従来の対策では対処できなかった未知の脅威を洗い出す 「Trend Micro Threat Management Solution 2.5」:第2回 | ScanNetSecurity
2021.06.20(日)

従来の対策では対処できなかった未知の脅威を洗い出す 「Trend Micro Threat Management Solution 2.5」:第2回

 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処すること

特集 特集
 近年、Webサイト閲覧やUSBメモリからの感染をきっかけに、不正なプログラムを次々にダウンロードし、連鎖的に感染を拡大していく内部からの脅威が問題となっている。これらの脅威には、従来の外部からの脅威を防ぐファイアウォールやIDS/IPSなどでは十分に対処することが出来ず、企業のシステム内部に潜む不正プログラムを発見し駆除することは大きな課題であった。

 そこでトレンドマイクロは、これらの問題を解決する企業向けのセキュリティソリューションの最新版「Trend Micro Threat Management Solution 2.5(TMS 2.5)」のサービスを11月18日から開始する。このソリューションはパターンファイルを使用せず、企業内ネットワークの疑わしい挙動を捉えることで、潜在的な脅威を可視化するというもの。国内外の拠点にも導入することで脅威の状況を一元的に把握し、素早く対処することが可能になる。今回はTMSおよび新機能について、トレンドマイクロ株式会社ソリューションビジネス推進部部長代行、市場開発担当である大田原忠雄氏に話を聞いた。

Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html

●検知、分析だけでなく駆除のソリューションも提供

 前回、トレンドマイクロの企業向けセキュリティソリューション「Trend Micro Threat Management Solution(TMS)」の新バージョン「2.5」が搭載する検知・分析・連絡・駆除の一連のサイクルの機能のうち、検知と分析の部分を紹介した。今回は新機能を含む残りの機能と、実際の導入事例などを紹介していく。連絡のフェーズにおいては、基本的にはトレンドマイクロからのレポートがユーザに送られることになるが、もちろんプロアクティブな対応も行う。

 プロアクティブな対応として、新バージョンで強化された機能が「通信遮断機能」と「緊急アラート送信」だ。通信遮断機能は、TMSが危険度の高い不正プログラムの活動を検知した場合に、その通信をすぐに遮断するというもの。これにより、内部に潜んでいる不正プログラムのさらなる活動を未然に食い止めることができる。トレンドマイクロ側から遮断を行うため、特に海外の拠点など遠隔地に有効だ。

 また、トレンドマイクロの監視センターからユーザに緊急通知が送られる。これによってユーザは対処や事後処理を素早く行うことができる。さらに、レポートを生成する際の相関分析の結果、危険度が高い不正プログラムが存在すると判断した場合には、復旧コマンドが自動生成される。復旧コマンドは処理用サーバである「Threat Mitigator」によって自動的に実行される。これらの機能によって、ユーザが直接対応することなく不正プログラムの影響を未然に防ぐことも可能となる。

 新バージョンではこの他、管理者の指示によってウイルス解析に必要な情報と検体ファイルを自動的に収集し、トレンドマイクロに送信する「ウイルス情報の自動収集」機能が追加されている。トレンドマイクロは送信された情報をもとに、復旧のための緊急パターンファイルの作成など必要なソリューションを提供することが可能になる。この機能によって、最近の傾向である特定の標的に絞った攻撃から、他の企業などが未然に防御することができる。

 さらに、トレンドマイクロの企業向けの統合セキュリティソリューションである「ウイルスバスター コーポレートエディション(ウイルスバスター Corp.)」との連携機能も強化されている。これにより、「ウイルスバスター Corp.」で駆除できないウイルスに対し、「Threat Mitigator」が駆除を行う。

 なお、TMSは従来のウイルス対策ソフトがカバーし切れていない部分で検知を行うため、トレンドマイクロ以外のウイルス対策ソフトと組み合わせられることも大きな特徴だ。セキュリティ対策を全面刷新する必要がなく、従来の対策環境に追加できることで、投資コストを最小限に抑えられる。

 新バージョンではまた、ユーザごとに個別のポータルサイトが用意された。ユーザは自分のポータルサイトからレポートのダウンロードを行ったり、自社あるいは遠隔地にある拠点の状況を確認することができる。レポートは日次と月次があり、翌日に配信される日次レポートでは「検知された脅威のリスト」「脅威が検知され、対処が必要なクライアントのリスト」「根本原因の解析結果」「推奨される対処方法」などが記載されている。

 月次レポートでは、「発生傾向の分析」「脅威の発生推移」「検知された脅威の集計」「脅威が検知されたクライアントの集計」「専門家のアドバイザリ」が記載され、推移や傾向を把握し、どのような対処をすればいいのかが分かるようになっている。これによって、「対処療法」ではなく「感染しにくい状況」を作っていくことができる。特に専門家による分析やアドバイザリが提供されるのはトレンドマイクロのソリューションの強みであり、ログ情報だけが提供されるようなサービスとは一線を画している。

●セキュリティの強化だけでなく、コストの低減にも効果

 現在、TMSは国内で数十社の導入実績があり、そのほとんどが数千名規模の大手企業であるという。多くの海外拠点を持っている企業も多い。実際の導入事例では、国内外の遠隔地に支社や支店、工場といった拠点を持つ企業が、遠隔地の拠点においてIT管理者が不在であることや現地とのコミュニケーションが困難であること、また十分なウイルス対策が行われていないことから現地はもちろん出張からウイルスに感染して帰ってくる社員が多く、さらにウイルス感染時には本社からリモート操作によって対処する必要があり、原因や発生箇所の特定に多くの時間、労力、人的リソースを費やしていた。

 この企業はTMSを導入することによって、大幅な改善を実現した。各拠点には監視センサーを設置するだけで、海外拠点であっても国内と同じレベルでのセキュリティ対策が可能になった。また、各拠点の検知ログも一元的に収集、分析されレポートとして提供されるため、本社のIT管理者がすべての拠点で何が起こっているのかを的確に把握できるようになった。緊急の際には「Threat Mitigator」が自動的に対処してくれるし、自動的な対処が困難なケースでも発生箇所や原因ファイルの特定ができているため、復旧に要する時間、労力、人的リソースが大幅に軽減されたという。

 レガシー環境の保護の問題に悩んでいた企業の事例でも、TMSの「Threat Management Solution」によって高い効果を得た。TMSはネットワーク上で不正プログラムの活動を監視するため、端末へのインストールが不要であるし、緊急時には即座に対処できる。さらに、感染源の隔離とクリーンナップを行う「Network VirusWall Enforcer」と連携することで、感染元をネットワークから切断し、感染の拡大を防止できる。

 TMSはネットワークスイッチのミラーポートに接続するだけで導入できるため、実際の導入作業は数時間で完了する。逆に、もっとも効果のある導入ポイントを選定することに時間がかかることが多いという。導入した企業からの要望について聞いてみると、現在は翌日に提供している日次レポートを当日欲しいという声や、駆除機能をもっと強化して欲しいという声があるという。これらは2.5へのバージョンアップによって解消される可能性もある。

 また、TMSは運用そのものはユーザ側が行うことになるが、運用も含めてトレンドマイクロに依頼したいという声も多いという。これについては、現在パートナーとの連携で対応できるかどうか検討中であるという。TMSは、内部から発生する連鎖的な脅威に対応できることや、グレーな部分を専門家の慎重な判断により的確に処理できること、検知・分析・連絡だけでなく駆除のソリューションも提供することで、ウイルス対策の一連のサイクルすべてに対応したことが大きな強みとなっている。

 なおトレンドマイクロでは、TMSの効果を試すことができる短期のアセスメントサービス「Trend Micro Internal Threat Assessment」を提供している。これは、トレンドマイクロが「Threat Discovery Suite」を設置しに行き、1ヶ月間解析、レポートの提供を行うというものだ。もちろん、回収もトレンドマイクロが行う。これにより、TMSの効果を事前に検証できる他、内部ネットワークの課題がどこにあるかが可視化されるため、とるべき対策が明確になり無駄なセキュリティ投資を抑止する効果も期待できる。まずはアセスメントサービスを利用してみるのもいいだろう。

【執筆:吉澤亨史】

【関連記事】
従来の対策では対処できなかった未知の脅威を洗い出す「Trend Micro Threat Management Solution 2.5」:第1回
https://www.netsecurity.ne.jp/3_14360.html

【関連リンク】
Trend Micro Threat Management Solution
http://jp.trendmicro.com/jp/campaigns/tms/index.html
Trend Micro Internal Threat Assessment
http://jp.trendmicro.com/jp/products/enterprise/tmita/index.html

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る