MOTEXは2016年7月に未知のマルウェア検知率99.7%※を誇る次世代型アンチウイルス「CylancePROTECT®」︎をLanScope Catに組み込み、新オプション「プロテクトキャット」をリリースしました。現在プロテクトキャットは、リリースから1年で100社を超えるユーザー様に導入頂いております。今回はそのユーザー様(33社40名)にお集まり頂き、東京・大阪・名古屋の3拠点で「プロテクトキャットユーザー会」を開催しました。当日は、Cylance Japanの基調講演をはじめ、ユーザー様による導入事例発表、また後半には普段のお悩みや課題、LanScope Catの運用ノウハウを共有しあう情報交換会を実施し、チャタムハウスルールのもと、大変活発な意見交換が行われました。
以下の情報交換の内容はチャタムハウスルールに基づき、お客様の生の声をご紹介します。
会議の参加者に遵守が求められることがあるルールの一つ。チャタムハウスルールの下では、参加者は会議中に得た情報を外部で自由に引用・公開することができるが、その発言者を特定する情報は伏せなければならない。チャタムハウスルールには、会議参加者が自身の立場や役職に縛られることなく、自由な意見を述べることができる利点があるとされている。
A:既存アンチウイルスソフトをインストールしていましたが、ランサムウェアに感染してしまいました。事故があったため、稟議が通りやすかったです。
B:事故があったので即決でした。社内の役員会で標的型攻撃のサンプルを見せて「このメール、開かない自信ありますか?」という風に見せることで承認を得ることができました。
C:既存アンチウイルスソフトをインストールしていましたが、不安がありました。本当に何も感染していないかどうかを確認したかったこともあり、POCを実施してプロテクトキャットを運用してみると、怪しいマルウェアが見つかりました。その結果があったことで稟議はすんなり通りました。
D:親会社のセキュリティポリシー上、親会社指定の既存アンチウイルスソフトを導入しないといけないのですが、何度かウイルス感染をしてしまったことがあり、それだけでは防ぎきれないと思い、プロテクトキャットの導入を決めました。現在は、既存アンチウイルスと同居させています。
E:既存アンチウイルスソフトをインストールしていましたが、ランサム被害にあい、他にもっと良い製品が無いかを検討している中で、Cylanceを知りました。検知性能や負荷が軽いことが決め手となり、導入に至りました。
F:セキュリティ事業をやっているので、何かあったときのことを考えると費用よりも穴をうめる方を優先しました。また、すでに導入していたLanScope Catのログと連携できることが強みであることをアピー ルした結果、承認を得ることができました。
G:既存アンチウイルスソフトは2年で4,000円/台でしたが、セキュリティ事故が起って業務をとめた場合、どれだけの損害があるかを算出し説得しました。
導入前に、トライアルライセンスで製品を使って検証することができます。
A:100台でPOCを実施しました。初期で検知した数はそんなに多くなかったですね。今は毎日90個程度検知しています。その中で登録が必要なものは多くて2個程度、時間にして数分程度の作業です。メモリ保護の推奨設定も行っています。Unix環境をWindowsで動かすソフトが必ず検知されるので、パスの一部を例外登録する運用をしています。スクリプトは本当はやりたいけど全部警告が出るので今はやってないですね。
B:POCで予想以上のアドウェアを検出したことに驚きました。ひっかかったものはユーザーに削除依頼をしました。他には、TrustedLocalはセーフリストに追加しました。うちは設計を行うような部署もあり、インストーラがよく引っかかっているので、この辺りは 注意しながら運用しています。
C:アドウェアを検知するので検知数は既存AVと比較すると結構多いなという印象です。
D:現在は既存アンチウイルスソフトとプロテクトキャットを併用しています。脅威ファイルが別の端末に入っていないかを確認する為に、Cylanceが発見した脅威ファイルを他のアンチウイルスメーカーに調査依頼し、既存アンチウイルスソフトのシグネチャに反映してもらっています。「Cylanceで検知しました」というと対応が早いです。笑
E:運用開始して1年ぐらい経つが、自社内で検知されると困る内製のソフトがあるため、過検知が低いとはいえまだ検知モードで運用しています。開発途中のファイル、特に署名が無ければ検知されることがあるので、何処かで思い切って切り替えるのもありかと検討しているところです。
F:業務上ゲームをPCにいれることもあるが、Cylanceはカテゴリとしてゲームも検知するので、デジタル署名を登録して回避するようにしました。ホワイトリストにも入れたいが、SHA256だけでSHA1に対応してないので、対応してもらえるよう要望を出しています。
G:自社でインストールを制限していないところもあるので、フリーソフトが結構な数が検知されてしまい管理が大変でしたが、ログを活用すると調査に役立つので助かってます。
A:ゲートウェイ製品を中心に、次世代ファイアウォール、UTM、メールフィルター、など多数導入しています。
B:エンドポイント製品をしっかり固めていれば、他は不要と考えています。費用対効果に見合うものがあれば検討したいですが。
C:ネットワークUTMサービスを利用。そこでWebのウィルスチェック、アクセス制御を実施しています。またS D Nコントローラを使っており、LanScope Catとの連携設定を実施しています。
D:ゲートウェイ製品や既存アンチウイルスソフトの保守が切れるタイミングで、プロテクトキャットに一本化しました。ユーザーからは「ヤマト運輸などを偽装したメールを開きそうになった」という話をよく聞きますが、その都度社内ポータル掲示板で情報共有として「こんなメールが来てるので注意してください」と注意喚起しています。
E:既存アンチウイルスソフトとプロテクトキャットを併用していますが、 先に発見できるのはプロテクトキャットであって、既存アンチウイルスソ フトではないので意味がなくなってきてると感じます。Windows Defenderに変更し、プロテクトキャットで発見された脅威ファイルを Microsoftに提供し、反映してもらうという運用でいいと考えています。
F:感染があったこともあり、経営陣の意識が変わり、セキュリティに投資しなさいという状況に変化しました。
G:閉閾網とWebフィルタリングを利用。業務上、使ってもいいものもあるため、期間を定めて開放したりしている状態です。
H:入り口対策としてインターネット閲覧を外部委託しています。他には、メールサーバー、プロキシサーバー、次世代ファイアウォールという構成をとっています。また添付ファイルが暗号化されてるかどうかチェックするため、専任チェック者を1名設けています。内部対策はまだあまりできていませんが、ファイルアップロードは使えないようにしています。出口対策はWebフィルタリングを利用しているが、こちらはほぼ見れていません。
I:営業など外勤メンバーにはDaaSがよいのではないかと検討していま す。もともとは暗号化製品を使っていましたが、Windows10のアップデ ートに追いつかないため、Windows BitLockerに変えました。しかし、ユ ーザーで有効・無効の操作ができてしまうため、ツールを使ってコントロ ールしています。
J:入り口対策はUTMです。週次でアラートをだしてくれ、安価ですがいい性能で満足しています。他にはインターネット分離、内部漏えいはファイル暗号化ツールで対策しています。
K:DaaSを使っています。パスワードを間違えたら消去する運用です。
L:データセンターを経由してインターネットに出るようにしています。(閉域網)他には、Webフィルタリングで制御しています。
M:工場は分かれていますが、閉域網を使っています。メールは社外送信は全て暗号化しています。BCP対策も必要だと考え、何かあっても北海道にとっているデータからすぐに戻せるようにしています。
A:Pマークを取得しており、従業員教育を定期的に実施。標的型メール訓練もしていますが、それでも開いてしまう人がいます。
B:権限のある責任者に対してセキュリティの報告や、そもそも関心があまりない上層部に対してどう興味を持ってもらうかが課題です。
C:セキュリティ教育をした直後にインシデントが発生したこともあるので、監査のための教育になっており、実態が追いついていません。MOTEXさんからセキュリティの本をもらったので、これを使ってみたいと思います。
D:eラーニングを実施しているがやってくれないこともある。漫画やクイズ、脱出ゲームなどでやるなど工夫していますが、年配の方が多いとeラーニングを2択だけにしても80点いかないこともあります。
E:空気感も大事だと思ってます。セキュリティをやっている空気があるとみんなやってくれたりします。そういう意味では物理的な対策も重要ですが、社員のセキュリティモラルをいかにあげていくかが課題です。
F:取引先のガイドラインが厳しいところもあります。ガイドラインが追加されるとそこに合わせていかないといけないので、大変です。
