従来の対策では対処できなかった未知の脅威を洗い出す 「Trend Micro Threat Management Solution 2.5」:第2回 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

従来の対策では対処できなかった未知の脅威を洗い出す 「Trend Micro Threat Management Solution 2.5」:第2回

特集 特集

 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処することが出来ず、企業のシステム内部に潜む不正プログラムを発見し駆除することは大きな課題であった。

 そこでトレンドマイクロは、これらの問題を解決する企業向けのセキュリティソリューションの最新版「Trend Micro Threat Management Solution 2.5(TMS 2.5)」のサービスを11月18日から開始する。このソリューションはパターンファイルを使用せず、企業内ネットワークの疑わしい挙動を捉えることで、潜在的な脅威を可視化するというもの。国内外の拠点にも導入することで脅威の状況を一元的に把握し、素早く対処することが可能になる。今回はTMSおよび新機能について、トレンドマイクロ株式会社ソリューションビジネス推進部部長代行、市場開発担当である大田原忠雄氏に話を聞いた。

Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html

●検知、分析だけでなく駆除のソリューションも提供

 前回、トレンドマイクロの企業向けセキュリティソリューション「Trend Micro Threat Management Solution(TMS)」の新バージョン「2.5」が搭載する検知・分析・連絡・駆除の一連のサイクルの機能のうち、検知と分析の部分を紹介した。今回は新機能を含む残りの機能と、実際の導入事例などを紹介していく。連絡のフェーズにおいては、基本的にはトレンドマイクロからのレポートがユーザに送られることになるが、もちろんプロアクティブな対応も行う。

 プロアクティブな対応として、新バージョンで強化された機能が「通信遮断機能」と「緊急アラート送信」だ。通信遮断機能は、TMSが危険度の高い不正プログラムの活動を検知した場合に、その通信をすぐに遮断するというもの。これにより、内部に潜んでいる不正プログラムのさらなる活動を未然に食い止めることができる。トレンドマイクロ側から遮断を行うため、特に海外の拠点など遠隔地に有効だ。

 また、トレンドマイクロの監視センターからユーザに緊急通知が送られる。これによってユーザは対処や事後処理を素早く行うことができる。さらに、レポートを生成する際の相関分析の結果、危険度が高い不正プログラムが存在すると判断した場合には、復旧コマンドが自動生成される。復旧コマンドは処理用サーバである「Threat Mitigator」によって自動的に実行される。これらの機能によって、ユーザが直接対応することなく不正プログラムの影響を未然に防ぐことも可能となる。

 新バージョンではこの他、管理者の指示によってウイルス解析に必要な情報と検体ファイルを自動的に収集し、トレンドマイクロに送信する「ウイルス情報の自動収集」機能が追加されている。トレンドマイクロは送信された情報をもとに、復旧のための緊急パターンファイルの作成など必要なソリューションを提供することが可能になる。この機能によって、最近の傾向である特定の標的に絞った攻撃から、他の企業などが未然に防御することができる。

 さらに、トレンドマイクロの企業向けの統合セキュリティソリューションである「ウイルスバスター コーポレートエディション(ウイルスバスター Corp.)」との連携機能も強化されている。これにより、「ウイルスバスター Corp.」で駆除できないウイルスに対し、「Threat Mitigator」が駆除を行う。

 なお、TMSは従来のウイルス対策ソフトがカバーし切れていない部分で検知を行うため、トレンドマイクロ以外のウイルス対策ソフトと組み合わせられることも大きな特徴だ。セキュリティ対策を全面刷新する必要がなく、従来の対策環境に追加できることで、投資コストを最小限に抑えられる。

 新バージョンではまた、ユーザごとに個別のポータルサイトが用意された。ユーザは自分のポータルサイトからレポートのダウンロードを行ったり、自社あるいは遠隔地にある拠点の状況を確認することができる。レポートは日次と月次があり、翌日に配信される日次レポートでは「検知された脅威のリスト」「脅威が検知され、対処が必要なクライアントのリスト」「根本原因の解析結果」「推奨される対処方法」などが記載されている。

 月次レポートでは、「発生傾向の分析」「脅威の発生推移」「検知された脅威の集計」「脅威が検知されたクライアントの集計」「専門家のアドバイザリ」が記載され、推移や傾向を把握し、どのような対処をすればいいのかが分かるようになっている。これによって、「対処療法」ではなく「感染しにくい状況」を作っていくことができる。特に専門家による分析やアドバイザリが提供されるのはトレンドマイクロのソリューションの強みであり、ログ情報だけが提供されるようなサービスとは一線を画している。

●セキュリティの強化だけでなく、コストの低減にも効果

 現在、TMSは国内で数十社の導入実績があり、そのほとんどが数千名規模の大手企業であるという。多くの海外拠点を持っている企業も多い。実際の導入事例では、国内外の遠隔地に支社や支店、工場といった拠点を持つ企業が、遠隔地の拠点においてIT管理者が不在であることや現地とのコミュニケーションが困難であること、また十分なウイルス対策が行われていないことから現地はもちろん出張からウイルスに感染して帰ってくる社員が多く、さらにウイルス感染時には本社からリモート操作によって対処する必要があり、原因や発生箇所の特定に多くの時間、労力、人的リソースを費やしていた。

 この企業はTMSを導入することによって、大幅な改善を実現した。各拠点には監視センサーを設置するだけで、海外拠点であっても国内と同じレベルでのセキュリティ対策が可能になった。また、各拠点の検知ログも一元的に収集、分析されレポートとして提供されるため、本社のIT管理者がすべての拠点で何が起こっているのかを的確に把握できるようになった。緊急の際には「Threat Mitigator」が自動的に対処してくれるし、自動的な対処が困難なケースでも発生箇所や原因ファイルの特定ができているため、復旧に要する時間、労力、人的リソースが大幅に軽減されたという。

 レガシー環境の保護の問題に悩んでいた企業の事例でも、TMSの「Threat Management Solution」によって高い効果を得た。TMSはネットワーク上で不正プログラムの活動を監視するため、端末へのインストールが不要であるし、緊急時には即座に対処できる。さらに、感染源の隔離とクリーンナップを行う「Network VirusWall Enforcer」と連携することで、感染元をネットワークから切断し、感染の拡大を防止できる。

 TMSはネットワークスイッチのミラーポートに接続するだけで導入できるため、実際の導入作業は数時間で完了する。逆に、もっとも効果のある導入ポイントを選定することに時間がかかることが多いという。導入した企業からの要望について聞いてみると、現在は翌日に提供している日次レポートを当日欲しいという声や、駆除機能をもっと強化して欲しいという声があるという。これらは2.5へのバージョンアップによって解消される可能性もある。

 また、TMSは運用そのものはユーザ側が行うことになるが、運用も含めてトレンドマイクロに依頼したいという声も多いという。これについては、現在パートナーとの連携で対応できるかどうか検討中であるという。TMSは、内部から発生する連鎖的な脅威に対応できることや、グレーな部分を専門家の慎重な判断により的確に処理できること、検知・分析・連絡だけでなく駆除のソリューションも提供することで、ウイルス対策の一連のサイクルすべてに対応したことが大きな強みとなっている。

 なおトレンドマイクロでは、TMSの効果を試すことができる短期のアセスメントサービス「Trend Micro Internal Threat Assessment」を提供している。これは、トレンドマイクロが「Threat Discovery Suite」を設置しに行き、1ヶ月間解析、レポートの提供を行うというものだ。もちろん、回収もトレンドマイクロが行う。これにより、TMSの効果を事前に検証できる他、内部ネットワークの課題がどこにあるかが可視化されるため、とるべき対策が明確になり無駄なセキュリティ投資を抑止する効果も期待できる。まずはアセスメントサービスを利用してみるのもいいだろう。

【執筆:吉澤亨史】

【関連記事】
従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回
https://www.netsecurity.ne.jp/3_14360.html

【関連リンク】
Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html
Trend Micro Internal Threat Assessment
http://jp.trendmicro.com/jp/products/enterprise/tmita/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×