Carbon Blackと従来のアンチウイルスとの違い

こんにちは、VMware担当及川です。

今回はCarbon Blackと従来のアンチウイルスとの違いについてご紹介します。

<Carbon Blackが必要な背景>

■従来型セキュリティ

これまでのアンチウイルスの対応方法では、PC内のフルスキャンを行い、スキャンに引っかかった端末がある場合は、それを回収し、セキュリティ担当者が調査するという流れでした。
調査することで、現在の感染状況は確認できますが、ログや履歴が保存されているわけではないため、感染経路を追うことができません。また、最新の攻撃者は、端末上にすでに存在するツール(PowershellやWMIなど)を利用して、攻撃を行うため、従来型のアンチウイルスソフトでは、検知することが非常に難しくなってきています。

■これからのセキュリティ

そこで、登場してきたのが、NGAV(Next Generation Antivirus)とEDR(Endpoint Detection and Response)です。EDRという言葉はCarbon Blackが作った言葉となります。

■NGAV

従来のアンチウイルスが対処しきれなかった、Excelなど一般的に利用されるファイルを装ったマルウェアなどをシグネチャ、クラウドレピュテーション、機械学習などを利用して、検知し、対処することができます。いわゆるマルウェアではないか?と疑わしいものを検知してブロックができるということです。

■EDR

端末上で行われた操作ログを収集し、解析することで、これまで把握できなかった感染経路を発見することができます。さらに通信経路も記録されているため、他の端末に広がっているかどうかや、マルウェアが消滅していたとしてもログから追跡することができます。EDRを利用することで、OSの「通常の状態」を知ることができますので、より効率よく「異常」について探すことができるようになり、セキュリティ機器が検知できなかった脅威を自分たちで発見することができるようになります。

これらの一連の流れについて、Carbon Black Cloudで全て対処できます。
マルウェアの侵入を防ぐのはもちろんのこと、今までの端末の操作ログを記録し、中身について調査を行い、根本の原因について解析することができます。未知の脅威であっても、復旧後には、他の端末に拡大しないよう社内のセキュリティポリシーを強化することで、同じ事象が発生しないよう対策を打つことができます。自己防衛を根拠に基づいて行うことができるということです。

いかがでしたでしょうか?
Carbon Blackについての理解が少しでも深まれば幸いです。

VMwareの記事




※閲覧にはiDATEN(韋駄天)へのログインが必要です。