black Cloudでは、未知の脅威であっても防ぐことができます。

また、どんなに事前の対策を強化しても防ぎきれないマルウェアの侵入に関しては、EDRを用いることでカーネルレベルログやネットワークの異常性も含めて判断し、迅速な初動対応を行うことで脅威の根絶期間の最小化を図ることが可能です。

ここから更に、自動化の機能を持つWorkspace ONE IntelligenceとCarbon Black Cloudが連携することで、どういった対処が可能かを具体例をあげて説明します。

スクリーンショット 2021-07-01 15.21.08

まずは、Workspace ONEのMDM機能を活用して、Carbon Black Cloudのエージェントである「センサー」を配信することが可能です。

配信したセンサーが吸い上げた脅威の情報は、Workspace ONE Intelligenceが提供するダッシュボードで可視化できます。

図1

ここからは、前回の記事でも紹介したとおり、Carbon Black Cloudが脅威だと判断したイベントや、様々な脅威情報をリスクスコアとしてスコアリングした内容に対して、例えば以下のような自動化処理が可能となります。

・Worksapce ONE で配布したクライアント証明書やアプリケーションなどの企業情報に限定したワイプ
・EmailやSlack通知
・ServiceNowとの連携
・VPNプロファイルの削除
・無線LANプロファイルの削除
・Carbon Black と連携した、デバイスのネットワーク隔離処理
・BIOSパスワードセット&再起動(対応メーカーのPCのみ)

自動化ルールの設定画面イメージは以下のような形で、例えばCarbon Blackが脅威レベルを(高)と判断した場合に、Emailの通知やタグ付け、MDMプロファイルの動的な変更やServiceNowとの連携など、様々な対応を事前に定義することが可能です。

図1

MDMやNGAVを使って事前のインデントの数を減らすことができ、EDRを使うことによってすり抜けた脅威への対処が可能となります。

そこから更に、明らかに対処が必要なインシデントに関しては事前に定義したポリシーに従った自動化をすることによって、インシデント対応時間の迅速化を図ることが可能になりますし、そもそも対処をしなければならないインシデント数を事前に減らしておくことで、SOCのインシデントへの対応精度が上がり、結果として脅威の潜伏期間を最小化することが可能になると考えております。

英語にはなりますが、Carbon Black CloudとWorkspace ONEの連携に関する動画もあがっておりますので、ご興味のある方は是非以下のURLからご確認ください。

今回はCarbon Black CloudとWorkspace ONEを用いた連携の一例をご紹介しました。

次回の記事では、ヴイエムウェアが持つネットワークとセキュリティ対策技術をクラウド上で統合したSecure Access Service Edge (SASE)について記事にしたいと思います。