BitDefender GravityZone
製品紹介
第三者評価機関で科学的に防御能力が証明されたサイバーセキュリティ
GravityZoneは、既知および未知のサイバー攻撃から企業を保護するために、 現代サイバーセキュリティにおいて最良とされる多層防御アーキテクチャを持っており、 高度なAI(人工知能)・機械学習テクノロジーを中心に構築 されています。
国内では事後対応型のセキュリティ対策に重みが置かれがちですが、 大規模なR&Dでの最新脅威研究の成果により、GravityZoneはプロアクティブな対策をとることができ、 お客様の事業継続を可能にします。
「優れた防犯警報装置は、誰かが家に侵入したときにすぐに鳴らされるべきです。彼らが盗みを始めるまで待ってはいけません。」
目次
今見るべき第三者評価機関による新しいテストとは
今日のサイバーAPT攻撃は通常のマルウェア対策をすり抜け侵入して足場を築き、 数ヶ月かけてゆっくり調査、スパイ網・ランサムウェアの仕掛けを社内に構築していくため、 何年も気づかずに、いや今も気づかずにいることがあります。
従来のマルウェアファイルを投入して結果をみるというテストでは、 この高度な手法をみやぶることは難しく、 最新サイバーセキュリティ研究で得た実際の攻撃手法を、 実際に手間をかけて実施する必要があります。
この種のテスト は頻繁に行うことができないため、 目にすることも少ないですが、 本当に守れるものを求めるお客様にとっては、貴重なものとなっています。
さらにぜひ手間をかけて見ていただきたいのはその内訳です。 このテスト結果はあまり差がないように見えるかもしれません。 しかしマルウェアの検出がその実行前(PRE)か実行時(ON)か実行後(POST)かという違いが実はあり、 ある製品では実行されてしばらく経ってから、ログのEDRの解析からやっと検出しているのもざらですが、 ユーザにしてみれば「事後のEDRで検出では遅いよ」というのが本音でしょう。
今日のサイバーセキュリティの分野では攻撃を科学的に分析、カテゴリー化、フェイズ分類するなど標準化が進められています。 こうすることで検出能力、防御能力を科学的なアプローチで高めることができるのです。
Bitdefenderはこのサイバーセキュリティ研究の分野でも世界最大800名にのぼるR&D体制を保有していますが、 各国の政府、警察機関と密接な協力関係にあり、 自社にとどまらない世の中で広く汎用的に利用できる防御技術を開発しています。
このサイバー攻撃を正しく解析、分類する能力でも飛び抜けており、 現場で戦っているCISOやセキュリティ運用者、SOCスタッフにとっては、 脅威を標準的な視点で理解できるので、その対応を具体的に行うことができると高い評価を得ています。
世界最大級のR&D体制によりもたらされる最先端セキュリティ。 世界の国防や警察、高いセキュリティが求められる機関でも参照される、 各種評価機関でのテスト結果で長い間最高峰を占めています。
他社製品でのOEM利用を含め全世界5億人もの利用者を守るBitdefenderエンジン。 新たな脅威に対しては3秒以内に全地域に対応を完了。 FacebookやTwitterを超える日々70億もの要求に答えているグローバルセキュリティネットワーク網が保護します。
35を超える多重防御層で高度な攻撃に対処
(EPP+NGAV+EDR+XDR)
GravityZoneは、通常複数のツールを組み合わせて実装する 今日のサイバーセキュリティに必要な35の防御層を多層構造で実装しており、 それらはビジネスを守る3つのセキュリティの柱を構成しています。
忘れがちなのが無用な出入口を塞ぐハードニング。 放置されがちなOS・アプリのアップデートをしっかり適用して 脆弱性を利用した攻撃を防ぐパッチ管理や、 マシン盗難・置き忘れ時のハードディスク抜き取りによるデータ漏洩を防ぐストレージ暗号化、 またオフライン・VPNでの脅威侵入経路となるUSBなどのデバイス管理も 1コンソールで実現しています。
加えて通信で無用な出入口を塞ぐことも脅威侵入の可能性を減らすのに大いに役立ちます。 このためリアルタイムで監視して怪しい送受信を見つけ出しています。
それを通過してきたものは実行前に最新のクラウド脅威センターでの検査、ふるまい(B-Have)、 最新のAI機械学習(HyperDetect)、クラウドSandbox検査を受ける必要があり、 実行中もリアルタイムにプロセス・メモリはそのふるまいが監視(ATC)され、 どの段階であっても脅威が検出され次第防止されます。
さらにはセンサで集められた情報、ログを元にクラウド解析センターで 潜在的な脅威が自動で検知・対応することができます(EDR)。
ファイルレス、スクリプト、脆弱性利用などさまざまな高度な手法で侵入が試みられる中、 GravityZoneは実行前において、ローカルエンジン、クラウドエンジン、機械学習の成果などを駆使して検出を試みます。
また実行時に変態するマルウェアに対しても、実行中監視と評価により、 危険を察知し速やかにブロック、駆除を試みます。
通信、ストレージ、メモリ、プロセス、ルートなどさまざまな場所、タイミングで多段階で防御機能が働きます。 なおかつ評価機関の結果で示されているように、高い検出率と軽さが両立しています。
*追加オプション、エディションアップグレードが必要な機能があります。 詳細は比較表をご確認ください。
GravityZone の多層防御は、実行前・実行中・実行後のすべてのフェーズで脅威を検出し、 侵入の可能性を最小限に抑えるよう設計されています。
これらの層は互いに連携し、単一の手法では突破できない堅牢な防御網を形成します。 その結果、最新の攻撃手法に対しても高い検出率と軽快な動作を両立しています。
高度ランサムウェアをゼロディで検出
AI・機械学習
主要セキュリティベンダーがアップデートなしには、またEDR層でしか検出できなかった高度ランサムウェアを、EPP層でゼロディで検出しています。
WannarCryは驚くべきことに過去の2014年にすでに機械学習で予測されていたモデルの一つで、 3年後の2017年、閉域ネットワーク環境ながらゼロデイで検出・ブロック。 GoldenEyeは最初の感染が確認されたウクライナにおいて、 Bitdefender製品を利用しているマシンのふるまい検出で攻撃を察知し、対応がされています。
Bitdefender社は2008年にマルウェア検出のための機械学習アルゴリズムを開発した最初の企業 であり、機械学習に関して70以上の学術論文を発表しています。
特に高度な攻撃で使用されるファイルレス攻撃に関する成果は、 これまでの技術では検知できなかった攻撃から企業を守ることに成功しており、 EUの執行機関である欧州委員会(EC)から「Key Innovators」の称号が与えられています。
現在もディープラーニングやニューラルネットワーク、自己学習、敵対的AIなど革新的なモデルを利用して、 日々大規模な解析、将来のまだ見ぬ脅威を想定した研究が進められています。
現在の戦いは、低レベルの攻撃テクニックを持ったマルウェアに対してのものではありません。 数は少ないながら、極めて高度な攻撃による脅威に対してのもので、 それは脅威全体の1%以下ながら、それによる損失は莫大なものになる、 そのエッジ部分で対応できるかが求められています。
GravityZoneはこのエッジの戦いで、実際に結果を出し続けています。
一つのアーキテクチャ、エージェント、
ライセンス
同じ会社の製品であっても、防御層を追加すると、専用のコンソール操作、追加のエージェント導入、 それぞれのライセンスキーの管理が必要になることご存知でしょうか。
- Mac保護、Windows Server/Linux保護
- 仮想マシン保護、クラウドマシン保護
- EDR、パッチ管理、ストレージ暗号化
これは多くのベンダーが買収や別々のチームの開発によって機能追加・製品拡充が行われており、 それぞれで異なる専用の管理ツールの操作はオーバーヘッドが膨らみ、 運用管理者はその煩雑さに悩まされることになります。
またエンドポイントマシンはインストールするごとに重たくなり、 ユーザからの不満が高まるだけではなく、業務パフォーマンスの低下に繋がります。
しかしGravityZoneはエンドポイントに導入したたった1つのエージェントアプリで、 たった一つの管理コンソールにログインするだけで、 全ての防御機能を管理・実装することができるのです。
具体的にはどれだけの管理コンソールを操作し、エージェントを導入しなければいけないか、 考えたことはあるでしょうか。 GravityZoneは1つの製品・ライセンスですべてをカバーします。 管理者は1つの管理コンソールで、社内すべてのマシンリソースを管理できるのです。
ライセンスのしくみもユニークです。 例えば100ライセンス購入すれば、100を超えない限り、 Windows、Mac、Linux、Windows Server、 物理マシン、仮想マシン、オンプレミス、クラウドなどなど 自由な組み合わせ、入れ替えてご利用になれます。
そしてすべて同じ有効期限を持ち、更新もすべて同じ期間の延長となり、 追加も任意のタイミングで簡単に行えます。
運用管理者の日々の負担を削減
管理コンソール
運用作業のスタートはこのダッシュボードから始まります。 ログイン後に最初に表示されるこの画面で、 運用者がみるべき情報をまとめて表示し、 必要な対応をここから実行することができます。
またレポートをスケジューリングすれば、指定のメールアドレスに 定期的にPDFまたは加工用にCSVで送ることができ、 各種コンプライアンス遵守のための定期的な報告、台帳作成に利用できます。
多くの会社では、セキュリティ担当に任命されたスタッフは、 通常業務とのかけもちが多く、十分に関わる時間がもてないのが現状です。
現場の人間への実際の調査を元に、その負担を減らすべく運用ツールである 管理コンソールも改善が続けられています。
オフィス、社外、社員自宅、データセンター、パブリッククラウドなど さまざまに点在するマシンを論理的にグループ化して管理できます。
また既存のADやハイパバイザーのレポジトリ構造があればそれと連携することで、 このコンソールにその構成を表示できます(後述)。
管理サーバはクラウドまたはオンプレミスから選択できます。 どちらもマシン台数に関わらず無償で利用できます。 クラウド版はすぐに利用できます。
オンプレミス向け管理サーバは、各種ハイパバイザに対応したイメージ、 仮想アプライアンスの形で提供されていますので、 ダウンロードしてマウントすれば、すぐに起動して使用することができます。
脆弱なOS・アプリの設定を検出するERM
Endopoint Risk Management
予め攻撃を受けやすいマシンを見つけて対処できれば、それは最も効果的な運用です。 しかし担当者にとって、日々公表される脆弱性ニュースを追うことはほとんど不可能です。
エンドポイントのリスク管理を行うERMは、管理者に代わり最新の脆弱情報を収集して、 間違った設定のマシンを見つけてリモートから修正、 未適用のパッチを案内(パッチ管理アドオンがあれば自動適用)など 強力に運用業務を支援する機能です。
ファイルの改ざんを検出するFIM
File Integrity Monitoring
ルールで設定した領域を監視して、改変・改ざんがあればレポート、 指定があれば復元を行う機能です。 これはPCI DSSやDODI、NISTのコンプライアンスで求められるセキュリティ実装です。
正規の運用者による誤操作や、意図しないアップデートによる上書きなどの検出にも利用できます。 GravityZoneでは既存エージェントにアドオンすることができます。
業務で使用するモバイル端末を保護
攻撃の侵入路の90%はメールです。 たくみな件名・内容によりクリックさせることで、より大きい脅威へと誘導します。 ある調査ではメールの60%は今やスマホでチェックされています。
Android、iOS、Chromebookに対策を施すことができます。
モバイル向けライセンスはアドオンとして提供されています。 既存のPC向けクラウド管理コンソールにライセンスを追加することで、 スマホの脅威情報も一元把握できます。
ディスク暗号化 マシン盗難・置き忘れ対策
PC盗難時に内部のハードディスクが取り出され、直接接続されてデータが取り出される危険を防止するため、 OS標準の暗号化機構により暗号化を施すことを推進します。
Windowsでは「BitLocker」、macOSでは「FileVault」「diskutil」をコンソールより管理でき、 数回クリックするだけでユーザ操作を最小限に暗号化・復号化できます。 パスワード紛失時には回復キーを提供できます。
通常これらは専用製品・別サービスで提供されますが、 GravityZoneでは既存エージェントにアドオンすることができます。
パッチ管理も追加可
OS・アプリの脆弱性の抜け穴を防止
OSやアプリで日々報告される脆弱性は、攻撃者が最も好んで利用する危険なものです。 一般ユーザが自分のPCに関係するか判断するのは難しく、 管理者が代わって判断・適用する作業は大きな負担となっています。
この機能では、OSやアプリを自動スキャンし最新の脆弱性情報と比較、 提供されているパッチを自動適用したり、 管理者が重要なものを選択してリモート適用するなど、 運用を強力に支援します。
通常これらは専用製品・別サービスで提供されますが、 GravityZoneでは既存エージェントにアドオンできます。
ランサムウェアミティゲーション
緩和・対策
ランサムウェア攻撃は 国内でも対象を中小企業へと規模を問わずにシフト化しており、 それに対して 強力なGravityZoneの多層防御のしくみ は有効です。 しかし万が一これらが突破された場合、最後の砦となるのがこのランサムウェアミティゲーションです。
これは純粋にランサムウェアによる暗号化の試みだけを監視し、 その前に居並ぶ検出エンジンの判定結果を考慮せずに、 その動きを検知しだいバックアップを行う(Youtube動画) ものです。
他製品でのバックアップが研究され尽くした VSS を利用しているのに対し、 独自のメモリバックアップ方式により、バックアップ自体が暗号化されることを回避しています。
自動・手動クラウドサンドボックス
Cloud Sandbox Anlyzer
未知のファイルを発見した場合、自動で送信・解析・判定を得ることができます。 クラウドの強力なマシンパワーと、 全世界からリアルタイムに集められる膨大な脅威情報をベースに AIによるレポートを受け取ることができます。
この機能はインシデント判定に迫られる管理者・セキュリティ担当者・CISOの頼れる右腕です。
Premium、Enterprise に搭載。
ローカルAI・機械学習エンジン
ハイパーディテクト
超高度ランサムウェアなどを検出するために開発された超最先端エンジン。 ローカルで動作する機械学習エンジンで、 その特徴はチューニング可能なこと。 誤検出を抑えつつ、目的の脅威への対策を最大限に強化できます。
Premium、Enterprise に搭載。
他のEDRソリューションの不満は「分析・検出までに時間がかかる」こと。 高度な攻撃こそゼロディで判定すべきであり、 高額な分析費用や手動駆除が前提では困ります。
BitdefenderはEPPとEDRを純粋自社開発しており、 研究成果が常に製品に反映され、 管理者の負担を減らしつつ自動で判定・アクションが行われます。
共有ストレージの保護
抜け穴となりがちなNASの保護
抜け穴となるネットワーク接続型ストレージ(Nutanix Files、Citrix ShareFile、 Dell/EMC/IBM/Hitachi/HPE/Oracle の ICAP 対応ストレージなど)と連携し、 リアルタイムスキャンを可能にします。
GravityZone の仮想アプライアンス SVA が中央スキャンサーバとして機能し、 ストレージからのスキャン要求を処理して危険なファイルの伝播を防ぎます。
複数ストレージの同時サポート、SVA の分散配置、フェイルオーバーにも対応。
Premium、Enterprise へアドオンライセンスで利用可能。
セキュリティインシデントの収集保存EDR
Endpoint Detection and Response
EDRはエンドポイントの動作・履歴から脅威を見つけ出し、 インシデントとして管理し、解析結果をもとに対応する運用フレームワークです。
従来の定義・ふるまい検知(BS/ABS)+AI機械学習(Premium)の最後尾に加わる最新防御層です。
BitdefenderのEDRは自社開発のため、1エージェント&1コンソールで動作し、第三者評価機関のリアルテストでも結果を出しています。
Enterprise で利用可能。オンプレミス管理型でも利用可能となり、 Incident ロールと EDR Sensor が追加されます。
疑わしい動きやファイルは逐一報告され(Detection)、 管理者はグラフィカルなツールで多角的に分析できます。 Sandbox 評価などを参考に削除・停止などを行いインシデントをクローズします(Response)。
複数EDR情報を相関解析XEDR
eXtended Endpoint Detection and Response
これまでのEDRはエンドポイント単位でデータを解析していましたが、 複数のエンドポイントのEDRデータを束ねて相関解析する XEDR が搭載されています。
高度サイバー攻撃では攻撃段階を分散し、複数端末にスパイ機能を配置するため、 単一EDRでは一連の攻撃として把握するには熟練が必要でした。
XEDR相関解析エンジンは膨大なデータから攻撃の連続性・関連性を見出し、 管理者に視覚的に警告します。
非エンドポイントへ監視対象拡大XDR
Extended Detection and Response
非エンドポイントの企業ITリソースも360度監視・防御できる XDR が実装されました。 PC以外の重要リソースへの脅威を各種XDRセンサーが検出します。
Enterprise(Ultra)向けのアドオンとして提供され、 Office365 / AD / Azure AD / AWS / Azure Cloud / Intune / Google Workspace / Google Cloud など10種類以上のセンサーが利用できます。
コンテナにもフルセキュリティ防御
脆弱性・マルウェア対策
コンテナセキュリティには様々なアプローチがありますが、 Bitdefender は AI機械学習・脆弱性対策・EDR を含むフル対策を実装できる王道設計です。
Linux向けエージェントはカーネル依存しない新設計で、 ハイブリッド・マルチクラウド環境でも一貫した保護と可視性を提供します。
対応ディストリビューション:Ubuntu / RHEL / Oracle Linux / CentOS / SUSE / Debian / Amazon Linux 2
対応コンテナ基盤:ECS / EKS / GKE / Docker / Podman / Kubernetes / AKS
重たい処理からエンドポイント開放
中央セキュリティサーバ(SVA)
サーバにマルウェア対策を入れないケースは多く、漏洩事件の原因にもなっています。 一方で導入するとレスポンス低下やリソース不足が懸念されます。
GravityZone はスキャン専用の仮想アプライアンス(SVA)を配置することで、 重たいスキャンやアップデートを肩代わりし、 エンドポイントのリソース要件を 1/4 に削減します。 ハイパバイザー環境ではエージェントレスも可能です。
LOGIN VSI による性能評価でも、最も負荷が少ない製品として示されています。
集中スキャンはキャッシュ機構と組み合わせることでさらに効果を発揮します。 他VMでスキャン済みのファイルは結果を共有し、スキャンをスキップできます。
スキャンサーバが利用できない場合は、他のSVA・クラウドエンジン・ローカルエンジンへ自動フォールバックします。
Premium 以上のライセンスで SVA は何台配置しても追加費用なし。
オンプレミス、クラウドのITインフラ環境
まとめて同一コンソールで管理
各社とパートナー提携を行っており、API連携を利用すれば仮想マシンのツリー構造そのままで管理、 VM の上げ下げのタイミングでインストール/アンインストール、ライセンスのカウントなど、 セキュリティ運用が自動化され、運用時間を大幅に短縮することができます。
さらに複数の異なるハイパバイザー環境と同時に連携できますので、 1つの GravityZone 管理コンソール内で、 ソリューションを超えて統一したセキュリティ運用を行うことができます。
オンプレミス管理サーバ
仮想アプライアンスで提供
管理サーバはクラウド(無償)を利用できますが、社内規定や環境によりオンプレミス(無償)を選択されるケースがあります。 オンプレミスで管理サーバを立てる場合、主要ハイパバイザに対応したファイル形式の仮想アプライアンスが用意されており、 それをマウントして起動するだけで設置できます。
この仮想アプライアンスは内部的には Ubuntu と複数のロールで構成されており、 展開する環境に合わせてロールを別マシンに分散配置することも可能です。
1台のシングル構成で最大 3000 エンドポイントをカバーします。 障害時のフェイルオーバーやデータベースのレプリケーションを目的に、 1 ~ n 台まで拡張することができます。
そしてこの仮想アプライアンスの使用コストはかかりません。