今回、新たに導入したVMware Carbon Black Cloudは、端末の操作や挙動を記録・可視化して、過去にさかのぼって調査することが可能。独自のストリーミング分析機能が搭載されており、ウェブアクセス、ファイルアップロードなどエンドポイントで実行される一連のイベントをリアルタイム解析してタグ付けし、相関分析ができる。
これにより、インシデントの原因となったアクションを的確に突き止めることが可能となった。学外でテレワークする職員には、VMware Carbon Black Cloudエージェントを導入した端末を貸し出すことで、各端末の状況把握はもとより、マルウェア感染時の遮断などもリモートから実行可能となった。また、クラウド型のため、エージェントだけで物理/仮想の両方を監視できる点も評価ポイントとなった。
導入にあたっては、具体的な監視対象として、大学の事務業務で利用されるPC約160台を選定した。今回のような取り組みでは、複数のセキュリティ製品同士が競合してうまく動作しないことも多くあるが、VMware Carbon Black Cloudはスムーズに既存の環境に導入することができた。また、端末へのエージェント配布は、資産管理ソフトを利用して20~30分程度で完了した。
VMware Carbon Black Cloudの導入によって、課題であった端末の操作や挙動を可視化することができ、独自のストリーミング分析機能により、PCで実行されるイベントをすべて記録/タグ付けして相関分析ができるため、いつ、どのように実行されたアクションがインシデントの原因なのかを突き止めることが可能となった。さらに、それぞれのイベントのつながりがグラフィカルに表示されるため、高度な専門知識をもたないメンバーでも、素早く正確な判断を下せることができ、初動対応のスピードを上げることにつながった。
また、一般的に、ファイルサーバーからのデータ持ち出しは、端末側からメディアにコピーされてしまうとゲートウェイでは検知できないが、VMware Carbon Black Cloudは、こうした行為もエージェントで確実にキャッチできる。
成城大学はテレワークを推進しており、自宅などで働く職員向けに、VMware Carbon Black Cloudのエージェントを導入した貸出端末を用意した。これにより、各端末の状況把握だけでなく、マルウェア感染時の遮断などもリモートから行えるため、学外でも安心して働くことができる。
