年々巧妙化するランサムウェアなどのサイバー攻撃。エンドポイントソリューションは末端の保護対策として導入しやすいが、それだけで悪質なランサムウェア攻撃を防止できるという確証はない。よって多層防御を行うことが望ましいが、万が一の際の復旧やセキュリティ機能によるサーバーへの負荷増大などの懸念もある。そこで、サーバー負担を抑えて未知のランサムウェアの検出や遮断、復旧などを実現するキヤノンITソリューションズのセキュリティソリューション「AppCheck」を提案したい。
独自の状況認識技術を採用
「AppCheck」は、EPP/EDR/XDRなどのエンドポイント製品と併用できるセキュリティソリューションだ。ランサムウェアの検知と遮断、ファイルの復元を即座に実行する。自動でファイルを復元するため、業務を継続しながら脅威を検知できる。同社が販売するウイルス対策ソフト「ESET」や「Windows Defender」などとも競合や干渉をすることなく併用が可能だ。
本製品は、独自の状況認識技術を採用している。内容としては、ファイルモニタリング→リアルタイムバックアップ→ファイルへの不正操作プロセスの検知→プロセス遮断、削除および復旧→業務の継続という順で段階的にランサムウェアの検出と遮断を行う。状況認識技術では、ファイル自体の変化を検出してランサムウェアによるファイル毀損を防止する。ファイルはリアルタイムでバックアップして正常なファイルを保護できる。万が一ファイルがランサムウェアに感染しても元の状態に戻せる。シグネチャ(マルウェアの特徴を識別するためのデータ)を使用しないため、軽快な動作を実現する。
複数ソリューションで多層防御
複数のセキュリティソリューションと併用する場合を想定して、AppCheckとほかのエンドポイント製品の位置付けの違いを説明したい。EPP(Endpoint Protection Platform)は、マルウェアを検出してブロックを行う。実際に存在する製品としては、アンチウイルスやサンドボックスといった製品がEPPに当たる。昨今注目されているEDR/MDRは、マルウェア侵入後の速やかな初動対応、復旧サポート、解析、ログ調査・分析が可能だ。AppCheckでは、ランサムウェアなどに侵入された場合、ランサムウェアの不正操作からファイル自体を保護する。具体的には、前述したリアルタイムバックアップや復元を行い、データの可用性を保てる仕組みだ。
ライセンスは、主に次の三つを提供している。一つ目が、クライアントPC向けの「AppCheck Pro」だ。一般的な業務端末への導入に適している。ファイルの暗号化動作をリアルタイムで監視し、異常を検知・遮断する。二つ目が、サーバー向けの「AppCheck Pro for Windows Server」だ。本ライセンスはファイルサーバーや業務サーバーに対応する。共有フォルダーの暗号化被害を防止する。三つ目が、有償オプションの管理者向け集中管理ツール「AppCheck CMS Cloud」だ。複数端末の状態を一元管理できる。
AppCheckを活用して、ランサムウェアからデータを多層保護しよう。
