【AppGuard】Windowsサーバーの守り方を変える
既存のアンチウイルス対策製品や、Windowsサーバーの脆弱性対応に、不安はありませんか。
マルウェアが侵入しても発症させない、ウイルスを「検知しない」エンドポイントセキュリティ製品『AppGuard』。
本コラムでは、AppGuardプロダクトの一つである『AppGuard Server』について解説します。
AppGuard Serverは、Windowsサーバー向けのエンドポイントセキュリティ製品で、悪意のあるDLLの実行や、リモート接続によるプログラムの実行、Windowsメモリ上にある認証情報へのアクセスなどから、Windowsサーバーを守ることができます。
AppGuardの基本機能についてはこちら > ウイルスを「検知しない」セキュリティ製品 AppGuardとは
目次
サイバー攻撃が与える影響
サーバー管理の限界
AppGuard Serverによる保護の考え方
環境の可視化
AppGuard Server システム要件
サイバー攻撃が与える影響
サイバー攻撃を受けた場合、初動対応およびフォレンジック調査だけでも300~400万円、感染が拡大している場合は数千万円を超える費用が発生する可能性があります。
さらに対外対応や復旧、再発防止、賠償損害、利益損害、行政損害、無形損害なども合わせると、被害状況によっては億を超える可能性も示唆されています。
また、サイバー攻撃を受けた場合、自社のみならず、サプライチェーン全体にも影響する可能性があり、サイバー攻撃が与える影響は、さらに大きくなる可能性があります。
参考:NPO JNSA|https://www.jnsa.org/result/incidentdamage/2021.html
サーバー管理の限界
サイバー攻撃を受けた際の影響の大きさは分かっていても、サーバーを保全・管理するのは難しいのが実情ではないでしょうか。
IPAへの届出件数を見ると、ソフトウェアの脆弱性は常に一定の件数が報告されている状況です。
図引用:IPA|https://www.ipa.go.jp/security/vuln/report/vuln2022q2.html
脆弱性を放置すると、サイバー攻撃の手段として利用される可能性があるため、
サーバー管理者は、新しい脆弱性が見つかるたび、自社の利用状況を把握したうえで、ソフトウェアのバージョンアップをする必要があります。
しかし、以下のような理由により、パッチ適用を実施していないか、パッチ適用に時間がかかる状況ではないでしょうか。
パッチ適用が遅れる理由
- 稼働しているシステムの停止が許容できない(冗長構成ができていない)
- パッチの適用により発生するアプリケーションの不具合を検証しきれない
- ネットワークで境界防御ができている
また、マルウェアを利用した攻撃に対して有効なアンチウイルス製品(パターンマッチングやAIなど)での対策は、未知のマルウェアに対応できるとされているものでも、既知情報をもとにマルウェア判定をしているため、すべてのサイバー攻撃に対応するのは難しいのが実状です。
一方、EDRは、侵入時のフォレンジック調査や復旧対応、再発防止の一助となる可能性がありますが、運用負荷が高くなる可能性があります。
既存のサーバー管理には複数の課題がありますが、そもそも攻撃が成功しないような予防処置が重要ではないでしょうか。
AppGuard Serverを導入することで、以下のような効果が期待できます。
- 脆弱性を利用した攻撃の影響範囲の最小化
- 不審なファイル(マルウェア)の実行防御
- ブロックされたアプリケーションの可視化
AppGuard Serverによる保護の考え方
AppGuard Serverは、大きく2つの概念でWindowsサーバーの保護を実現します。
1つ目は、システムロックダウン。
サイバー攻撃で利用される可能性が高いWindowsの標準ツール(コマンドプロンプトやPowerShell、WMICなど)の実行を制御するとともに、レジストリやフォルダに対する読み書きを制御し、サイバー攻撃を成功させません。
2つ目は、アプリケーションロックダウン。
起動が必要なアプリケーション(IISやSQLなど)から操作可能なプロセスやフォルダ、レジストリを制限し、サイバー攻撃による影響を最小限に抑えることができます。
メーカー提供資料より
ただし、AppGuard Serverをデフォルト設定のまま導入すると、上記保護により、
一部プロセスが起動できなくなり、フォルダやレジストリに厳格なアクセス権限が適用されるため、システムに必要な機能が失われかねません。
環境の可視化
そこでAppGuardには、制御は行わずに、ブロックされるか確認できる「ディスカバリーモード」という機能があります。
メーカー提供資料より
初期導入の際は、一定期間「ディスカバリーモード」でログ出力のみを実施し、それぞれのお客様に合ったポリシーの設定が必要になります。
AppGuardから出力されるログは、初見での分析・ポリシー設定は難しいため、初期導入支援が充実しているリセラーの選択が重要になります。
また、本番運用に入った後も、ディスカバリーモードで発見できなかった動作がブロックされる可能性があるため、製品サポートがあったほうが安心です。
当社では、初期導入および製品サポート、両方の提供が可能です。
AppGuard Server システム要件
ご質問、ご相談がございましたら、下記「お問い合わせ・資料請求」フォームへお気軽にご連絡ください。
私ども三菱HCキャピタルITパートナーズは、三菱HCキャピタルグループの一員として、PCを中心としたIT機器のレンタル、IT資産管理、及びセキュリティ全般に関するサービスを展開しております。