成城大学は、セキュリティ対策強化プロジェクトにより、ネットワールドが提供する「VMware Carbon Black Cloud」を導入し、4月に本番稼動を開始した。同製品は、NGAV(次世代ウイルス対策)とEDR(エンドポイント型検知&対応)の両機能を備えた製品になる。
同大学は、エンドポイントセキュリティ対策に早くから注目し、EDR製品を導入していたが、データの収集や分析に時間がかかり、使い勝手が悪いなどの問題も多く、期待する成果が得られていなかったという。
今回導入したVMware Carbon Black Cloudについて成城大は、クラウド型製品のためオンプレミスの管理サーバーを自前で運用する必要がなく、大量ログの保管場所にも悩まされずに済むことや、物理および仮想の両環境を監視できる点とエージェントだけで使える手軽さなどを評価した。
構成図
同製品は、PCなどエンドポイント機器での操作や挙動を記録および可視化し、過去にさかのぼって調査てきる。また、独自のストリーミング分析機能により、ウェブアクセス、ファイルアップロードなどエンドポイントで実行される一連のイベントをリアルタイムに解析、タグ付けし、相関分析ができる。これにより、いつ、どのように実行されたアクションがセキュリティインシデントの原因なのかを突き止められる。
今回監視対象とした端末は、大学の事務業務で利用される約160台のPCになる。スムーズに既存環境へ導入でき、端末エージェントの配布は資産管理ソフトの利用で20~30分ほどで完了した。一般的にファイルサーバーからのデータ持ち出しは、端末側からメディアにコピーされてしまうとゲートウェイで検知できない。しかし、VMware Carbon Black Cloudは、このような行為もエージェントで確実に検知できるという。
学外でテレワークする職員には、VMware Carbon Black Cloudエージェントを導入した端末を貸し出すことで、各端末の状況把握はもちろん、マルウェア感染時のネットワークからの遮断などもリモートから実行できるようになった。また、クラウド型のためエージェントだけで物理/仮想の両環境を監視できる。
ネットワールドは成城大に対し、概念実証段階からさまざまな運用ノウハウを提供している。当初は低レベルの脅威も全て通知する設定で運用していたため、軽微なアラートが大量に発生していたが、こうしたケースにも対処法をすぐ提供したという。
