ネットワールドは5月19日、成城大学のセキュリティ対策強化プロジェクトで、ネットワールドが提供する「VMware Carbon Black Cloud」が採用され、4月に本番稼働を開始したと発表した。

構成図

 サイバー攻撃が巧妙化、複雑化の一途をたどる昨今、ウイルスの侵入を100%防御するのは不可能であることから、成城大学では、エンドポイントセキュリティ対策に早くから注目し、EDR(Endpoint Detection&Response)製品を導入していた。しかし、データの収集や分析に時間がかかり、使い勝手が悪いなどの問題が多く、期待する成果が得られていなかった。

 今回、新たに導入したVMware Carbon Black Cloudは、端末の操作や挙動を記録・可視化して、過去にさかのぼって調査することが可能。独自のストリーミング分析機能が搭載されており、ウェブアクセス、ファイルアップロードなどエンドポイントで実行される一連のイベントをリアルタイム解析してタグ付けし、相関分析ができる。

 これにより、インシデントの原因となったアクションを的確に突き止めることが可能となった。学外でテレワークする職員には、VMware Carbon Black Cloudエージェントを導入した端末を貸し出すことで、各端末の状況把握はもとより、マルウェア感染時の遮断などもリモートから実行可能となった。また、クラウド型のため、エージェントだけで物理/仮想の両方を監視できる点も評価ポイントとなった。

 PoCの段階では、低レベルの脅威も全て通知する設定で運用を開始したため、軽微なアラートが大量に発生してしまったが、これらにどう対処するべきかなどのアドバイスをはじめ、ネットワールドから提供したさまざまな運用ノウハウが高く評価された。

 導入にあたっては、具体的な監視対象として、大学の事務業務で利用されるPC約160台を選定した。今回のような取り組みでは、複数のセキュリティ製品同士が競合してうまく動作しないことも多くあるが、VMware Carbon Black Cloudはスムーズに既存の環境に導入することができた。また、端末へのエージェント配布は、資産管理ソフトを利用して20~30分程度で完了した。

 VMware Carbon Black Cloudの導入によって、課題であった端末の操作や挙動を可視化することができ、独自のストリーミング分析機能により、PCで実行されるイベントをすべて記録/タグ付けして相関分析ができるため、いつ、どのように実行されたアクションがインシデントの原因なのかを突き止めることが可能となった。さらに、それぞれのイベントのつながりがグラフィカルに表示されるため、高度な専門知識をもたないメンバーでも、素早く正確な判断を下せることができ、初動対応のスピードを上げることにつながった。

 また、一般的に、ファイルサーバーからのデータ持ち出しは、端末側からメディアにコピーされてしまうとゲートウェイでは検知できないが、VMware Carbon Black Cloudは、こうした行為もエージェントで確実にキャッチできる。

 成城大学はテレワークを推進しており、自宅などで働く職員向けに、VMware Carbon Black Cloudのエージェントを導入した貸出端末を用意した。これにより、各端末の状況把握だけでなく、マルウェア感染時の遮断などもリモートから行えるため、学外でも安心して働くことができる。