vSphereへのビルトインで統合管理を実現
前段では奥野木氏が、ヴイエムウェアのワークロードセキュリティに対するアプローチと、「VMware Carbon Black Cloud Workload」の製品について紹介。冒頭で同氏は、セキュリティ対策範囲の拡大と共に製品が多様化している現状において、ユーザーは大きな課題を抱えていると問題提起し、セキュリティの妨げとなっている3つの要因を指摘した。
「1つめはサイロ化。これにはマルチベンダーの多種多様な製品を運用する際の『製品運用におけるサイロ化』と、セキュリティ、ネットワーク、サーバー、アプリケーションと、組織内のチームが別々にセキュリティ対策をしていることによる『組織のサイロ化』があります。2つめは、既存の脅威に特化しすぎることで対策が後手に回ってしまうこと。3つめは、新しい脅威に対抗していくために次々と新しい製品やポリシーを追加していくことで、ライフサイクルがうまく回らなくなってしまうことです」(奥野木氏)
ヴイエムウェアはこれら3つの課題に対し、それぞれ製品の「統合」、攻撃の文脈を踏まえた「コンテキスト対応」、インフラに組み込んだ「ビルトイン」という形でセキュリティを提供するという。それを具現化するコンセプトとして、プライベート、パブリック、ハイブリッドの「クラウド」、さらにその上で動く「アプリケーション」や「デバイス」の各レイヤーで、インフラにあらかじめ組み込んだ形でセキュリティを提供する「Intrinsic Security」構想を提唱する。
実現方法としては、「認証」「エンドポイント」「ワークロード」「クラウド」「ネットワーク」の5つのセキュリティのコントロールポイントの製品群に組み込んでいく形であり、Carbon Black Cloud Workloadは、サーバー系のワークロードのvSphereへ組み込まれたソリューションとなっている。
ワークロード側に3つの新機能を実装
Carbon Black Cloud Workloadには、従来のCarbon Black製品に搭載される「次世代アンチウイルス(NGAV)」「監査と復旧」「EDR(Endpoint Detection and Response)」機能に加え、「脆弱性管理」「vSphere連携」「インベントリ&ライフサイクル管理」というワークロード側に提供する新機能が追加されている。これにより、セキュリティチームが見るCarbon Blackの管理画面と、サーバー側での管理ツールであるvSphere Clientの画面に同じ情報が表示されるようになり、サーバー側でのセキュリティ管理が容易になる。
「インフラチームも脆弱性や対策の優先度を速やかに把握でき、vSphere Clientから仮想マシンに対してCarbon Blackのセキュリティ機能を有効化させることができます。インベントリ管理機能によってセキュリティが有効化されていない仮想マシンも把握できるので、従来の死角となる部分も解消されます。vSphereにセキュリティ機能が組み込まれることで、様々な効果が見込めるようになるのです」(奥野木氏)
ほかにも、これまでワークロードを保護するにあたっての課題であった最新の脅威への対策を、NGAVとEDRによって実施でき、サイロ化問題で不十分だった脆弱性管理およびITハイジーン(衛生管理)をしっかり行えるようになることで、インシデントを未然に防げるようになるという。
「セキュリティチームは、ワークロードがどういう形で動いているか、セキュリティ設定が充分かといった詳細を把握できます。今までなかなかセキュリティの情報を集められなかったインフラチームも弱点を認識でき、その際にはvSphereへの実装という形で安心して本番環境にセキュリティを組み込めます。Carbon Black Cloud Workloadは、サーバー管理部門とセキュリティ管理部門の橋渡しを行えるソリューションなのです」(奥野木氏)
他社のSOARやSIEMも1画面で管理
Carbon Black自体は、監査と復旧、NGAV、EDRの各機能によってリスクを特定して防御し、何かあった時には検知して対応するといった形で、全体の仕組みでエンドポイントとワークロードを守っていく製品である。その際に、他社のSOAR(Security Orchestration, Automation and Response:セキュリティ運用の自動化)やSIEM(Security Information and Event Management:セキュリティ情報・イベント管理)製品との連携も行え、1つのエージェント、プラットフォーム、コンソールで管理できようにして管理を簡素化するという思想で設計されている。
それぞれのサービスはクラウドの機械学習やビッグデータ分析機能と連携して提供され、挙動の流れを全体で解析することで、未知の攻撃を防げる。端末の全ての動作と挙動をクラウド側に保存しているので、何かあった場合に攻撃を遡ってきちんと対応することが可能である。
ディストリビュータとして12社17製品を比較検証
講演の後半には、SB C&Sの矢部氏が登場。同氏は様々な製品を取り扱うディストリビュータの立場で、EDRを含む12社17製品の比較検証を実施しており、その結果をもとにCarbon Blackの優位性を解説した。
矢部氏によるとEDR製品は、アンチウイルスベンダーがオプションとして提供するもの、フルクラウド型でNGAVを内包したEDR特化型ベンダーの製品、先進セキュリティ特化型ベンダーが買収や開発によって提供するものという3種類に分けられ、カーボン・ブラックはEDR特化型に含まれる。そして製品を選定する際の重要ポイントは、「検知」「分析」「運用性」の3項目だという。
検知の領域では、EDRがフルクラウドモデルになるに従い、取得するデータが少なくなっていることを矢部氏は指摘する。これに対しCarbon Blackは、「フルクラウドモデルながらすべてのプロセス情報を取得し、取得した情報はストリーミング分析でリアルタイム分析をすることで、多くの標的型攻撃や環境寄生型攻撃を検出できるようになっています」と説明する。
分析に関しては、様々なEDR製品が結果をプロセスツリーで表示したり、解析内容を表示したりするようになり、可視化が進んでいるとのこと。ただその際に、MITRE ATT&CK(マイターアタック)という攻撃手法や戦術のフレームワークに基づいた攻撃情報だけ表示するケースが多いが、Carbon BlackではMITRE ATT&CKの情報以外にも、独自の脅威情報を日本語で提供するところが差別化要素になっているという。
そして第三者からCarbon Blackが最も評価されているのが、進行中の脅威に対し、アラートをリアルタイムに反映して提供する機能だという。「攻撃が進行すればセベリティ(重大度)も変わり、アラートの中身・内容も変わってきます。これをリアルタイムで行っている製品はあまりありません」と矢部氏は語る。
またCarbon Blackは、アラートに関連しないクリーンなログを1カ月間クラウドで保持する。「一般的なEDR製品のログ保存期間は3日から1週間ですが、1ヶ月保存することで遡りの調査や監査をクラウド側に残っているクリーンログから実施できるようになります」(矢部氏)
35件のアラートを4件のインシデントに集約
セキュリティ製品の運用にあたってはアラートを出しすぎないことが重要になるが、Carbon Blackでは、他社製品では35件出ていたアラートが相関分析されて4件のインシデントにまとまって表示されたという。
「解析結果も日本語で提供されていたので、自社運用するようなライトユーザーから、ツールを使ってハンティングしていくサービス事業者まで幅広く対応可能なEDRといえるでしょう」(矢部氏)
このほかにも矢部氏は、「様々な機能をシングルエージェント/コンソールで提供していて、プラットフォームへの拡張性という部分でヴイエムウェアはプラットフォーマーならではの仕組みを取っています」とCarbon Blackを高く評価する。その上で、「ポイントソリューションとしてEDRを設定するのではなく、今後プラットフォーム全体のセキュリティという形でEDR製品を選択していただきたい」とのメッセージを発し、講演の結びとした。