お役立ち資料
お問い合わせ
コラム
2022.09.13 セキュリティ

【AppGuard】Windowsサーバーの守り方を変える

既存のアンチウイルス対策製品や、Windowsサーバーの脆弱性対応に、不安はありませんか。

マルウェアが侵入しても発症させない、ウイルスを「検知しない」エンドポイントセキュリティ製品『AppGuard』。
本コラムでは、AppGuardプロダクトの一つである『AppGuard Server』について解説します。

AppGuard Serverは、Windowsサーバー向けのエンドポイントセキュリティ製品で、悪意のあるDLLの実行や、リモート接続によるプログラムの実行、Windowsメモリ上にある認証情報へのアクセスなどから、Windowsサーバーを守ることができます。
AppGuardの基本機能についてはこちら > ウイルスを「検知しない」セキュリティ製品 AppGuardとは

目次

サイバー攻撃が与える影響
サーバー管理の限界
AppGuard Serverによる保護の考え方
環境の可視化
AppGuard Server システム要件

サイバー攻撃が与える影響

サイバー攻撃を受けた場合、初動対応およびフォレンジック調査だけでも300~400万円、感染が拡大している場合は数千万円を超える費用が発生する可能性があります。

さらに対外対応や復旧、再発防止、賠償損害、利益損害、行政損害、無形損害なども合わせると、被害状況によっては億を超える可能性も示唆されています。

また、サイバー攻撃を受けた場合、自社のみならず、サプライチェーン全体にも影響する可能性があり、サイバー攻撃が与える影響は、さらに大きくなる可能性があります。

参考:NPO JNSA|https://www.jnsa.org/result/incidentdamage/2021.html

サーバー管理の限界

サイバー攻撃を受けた際の影響の大きさは分かっていても、サーバーを保全・管理するのは難しいのが実情ではないでしょうか。

IPAへの届出件数を見ると、ソフトウェアの脆弱性は常に一定の件数が報告されている状況です。

JPA引用グラフ、脆弱性の届出件数の四半期ごとの推移
  図引用:IPA|https://www.ipa.go.jp/security/vuln/report/vuln2022q2.html

脆弱性を放置すると、サイバー攻撃の手段として利用される可能性があるため、
サーバー管理者は、新しい脆弱性が見つかるたび、自社の利用状況を把握したうえで、ソフトウェアのバージョンアップをする必要があります。

しかし、以下のような理由により、パッチ適用を実施していないか、パッチ適用に時間がかかる状況ではないでしょうか。

パッチ適用が遅れる理由

  • 稼働しているシステムの停止が許容できない(冗長構成ができていない)
  • パッチの適用により発生するアプリケーションの不具合を検証しきれない
  • ネットワークで境界防御ができている

また、マルウェアを利用した攻撃に対して有効なアンチウイルス製品(パターンマッチングやAIなど)での対策は、未知のマルウェアに対応できるとされているものでも、既知情報をもとにマルウェア判定をしているため、すべてのサイバー攻撃に対応するのは難しいのが実状です。

一方、EDRは、侵入時のフォレンジック調査や復旧対応、再発防止の一助となる可能性がありますが、運用負荷が高くなる可能性があります。

既存のサーバー管理には複数の課題がありますが、そもそも攻撃が成功しないような予防処置が重要ではないでしょうか。

AppGuard Serverを導入することで、以下のような効果が期待できます。

  • 脆弱性を利用した攻撃の影響範囲の最小化
  • 不審なファイル(マルウェア)の実行防御
  • ブロックされたアプリケーションの可視化

AppGuard Serverによる保護の考え方

AppGuard Serverは、大きく2つの概念でWindowsサーバーの保護を実現します。

1つ目は、システムロックダウン。

サイバー攻撃で利用される可能性が高いWindowsの標準ツール(コマンドプロンプトやPowerShell、WMICなど)の実行を制御するとともに、レジストリやフォルダに対する読み書きを制御し、サイバー攻撃を成功させません。

2つ目は、アプリケーションロックダウン。

起動が必要なアプリケーション(IISやSQLなど)から操作可能なプロセスやフォルダ、レジストリを制限し、サイバー攻撃による影響を最小限に抑えることができます。

メーカー提供資料
 メーカー提供資料より

ただし、AppGuard Serverをデフォルト設定のまま導入すると、上記保護により、
一部プロセスが起動できなくなり、フォルダやレジストリに厳格なアクセス権限が適用されるため、システムに必要な機能が失われかねません。

環境の可視化

そこでAppGuardには、制御は行わずに、ブロックされるか確認できる「ディスカバリーモード」という機能があります。

メーカー提供資料
 メーカー提供資料より

初期導入の際は、一定期間「ディスカバリーモード」でログ出力のみを実施し、それぞれのお客様に合ったポリシーの設定が必要になります。

AppGuardから出力されるログは、初見での分析・ポリシー設定は難しいため、初期導入支援が充実しているリセラーの選択が重要になります。
また、本番運用に入った後も、ディスカバリーモードで発見できなかった動作がブロックされる可能性があるため、製品サポートがあったほうが安心です。

当社では、初期導入および製品サポート、両方の提供が可能です。

AppGuard Server システム要件

対応OS
  • Windows Server 2008 R2 SP1(KB3033929の適用が必要)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

※下記OSエディションは利用可能ですが、標準サポート対象外です。
 個別サポートはお問い合わせください。

  • Windows Storage Server 2012 R2
  • Windows Storage Server 2016
  • Windows Server IoT 2019
HWスペック

上記のOSが稼働するスペック

2022年8月末時点の情報です。

ご質問、ご相談がございましたら、下記「お問い合わせ・資料請求」フォームへお気軽にご連絡ください。

私ども三菱HCキャピタルITパートナーズは、三菱HCキャピタルグループの一員として、PCを中心としたIT機器のレンタル、IT資産管理、及びセキュリティ全般に関するサービスを展開しております。

page top