最近テレビや新聞を見ていると飛び込んでくる「情報流出」「標的型攻撃」の文字。「あらかじめ社内の情報を取得して、どの様なやり取りが行われているか把握してから攻撃する」、「何度かメールをやり取りして安心したところでマルウェアを送り込んでくる」など現在流行している「標的型攻撃」は、攻撃者の手口も巧妙となり、事前に防ぐことが難しくなっています。
その様なマルウェアですが、次世代型マルウェア対策「プロテクトキャット」は、既知のマルウェアだけでなく未知のマルウェアを検知し、遮断することができる製品です。「プロテクトキャット」を検索してみると「人工知能エンジン」「ディープラーニング」「次世代型セキュリティ」・・・など小難しそうな単語が並んでおり、導入が難しそうに思いがちです。似たようなマルウェア対策ソフトも非常に多くありますが、製品を理解するにはカタログを読むより実際に製品を「見て」、「触る」ことが一番です。
今回は「プロテクトキャット」導入前に製品をより良く理解するために実施させて頂くPOCというステップについて紹介させて頂きます。
次世代型マルウェア対策「プロテクトキャット」導入前にはPOC
【1】そもそも「POC」って何?
プロテクトキャットを導入する前に実施しておけば導入から運用までをスマートに行なうことができます。
【2】どの様なことを行うのか?
POCの流れを4つのステップでご紹介します。また、POC終了後についてもご案内します。
【1】そもそも「POC」って何?
POCとは「Proof Of Concept(概?実証) 」の?で、「プロテクトキャット」の製品導入に向けて、製品の操作方法や運用方法を把握して頂くステップです。
POC期間中は、MOTEXがCylanceの協力の元 ご支援します。このステップを踏んで頂くことで「プロテクトキャット」が社内でどの様に運用できるのか、お客様の環境に合った運用方法を学んでから導入して頂けます。
【2】どの様なことを行うのか?
POCでは実際にお客様の環境にプロテクトキャットを展開して頂き、脅威となるファイルの検知・隔離、運用方法をご案内します。
大きく分けると次のような流れで実施します。
●第1ステップ● キックオフ_プロテクトキャットのインストール・設定方法と端末のスキャン |
---|
脅威ファイルに対しての動作設定等、各種基本設定のご説明 第2ステップまでにプロテクトキャットをテスト端末に展開して頂きます。 |
第2ステップまでに、展開時に端末内のファイルをスキャンし 脅威となる要素を持つファイルの有無の確認のみ行います。 |
●第2ステップ● 検知されたファイルの確認と許可設定の割り当て方法 |
スキャンした端末から検出された脅威の要素を持つファイルを確認し 業務で使用しているファイルが検知されている場合、許可設定を行います。 |
この段階で検出されたファイルを次の2通りに分けます。 - 許可設定:「存在・用途を把握しているファイル」 - 隔離設定:「存在・用途を把握していなかった怪しいファイル」 |
第3ステップまでに、新たに脅威ファイルが発見された場合 自動でファイル起動の停止・隔離を行う設定を適用し、日常業務を行います。 |
●第3ステップ● 脅威ファイルの停止・隔離設定を適用した上で業務に支障が出ないか確認 |
「存在・用途を把握していなかった怪しいファイル」を隔離した状態で業務が問題無く行えているか確認します。業務に必要なファイルが停止・隔離されていた場合は、そのファイルに対して許可設定を適用します。 | ●第4ステップ● その他のオプション設定の適用※ |
プロテクトキャットには実行ファイルのスキャン以外に、メモリ保護機能、スクリプト実行の制御が行えます。この設定を有効にして業務に問題が無いかを確認します。 |
※第2・第3ステップで並行して行うことが多いです。
●POCが終わったらどうなるの?
「POCの完了」=「プロテクトキャットを導入して運用ができる状態」となります。
POCで利用されていた許可・制御設定をそのままお客様の購入環境として利用して頂けます。その為、導入後に改めて再設定やエージェントの展開を行う必要はございません。お客様の使い慣れた環境、設定をそのまま導入環境として引き継ぐことが可能です。
最後に
ウイルス対策ソフトは日々、新たなマルウェアに対応するように更新されていますが、マルウェアも同じく日々100万もの新たなマルウェアが作られています。
従来のウイルス対策ソフトは「新種マルウェアによる被害の発見」の後「対策」が行われます。実際にPOCを進めていく中で、従来のマルウェア対策ソフトをすり抜けた未知のマルウェアを「プロテクトキャット」が捉えて事なきを得たケースもございました。「不幸な第一発見者」にならないために「プロテクトキャット」で次世代のマルウェア対策をご検討されてはいかがでしょうか?
■Cylanceが米国連邦政府のマルウェア対策製品として活躍
http://markezine.jp/release/detail/665502
https://www.cylance.com/us-congress-report-cylanceprotect-personnel-administration-opm-detection
● プロテクトキャットについて
プロテクトキャットの特設サイトです。製品紹介から脅威の検出率の秘密を掲載!
https://www.lanscope.jp/endpoint-manager/on-premises/special/protectcat/
● プロテクトキャットを実際に体験する
ハンズオンで体験できるセミナーを開催しています。マルウェア感染の瞬間も体感できます。
https://www.lanscope.jp/endpoint-manager/on-premises/seminar/handson-threatseminar201607/
※本記事に関するLanScope Catの製品仕様・画面は掲載日時点の情報です。
この記事を書いた人
松本 一城
2011年 新卒入社 西日本SE部所属。開発本部のテクニカルサポート、製品開発、ITサービス本部のお客様の窓口を経て製品の提案、導入・構築支援に従事。趣味は「旅行」「カメラ」