次世代エンドポイントセキュリティ製品の1つVMware社が提供する「VMware Carbon Black」。VMware Carbon Blackとは、いったいどのような製品で、導入によってどのような効果があるのでしょうか? この記事では、VMware Carbon Blackの概要から、各製品、導入事例を紹介します。VMware Carbon Blackに興味がある方は、ぜひ参考にしてください。
VMware Carbon Blackとは?
VMware Carbon Blackとは、VMware社が提供するセキュリティ対策製品です。次世代エンドポイントセキュリティ製品の1つで、サイバー攻撃からパソコンやサーバなどのエンドポイントを守ります。
VMware Carbon Blackはもともと、Carbon Black社が提供するセキュリティ対策製品でしたが、2019年にVMware社に買収され、以降はVMware社のセキュリティソリューション群Intrinsic Securityの中心核として提供されています。
VMware Carbon Blackの大きな特徴は、NGAVとEDRの2つの機能を標準的に提供することです。NGAVとは、Next Generation Anti Virusの略で、次世代アンチウイルスのことを指します。
NGAVは、従来のようなシグネチャーベースでウイルスを解析するのではなく、端末内の実際の挙動分析や、学習エンジンなど+αの要素で未知の脅威に対する防御を行うのが特徴です。従来までは検知や防御が難しかった非マルウェア攻撃や、シグネチャが作成されていない未知の攻撃への検知・防御ができます。
もう一方のEDRは、Carbon Black社がパイオニアと言われるセキュリティシステムです。
EDRとは?
EDRとは、Endpoint Detection and Responseの略で、エンドポイントで未知の脅威を迅速に検出し、インシデント対応を支援する様々な機能を提供する製品のことを指します。
そもそもエンドポイントとは、パソコンやスマートフォン、サーバなど、ネットワークの末端に接続された機器や端末のことをいいます。どれだけ強力なセキュリティ対策製品でも、あらゆる脅威からすべてのエンドポイントを防御することは不可能です。。攻撃者にに侵入された場合、その攻撃を迅速に検知し、適切に対処を行うことが重要です。
しかし従来までのセキュリティ対策製品は、攻撃が防げないことを前提にしていませんでした。そのため防ぎきれなかった脅威の検知や、その後の対応を支援するような機能は実装されていせん。また実際にインシデントが発生してしまった際にも十分なエンドポイントのログが保持されていないために、十分なインシデント対応ができないケースが多々ありましたこの状態を改善するソリューションが、EDRです。EDRは、従来までは見つけることができなかった脅威を迅速に検出するだけではなく、アクティビティ情報を保持し、ログの自由な調査やエンドポイントへのリモート操作などの機能を通して、侵入後のインシデント対応をサポートします。
VMware Carbon Blackの特徴3つ
上記で説明した通り、VMware Carbon BlackはNGAVとEDRの2つの機能を基に、脅威の侵入前・侵入後の両方に対応できるセキュリティ対策製品です。ここでは、VMware Carbon Blackの特徴をさらに詳しく紹介します。
1:Unfiltered Endpoint Dataをコンセプトに、漏れなく全ての情報を記録・収集
実際に発生したインシデント対応を行うためには、詳細なエンドポイントのアクティビティログを漏れなく記録されていることが必要不可欠です。EDRの産みの親であるVMware Carbon Blackでは、開発者のホワイトハッカーとしての経験に基づいた製品開発が行われており、確実なインシデント対応を実現するべくあらゆるエンドポイントから漏れなく全てのアクティビティログ30日以上記録します。
2:ストリーミングアナリティクスによる独自の脅威解析技術
VMware Carbon Blackでは、独自の解析技術であるストリーミングアナリティクスを活用して、ネットワーク対策やNGAVといった防御対策を掻い潜り活動する未知の脅威を迅速に検出します。
具体的には、クラウド上に収集されたあらゆるアクティビティログに対して、ビックデータ解析を行っています。エンドポイント内でのあらゆる挙動をその前後の関係性まで考慮したストリーミング解析を行うことで、単純な振る舞い解析やパターンマッチングでは検出ができなかった未知の脅威の迅速な検出を実現しました。
3:IR/MSSパートナーとの情報連携
EDRのパイオニアであるVMware Carbon Blackは、現在120以上のIRやMSSパートナーによって活用されています。VMware Carbon Blackは利用者間のコミュニティサイトUser Exchangeも運用しており、セキュリティ対策の最前線で日々活躍しているIRやMSSパートナーの持つ最新のナレッジや脅威情報はこのコミュニティ上で日々更新、共有されています。
VMware Carbon Blackを利用することで、これらの最新の情報を得ることはもちろん、この情報はVMware Carbon Blackの解析ロジックにも真っ先に取り込まれるものであり、VMware Carbon Blackを利用するだけで世界中のIR/MSSパートナーが得た最先端の脅威に対しても対応できること、これが大きなメリットです。
VMware Carbon Black Cloud
VMware Carbon Blackの現在代表的なサービスといえば、VMwareの技術力やノウハウとも融合したエンドポイントセキュリティ「VMware Carbon Black Cloud」です。これはSaaS型のエンドポイントセキュリティプラットフォームです。
1つのプラットフォーム、1種類のエージェントソフトウェアで様々なエンドポイントセキュリティを提供するのが特徴であり、必要に応じて利用する機能を選択できるのが特徴です。
例えば、NGAVやEDRを利用したい場合にはEndpoint Standard機能を利用いただけます。他にもITハイジーンの機能を提供するAudit & Remediationや、より高度なEDRとスレットハンティング機能を提供するEnterprise EDR、VMware vSphereとの連携によりワークロードセキュリティを提供するWorkloadなど豊富な機能から選択が可能です。
VMware Carbon Blackの導入事例4つ
VMware Carbon Blackは、世界中のさまざまな企業で導入が進んできました。ここでは代表的な導入事例と導入効果を紹介します。
株式会社ベルシステム24ホールディングス
ベルシステム24社は、コールセンター事業や、コールセンター向けのソリューション提供を行っている企業です。日本国内の数千社を超えるクライアント企業について、問い合わせ対応を支援しています。そのため、日々膨大な量のコミュニケーションや情報が、同社のシステムを出入りしていることになります。
日本各地の拠点において常に、ファイルレス型攻撃を受けたりやアラートが発生したりする恐れがあります。それらへの対処を迅速に行う環境を整えることは、事業継続に不可欠です。そこでVMware Carbon Black導入に踏み切ると、怪しいスクリプトの挙動も可視的に検出できるようになりました。さらにEDR機能によって、アラート時にもクライアント企業の現状をスムーズに把握可能となり、対応方法の提供が最適化されました。これらを通して同社は、多種多様な業種のクライアント企業へ、安心・円滑なコールセンター環境を提供しているのです。
株式会社 電通テック
電通テック社は、デジタルテクノロジーを活用して斬新なプロモーションを作り出すことで、クライアント企業の利益を最大化し続けている企業です。そのため、クライアントの企業情報をはじめ、さまざまな関連情報を保護できる状態を、常にキープする必要があります。
同社では、すでに強固なセキュリティ体制を築いてはいました。しかしそれでもすり抜けてくるマルウェアへの備えや、従業員がリモート業務を行う場合などの社外アクセス向けのセキュリティ対策として、VMware Carbon Blackを導入しました。結果、今まではすり抜けてきた未知のマルウェアや、また非マルウェア攻撃までも、高い精度で検出されるようになったのです。もちろん、社外でのシステム利用や、オフライン環境での作業についても、徹底的な保護が実現。そしてまれに問題が発生した場合にも、EDR機能の効果として「いつ、どのファイルが原因か」迅速に特定可能となりました。
セイコーエプソン株式会社
プリンターやプロジェクターの生産が代表的なセイコーエプソン社は、ほかにもさまざまな端末の開発・普及を行っています。同時に、情報セキュリティ向上についてもグローバルな規模で注力しています。そのためにもまずは自社グループ内で、実に合計5万台にも上るコンピューター・端末について、エンドポイント防衛を施すことになりました。
これを実現した施策がVMware Carbon Blackの導入です。クラウド型のVMware Carbon Blackは、導入が非常に簡単であり、上記のように大量のエンドポイント保護も約3ヶ月という短期間に完了しました。
加えてEDR機能などにより、検知・防衛率自体が大幅に上昇したことはもちろん、海外拠点と遠隔での情報交換・管理も容易になり、セキュリティ業務全般の負担が大幅に削減されたのです。また、インシデント調査も迅速化され、従来2週間ほどかけていた業務量が、2日ほどで完了するようになりました。
株式会社東芝
東芝社はインフラ事業の推進を始めとする、全社的な事業変革のさなかで、リスクベースのセキュリティ対策を推進しようとしていました。東芝社は、「現実世界のモノとモノとがつながりあいながら情報を集め、サイバー空間でそれを分析した結果を、再び現実世界へと返す」という情報処理ネットワークを広げることで、社会や世界でモノと人とがよりよい関係を構築することを目指しています。
この目的を安全に推進していくためには、攻撃を受けた際の状態・状況を、無数のエンドポイントについて可視的に監視する必要があります。そこでVMware Carbon Blackを導入しました。これにより、さまざまなモノのエンドポイントに行われる攻撃を一連の流れとして可視化し、分析しやすくしたのです。またリモート対応力が大幅に増大したため、担当スタッフはモノ・端末が攻撃されている現場に出向かずとも、迅速に状況調査・対処できる環境が整備されました。海外拠点で独自に調達・運用されている諸端末に関しても、その状態・状況を日本本社から可視的に把握できるので、ガバナンス強化にもつながっています。
まとめ
VMware Carbon Blackは、次世代エンドポイントセキュリティと言われ、従来のセキュリティとは異なる形でセキュリティ対策を行う製品です。導入によって、これまで防げなかった新しいマルウェアにも対応できるほか、万が一脅威の侵入を許しても、即座に検知を行うことで迅速な対策を行えるようにします。インシデントのクロージングまでをサポートする豊富な機能を提供するため、ビジネスへの影響を最小限に抑えることができるのがVMware Carbon Blackの特徴です。
サイバー攻撃は常に進化しており、いつ危険にさらされるかわかりません。被害を最小限に抑えるためにも、早めに次世代エンドポイントセキュリティ対策製品の導入をおすすめします。迷った際には、ぜひVMware Carbon Blackも検討してみてください。