ASCII.jp “連続1900日以上マルウェア感染ゼロ”のビジネスPC保護製品「PC Matic PRO」とは
企業を狙ったサイバー攻撃が頻発し、攻撃手法の高度化と巧妙化も続く現在。そんな厳しい状況の中、「連続1900日以上、マルウェアやランサムウェアの感染ゼロ」を実現しているPCセキュリティ製品がある。「PC Matic PRO」という米国製の統合エンドポイントセキュリティスイートだ。
PC Matic PROは、あらかじめ安全性が確認されたアプリケーション以外を起動させない「ホワイトリスト方式」の強固なセキュリティを、管理者に大きな手間をかけない実用的なかたちで実装しており、注目を集めている。すでに米国の政府機関や一般企業、国内大手企業などで導入実績があり、10万台以上の法人エンドポイントを保護している。
さらにエンドポイントの保護機能だけでなく、EDR(エンドポイント脅威検知&対応)やRMM(リモート端末運用管理)の機能もオールインワンで提供するスイート製品であるため、コストパフォーマンスが高く運用管理が容易なことも特徴だ。本記事では、PC Matic PROが持つ技術的特徴や、企業のエンドポイント保護におけるメリットについて見てみよう。
「PC Matic PRO」は米国製の統合エンドポイントセキュリティスイートだ
確実な保護を実現する「ホワイトリスト方式」のメリットと課題
PC Matic PROは、Windows、macOS、Chromebookに対応する法人向け統合エンドポイントセキュリティスイートだ。そのひとつ目の特徴が、ホワイトリスト方式セキュリティの採用である。
“次世代型アンチウイルス製品”を含む一般的なセキュリティ製品では、ホワイトリスト方式とは逆の「ブラックリスト方式」を採用している。マルウェアやランサムウェア、その他の不正プログラムをブラックリスト(いわゆる「シグネチャ」)に登録しておき、それに基づいて検知やブロック、削除を行う仕組みだ。だが、マルウェアやランサムウェアの新種/亜種が毎日大量に生み出されるようになった現在では、ブラックリストへの登録がどうしても後手に回ってしまい、被害を完全に防ぐことはできていない。
その一方で、ホワイトリスト方式のセキュリティは、あらゆるアプリケーション/プログラムの起動をデフォルトで「拒否」し、あらかじめホワイトリストに登録されているものの起動だけを例外的に「許可」する。あらかじめ監査を行って安全性が確認されたアプリケーションだけをホワイトリストに登録しておけば、マルウェアやランサムウェア、その他の不正なプログラムは、たとえユーザー自身が起動しようとしても起動できず、攻撃は失敗する。これにより、非常に強固なPCセキュリティが実現できる。
たとえば米国国防省(DoD)が防衛産業企業向け調達要件として策定した「サイバーセキュリティ成熟度モデル認証(CMMC)1.0」では、最高レベル(レベル5)の認証要件として「ホワイトリスト方式のアプリケーション実行制限」を実装することが求められている。高度な標的型攻撃に狙われる国防の世界では、ホワイトリスト方式のような高強度なセキュリティが必要になっているわけだ。
ホワイトリスト方式とブラックリスト方式の違い
もっとも、ホワイトリスト方式にも課題はある。それは「リストの管理に手間がかかる」ことだ。
前述したとおり、ホワイトリスト方式でアプリケーションの起動に制限をかけると、リスト登録されたアプリケーション以外は一切実行できなくなる。しかし、一般的な企業では数十から数百種類のアプリケーションが使われており、管理者がそれを漏れなく把握して手作業でリスト登録していくのは大変な労力だ。さらに、正当なアプリケーションでもアップデートによってハッシュ値が変化するので、アップデートのたびにホワイトリストを更新しなければならない。
いくらセキュリティが強固でも、運用に大きな手間がかかり、社内のエンドユーザーから「使いたいアプリが起動できない!」とクレームが殺到するようでは、実用的なソリューションとは言えないだろう。
マルウェア分析官によって分析された「アプリケーション・ホワイトリスト」で課題を解消
PC Matic PROでは、こうしたホワイトリスト方式の課題を「アプリケーション・ホワイトリスト」という新方式で解消し、管理者の負担を大幅に軽減している。
アプリケーション・ホワイトリストとは何か。PC Maticシリーズ製品は、法人向け/個人向けを合わせるとすでに300万台以上のPCに導入されている。こうしたPCで利用されている1億件以上のアプリケーション情報を収集し、AIによるスコアリングに基づいてマルウェア分析官が人手で安全性を最終判断し、このアプリケーション・ホワイトリストに追加する。そして、このリストはすべてのユーザーに共有(配信)される。
つまり、一般に使われているアプリケーションは、この仕組みを通じてすでにホワイトリストに登録されており、各企業のIT管理者が個別に登録する必要はない。安全なアプリケーションのリストを“集合知”で作る仕組みだ。
ユーザーから最新のアプリケーション情報を収集し、すべての安全性を有人検証したうえで登録、ユーザーに
より具体的な動きを見てみよう。PC Matic PROをインストールしたPCでは、アプリケーションの起動前にホワイトリストとブラックリストを参照して、実行の許可/拒否を判断する。安全性が確認済みのアプリケーションはホワイトリストに、危険性が確認済みのマルウェアやランサムウェア、脆弱性が確認されているアプリケーションはブラックリストに、それぞれ登録されている。このように、PC内の処理は「リストを参照して実行可否を判断する」ことだけなので負荷は小さく、OSやアプリケーションの軽快な動作を妨げない。
それでは、PC Matic PROがまだ把握していない未知のアプリケーションはどう処理されるのか。デフォルトでは、未知のアプリケーションは危険性がある“グレー”なものと判断して起動が拒否される。これと同時に、アプリケーションはPC Maticのクラウドに送信され、クラウド上でマルウェア分析官がデジタルフォレンジックを実施して安全性を検証する。
この検証作業は、AI/機械学習エンジンや約30種類のセキュリティエンジン、サンドボックスも用いながら、最終的にはセキュリティ専門家が人手で行う。判断には5分~最長24時間がかかるが、安全性が確認されたアプリケーションはアプリケーション・ホワイトリストに追加登録され、起動が可能になる。
さらに、近年のサイバー攻撃では「ファイルレスマルウェア」として、PowerShellを悪用するスクリプトなども使われるようになっている。PC Matic PROでは、こうしたスクリプト類にもホワイトリストを提供している。そのほか、「Microsoft Office」経由で起動するアプリケーション、APIコール、通信ポート、ファイル拡張子にもすべてホワイトリスト方式を適用し、安全性が確認されているものだけを実行/利用許可する仕組みをとっている。
このような強固な制限をかけることで、PC Matic PROでは冒頭で触れた数年間に及ぶ「マルウェア・ランサムウェア感染ゼロ」を実現しているわけだ。
未知のアプリケーションは“グレー”と判断され、いったんすべて起動が拒否される。クラウド上のデジタルフォレンジックで安全性が確認されれば、ホワイトリストに追加されて起動可能になる
動作が軽快、製造現場や社会インフラを支える古いシステムにも適する
なお、自社開発のアプリケーションなどアプリケーション・ホワイトリストに登録されていないものは、管理者自身でホワイトリストに追加して実行を許可することが可能だ。また、脆弱性が存在するなどしてブラックリストに登録されているアプリケーションをどうしても利用しなければならない場合は、管理者がPC Matic PROの動作モードを切り替えて(制限を緩和して)実行を許可することができる。セキュリティ強度は下がるものの、この場合はヒューリスティック検知(ふるまい検知)が適用され、不審な動作をするアプリケーションは実行がブロックされる。
前述のとおりPC Matic PROは動作が軽く、さらにはサポート切れのWindows 7にも対応している。そのため、製造業の工場や社会インフラの現場などにある古いOSを使い続けざるを得ないPCでも有効活用できる。こうした現場では近年、より高度なセキュリティが求められており、ホワイトリスト方式のPC Matic PROは適性の高いセキュリティ製品と言えるだろう。
なおPC Maticシリーズでは、既存のエンドポイント保護製品(EPP)を利用し続けなければならない場合に“追加のセキュリティ層”として稼働する「Ransomware Lifeline」もラインアップしている。つまり他社製マルウェア対策ソフトと組み合わせて導入することで、ホワイトリスト方式の強固なセキュリティを追加して、端末をランサムウェアや新種マルウェアの被害から守れるのだ。ポリシー上、既存のEPPをどうしても外せない企業は、まずRansomware Lifelineの導入を検討してみることをお勧めしたい。
EPP+EDR+RMMのオールインワン、クラウド管理も大きな特徴
PC Matic PROのもうひとつの特徴が、上述したEPP(エンドポイント保護)だけでなく、EDR、RMMの機能もオールインワンで提供している点だ。他社の次世代型アンチウイルス製品と同等の価格で、社内端末管理に必要な機能群がすべて標準装備されており、コストパフォーマンスが高い。
EDRでは、端末上のプロセスやスクリプトの詳細な稼働ログをクラウドに記録/蓄積するため、万が一、サイバー攻撃やランサムウェアによる被害を受けた場合には速やかな原因調査や被害拡大状況の把握ができる。社内の全端末で稼働しているプロセスの一覧を取得し、ルール違反のアプリケーション利用を強制的に機能禁止にする機能もある。
こうした事後対応だけでなく、潜在的な脅威から被害が発生するのを防ぐ“予防”のための機能も備えている。たとえば、セキュリティホールとなるドライバや主要アプリケーションの自動アップデート機能などだ。「Adobe Acrobat Reader」や「FileZilla」といったツールのアップデートを社内へ呼びかける必要から開放される。
EDR(エンドポイント脅威検知&対応)機能の画面。プロセス稼働ログは引数など詳細まで参照可能。また組織全体のプロセス一覧から、不正利用されているアプリケーションをあぶり出すことも可能だ
RMMでは、エンドポイントの資産管理機能を提供する。詳細なハードウェア情報やインストール済みアプリケーション情報、CPU負荷状況、メモリ/ストレージの使用率といった情報をリモートから取得することが可能だ。管理者は、各端末のリソース不足やセキュリティに関するアラートを受け取ることもできる。ユニークな機能としては、こうしたPCの稼働状態データを世界中のユーザーPCと比較して、このPCの“快適さ”がどのくらいのレベルかを示す「世界ランク」も表示できる。生産性の悪い端末を見つけ出すことに役立つだろう。
ほかにも、たとえばActive Directoryと連携することでPC Matic PROを一斉インストールしたり、リモートからPCの動作最適化処理を実行したりすることが可能だ。問題のある端末に対する管理者のサポートも、リモートデスクトップ/リモートコマンドプロンプト機能やファイル転送/削除機能を使って柔軟に行える。
RMM(リモート端末運用管理)機能の画面。導入アプリやドライバ、稼働プロセスの一覧を表示
管理者はリモートから強制インストールやアップデート、コマンド実行、ファイル送受信といった操作ができる
さらに、これらの豊富な機能がクラウド型の管理コンソールにまとまっており、一括管理できる点も大きなメリットだ。製品ごとにコンソールが存在すると管理作業に無駄が生じがちだが、PC Matic PROならばすべて統合されているため利便性が高い。クラウド型管理という特徴を生かし、ゼロトラストネットワーク対応が求められるコロナ禍において、ユーザーや管理者がリモートにいる在宅勤務の場合でも社内にいるのと同じように監視や管理ができる点もメリットだろう。
PC Matic PROの稼働状況ダッシュボード。EPP+EDR+RMMの情報がまとめられ、端末保護状況や阻止した悪質なプロセス/ファイル/スクリプトが一覧できる
日本国内のプロサポートで顧客企業を支援、まずは無料で検証導入を
ここまで紹介してきたとおり、PC Matic PROは非常に豊富な機能を備えた統合セキュリティスイートだ。しかし、それだけに「自社で使いこなせるだろうか?」と不安に思うIT管理者もいるかもしれない。専門性の高いIT/セキュリティ人員が不足している企業では、そうした不安は特に大きいだろう。
そこで、PC Matic PROを国内販売/サポートするブルースターでは、顧客企業向けにさまざまなプロフェッショナルサービスを提供している。たとえば、顧客が入手した(あるいは感染した)悪質と思われるファイルの個別分析、専門家によるEDR収集ログのモニタリングや悪質な挙動の早期検知/通知、社内感染発生時の現地分析や駆除の支援といった有償サービスを提供している。
さらに、PC Matic PROの機能をマネージドセキュリティサービス(MSS)として提供できる「PC Matic MSP」という製品もラインアップしている。国内でも事務機器販売店、マネージドサービスプロバイダーがこれを導入して顧客PCの運用管理ビジネスを展開しており、好評を得ているという。
ブルースターではPC Matic PROの30日間無料検証プログラムを提供中だ。まずはPC Matic PRO 製品サイトから検証を申し込み、その実力に触れてみていただきたい。
(提供:ブルースター)