お客様の声

プロテクトキャットユーザー会 2018
in 東京・大阪・名古屋

プロテクトキャットユーザー会 2018

プロテクトキャットユーザー会とは

プロテクトキャット(CylancePROTECT)をリリースしてから2年。これまでに200社を超えるユーザー様に導入いただいております。そんな中、「他社はどんなふうに運用しているのか知りたい」というユーザー様の声を多く頂いてきました。そこで昨年、プロテクトキャットを導入いただいているユーザー様にお集まりいただき情報交換を行う「プロテクトキャットユーザー会」を開催いたしました。今回はその第2回目として、7月〜8月にかけて東京・大阪・名古屋の3拠点で開催。

25社28名の方に参加いただき、チャタムハウスルールに基づき、普段のお悩みや課題、LanScope Catの運用ノウハウなど活発な意見交換が行われました。 そこで交わされた内容をレポートします。

チャタムハウスルールとは

会議の参加者に遵守が求められることがあるルールの一つ。チャタムハウスルールの下では、参加者は会議中に得た情報を外部で自由に引用・公開することができるが、その発言者を特定する情報は伏せなければならない。チャタムハウスルールには、会議参加者が自身の立場や役職に縛られることなく、自由な意見を述べることができる利点があるとされている。

Q.プロテクトキャット導入のきっかけと決め手はなんですか?

A:3月にインターネット分離をし、それにあわせてプロテクトキャットを導入しました。(イントラ側/インターネット側)

B:これまでにもウィルス関連のトラブルが多くありましたが、昨年11月頃、トロイの木馬が社内のPCに侵入し、業務停止の事態に陥り、その影響を鑑みて導入に踏み切りました。

C:以前よりLanScope Catを導入していました。そして昨今、サイバーセキュリティ対策を検討するにあたり、LanScope Catとの相性の部分を加味してプロテクトキャットを導入しました。

D:既存アンチウイルスソフトを導入していたが、追加で他の機器やシステムを導入する必要があるか検討していました。その中でCylanceを知り、他の機器等を導入するよりも、安心感がはるかに高いと感じました。また、高価なUTMやサンドボックス装置も不要になる点や、運用を考えてプロテクトキャットに決めました。

E:クライアントPCのパフォーマンスを下げないことと、MacOSに対応しているかつ、検知率が高いことを条件に製品選定をしました。従来の有名どころも比較し、検知率・料金の高さ・Macに対応していることからプロテクトキャットに決めました。

F:AI型であり新種、亜種のウイルスに対する検知能力に魅力を感じたため導入を決めました。

G:インターネットにつながらないクローズドネットワーク内で運用可能であることが決め手でした。

H:既存アンチウイルスソフトを導入していたが、昨今の標的型攻撃に対し、従来のパターンマッチングでは限界を感じていました。そんな中、2016年8月Unblievable Tour in Japan(※)に参加し、他社と比較して圧倒的な防御能力に注目。LanScope Catとの連携も決め手の1つとなりました。

(※)Unblievable Tour in Japanとは?

I:従来のパターンマッチング型のウイルス対策ソフトの効果に漠然とした不安があり、パターンマッチング以外の仕組みを利用して、社内にマルウェアが存在しないことを検証したかったのがきっかけです。最終的にプロテクトキャットの利点(軽い、フルスキャン不要)を決め手として、プロテクトキャットに移行しました。

J:既存アンチウイルスソフトを導入していたが、ランサムウェアに感染してしまったためプロテクトキャットを導入しました。

Q.プロテクトキャットを運用している中での課題はなんですか?

過検知が多く何をセーフリストに入れるべきか悩んでます。また、ユーザーが使いたいと言ってきた時に、許可するかの判断が難しいです。また、ルールを整えてから自動隔離にする運用にしようとしたため、そのためのウィルストータルやスコアを見ながら300個くらいのファイルを仕分けするのがかなり大変でした。

A:うちは影響が出るまで隔離したままにする運用にしています。

B:本当にマルウェアなのか、似ているだけなのかわからないところはありますが、運用の中で一番多いのは、基本は自動隔離でユーザー申告があった時だけセーフリストに入れるようにしています。申告がなければ必要はないと言う判断ですね。

C:アドウェアを検知するので検知数は既存AVと比較すると結構多いなという印象です。

D:開発系の端末で過検知が発生しますが、その都度セーフリストに入れています。あとは、使いたい場合は申請するルールです。

Cylance:導入当初はたくさん検知されることがありますが、運用中は新規ファイルだけになるため、少なくなります。許可の判断基準としては、以下を参考にされるとよいかと思います。

 [許可の判断基準]
・Cylanceの分類情報(これはCylanceの専門家が判断しています)
・ファイルパスから関連するアプリを特定
・VirusTotalで調べる

CylancePROTECTは新規のものしかメールで飛んでこないので、別の人の端末で見つかると発見が遅れるのではないかと・・・

E:Catのアラームメールを使って都度通知が来るようにするといいですよ。

今は既存アンチウイルスソフトと併用していますが、一本化を検討しています。みなさんはどうですか。

F:全ての入れ替えが完了したので、一本化しました。

G:うちはしばらく併用し、時期をみて一本化を検討予定です。

H:一本化を検討しているが、業界的に“併用運用”を推奨されています。でも次回の更新時の2019年11月には、一本化で運用するべく、各方面へ働きかけ、「プロテクトキャットだから安心」というのを広めていきたいと考えています。

Q.外部脅威対策全般の課題はなんですか?

3年前にCSIRTを立ち上げました。
でも実質私一人です。標的型攻撃メール訓練などもやりたいのですが、実施方法がわからず悩んでます。

A:自作でeメールの攻撃チェックを実行したが、巧妙に作りすぎて外に報告されるということがあり、現在はやっていません。本当は抜き打ちでやりたいのですが・・・

B:昨年開封率が高かったのは、「夏祭りでかき氷プレゼントする」というのをつくったときで、2割近く引っかかりました・・・

MOTEX:Catの新機能、カスタムアラームのテンプレートに「標的型攻撃訓練」を追加したので、ぜひご活用下さい!

・カスタムアラーム機能の詳細はこちら

・カスタムアラーム機能テンプレートファイルダウンロードはこちら

 ※ログインには保守ユーザーIDとパスワードが必要です。

インターネット系はUTMで制御しています。
サーバー系は過検知され て動かなくなったら困るので、既存製品と併用しています。

C:クライアントを踏み台にしていることが多いので、サーバー とクライアントの間にUTMを入れています。あとは特定の通信しか通らないように制御するというところがトレンドのようです。

D:IDS/IPSをUTMとして導入しています。また、現在は SIEMに何を連携させるのかを検討しています。

MOTEX:Cat Ver.9.0からアプリ通信ログを取っているので、UTMで検出した通信が何かを特定することができます。また、SIEM連携はsyslog転送に対応しています。

プロテクトキャット トライアルの申し込みはこちら