ファイヤウォールとウイルス対策ソフトだけで会社は守れない

　ゼロトラストの必要性が叫ばれる中、情報セキュリティ対策の現状をみると、ファイヤウォールとウイルス対策ソフトだけという会社がまだまだ多いようです。ファイヤウォールも進化しており、単なる通信パケットの許可やブロックだけでなく、通信内容を分析して攻撃を防いだり、最近ではAIを活用して脅威を検知するものまで出てきています。ウイルス対策ソフトの方もAI活用やサンドボックス隔離など、未知のウイルスにも対応できるようになってきています。しかし、それでもなお、情報セキュリティ対策としては万全ではありません。社員が偽のメールやWebサイトに騙されてパソコンを乗っ取られる、簡単なパスワードが解読される、放置されたぜい弱性が悪用されるなど、ファイヤウォールとウイルス対策ソフトだけではとても会社を守れないのです。

「絶対に安心」ではなく「情報セキュリティは破られるもの」へ

　ファイヤウォールとウイルス対策ソフトを入れれば安心という時代はもはや過去の話になりました。

　今はどれほど強固な対策をしたとしても、「情報セキュリティは破られるもの」と考えなければなりません。人の不注意やコンピュータ（ハードウェア、ソフトウェア、ネットワーク）の欠陥、ぜい弱性は永遠になくならないものだからです。パスワードも高性能なコンピュータによって解読リスクが年々高まっています。江戸時代にあった関所も裏金や賄賂を使って不正に通過するものが絶えなかったと言います。現代社会の情報セキュリティにおいても、絶対安心と言えるものはないと考えて、破られた後の対策を考えることが不可欠なのです。

「防御」も進化している

　「防御」だけではだめな一方で、ファイヤウォールもウイルス対策ソフトもAI活用などによる機能強化を図っているように、　通信やデータの暗号化など「防御」も進化しています。二要素認証によるパスワード破り対策、MDM（モバイルデバイス管理）による不正デバイスの検知、コンプライアンス違反に対するアラートなど、「何も信用しない」ゼロトラストセキュリティベースの「防御」ツールが次々と登場しています。

「防御」を破られた後の「検知」「封じ込め」が重要に―EDRの登場―

　ランサムウェア被害が広がる中で、サイバーセキュリティの緊急事態対応手順を策定する企業が増えています。まさにそれは「防御」を破られた後の対策であり、その中でも特に重要となるのが、「検知」と「封じ込め」です。「検知」で問題となるのが、隠す社員が後を絶たないことです。早期発見すれば被害も最小化できるのにもかかわらず、報告されしないことによって被害が社内だけでなく社外にまで広がってしまい、大きな損害賠償責任を負うまでになってしまいかねません。そこで最近注目されているのが、EDR（Endpoint Detection and Response）というツールです。従来のウイルス対策ソフトがEPP（Endpoint Protection Platform）と呼ばれる「防御」しかしないツールだったのに対して、EDRでは、ウイルス感染や不正アクセスがあったことを管理者に通知したり（「検知」）、問題のあったエンドポイント（端末）をネットワークから切り離したり、遠隔操作することができます（「封じ込め」）。テレワークの普及などで一つの場所で社員全員が仕事をする勤務形態が崩れ、社員の誰かがサイバー攻撃を受けてもただちに検知できなくなっている中で、多くの企業がEDRの導入を検討すべき時期に来ていると言えるでしょう。

ウイルス駆除は「対策」の一部にすぎない

　「防御」を破られた後の対策として、「検知」と「封じ込め」の次にくるのが「対策」です。ウイルス対策ソフトによるウイルス駆除も「対策」の一つですが、これだけでは足りません。ウイルス感染したパソコン以外にも感染が広がったパソコンやサーバがあるかもしれないからです。社外にもメールの添付ファイルでウイルス感染が拡大している可能性もあります。「対策」は「応急措置」、「関係者通知」、「根本解決」、「再発防止」の四つのフェーズに分けて考える必要があります。「応急措置」では、ウイルス感染が確認されたパソコンやモバイル端末をただちにネットワーク切断すること、ウイルス対策ソフトで駆除することなどがあげられます。「関係者通知」はウイルス感染が拡大してしまいそうな関係先に注意喚起や対策提案を通知することです。具体的には自社からのメールやＷｅｂサイトにしばらくアクセスしないように、電話やその他安全確認できた通信手段で伝達することなどが考えられます。関係先にも被害が発生した場合にはお詫びと損害賠償を行う必要もあるかもしれません。「根本解決」と「再発防止」ではソフトウェアのぜい弱性の修正などウイルス感染などが起きてしまった原因を特定し、再発防止も含めて業務手順の見直しやソフトウェア変更など根本的な対策を講じることになります。

「検知」「封じ込め」を担うSOCベンダーを活用

　社員や情報機器の増加や、勤務場所や形態の多様化などによって、「検知」「封じ込め」を自社対応するのがますます困難になっています。そこで、「検知」「封じ込め」を24時間365日体制で担ってくれるSOC（Security Operation Center）と呼ばれる支援ベンダーに注目が集まっています。

「対策」には自社組織としてのCSIRT立ち上げが必須に

　「応急措置」、「関係者通知」、「根本解決」、「再発防止」を行う「対策」では、どうしても自社の内部事情に精通する自社組織が必要になります。日常から自社においてどのような事件事故が起きる可能性があるのかについて把握して、事件事故が起きた時の対応手順を策定しておき、いざ事件事故が起きた時は冷静に必要な行動を指揮・誘導できるCSIRT（Computer Security Incident Response Team）の立ち上げを進めている企業が増えています。CSIRTについては回を改めて解説したいと思います。

＜執筆者＞

 こんなに危険、甘いパスワード設定

高度化するパスワード攻撃の手口

避けるべきぜい弱なパスワード

安全なパスワードは英大小文字＋数字＋記号で10桁以上

覚えやすくて推測されにくいパスワードの作り方

最近のトピックから―Googleドライブの「リンクを知っている全員」による情報共有―

最近のトピックから―PPAPの終焉―

＜執筆者＞

安全だったものがいつ危険になってもおかしくない

ぜい弱性対策情報データベースJVN iPedia（https://jvndb.jvn.jp/index.html）のWebサイトを見ていると、いかに多くのぜい弱性が毎日見つかっているかに驚かされます。MicrosoftやGoogleのようなメジャーなベンダーのソフトウェア製品であっても、発見されたぜい弱性を放置していれば、不正アクセスされるのをただ待っているだけのような危険状態に陥ってしまいます。困ったことに情報セキュリティソフトも例外ではなく、絶対に安全という言えるものは何一つないのです。ソフトウェアの最新化を怠らないようにしてください。

クラウドサービスやレンタルサーバすら安心できない

MicrosoftのOneDriveやGoogleDriveといったクラウドサービスにもぜい弱性が発見されることがあります。ホームページを置くだけのレンタルサーバであっても、WordPressのぜい弱性のために多くのWebサイトが不正アクセスされて改ざんや情報漏えいされる事件が起きています。対策としてはやはり、クラウドサービスやレンタルサーバといった委託先がソフトウェアの最新化を徹底しているか確認することが必要になります。

内部の人も組織も機器も安心できない

いつ危険になるかわからないという意味では、人も組織も機器もです。機密情報を扱える社員が異動、退職するだけでなく、最近では副業することもあり得るでしょう。ある部署が社外と協業することになった場合、共有していい情報とだめな情報がきちんと区別できているでしょうか。機械設備もIoT化とネットワーク化が進んでおり、今やロボット掃除機や湯沸かし器すらスマホからリモートコントロールできます。工場やオフィスにある機械設備が乗っ取られて人命すら危険にさらされるかもしれないのです。

DXの進展が想像できないほどのぜい弱性を生み出すことに

国をあげてDXデジタル・トランスフォーメーションが推進されている中で、部署の壁や企業の壁を越えて連携が行われるようになっています。今まで以上に人や組織、機械設備、ソフトウェア、クラウドサービスなどの共有や相互利用が進んでいくことが推測できます。

DX時代の企業はこれまで予測もしなかったぜい弱性と取り組まなければならなくなるでしょう。

境界型セキュリティの限界

視点を切り替えて、情報セキュリティの現状に目を向けてみましょう。従来からある境界型セキュリティでは、ネットワークを「信頼できる側」と「信頼できない側」に分けることによって、「信頼できる側」を守ろうとします。そのため、「信頼できる側」と「信頼できない側」との間の境界にファイヤーウォールなどの情報セキュリティ機器を設置することで境界をつくります。内と外との接点、交流が限定的であったDX前の時代であればそれでも十分だったと言えます。

内と外との境界があいまい化する時代に

しかし、DX推進が加速する現代社会では「信頼できる側」と「信頼できない側」に分ければよいという考え方で済むほど簡単なものではありません。社員が自宅や喫茶店、ホテルや駅、空港など様々な場所で仕事をするテレワークの普及や、派遣社員やアルバイト、副業、フリーランスなど様々な働き方の登場、さらには企業間で情報共有が行われるコラボレーションプロジェクトなど、もはやファイヤーウォール一つで企業内外を分けることなど不可能になってきているのです。

社内LANとクラウドのどちらが安全か

古い情報セキュリティポリシーを持つ企業では、クラウドは危ないから使うなと命じている場合があります。しかし、誰もが簡単にアクセスできて自由にファイルを読み書きできるファイルサーバと、ログイン認証とアクセス制限で守られているOneDriveやGoogleDriveなどのクラウドディスクのどちらが安全でしょうか。大切なお金をタンス貯金にするべきか銀行に預けるべきかを考えれば答えは明白でしょう。

何も信頼しないゼロトラストへ

内と外との境界があいまい化していくDX時代に向けて、何も信頼しないゼロトラストが注目されています。ゼロトラストでは社内からのアクセスであっても社外からのアクセスと同様にログインチェックし、社員であっても不適切なアクセスは拒否します。反対にどこからアクセスしようともログイン認証されれば、暗号化通信によって安全にシステム利用することができます。

責任権限の明確化から見直そう

あらゆるサーバがクラウド化する中で、どこからでも社内システムにアクセスできるようになっていきます。それと同時に自分が自分であることを証明するユーザIDとパスワードの重要性が増すと同時に、成りすましを防止するためのワンタイムパスワードなどを利用した二要素認証の導入が進むでしょう。また、正当なユーザであっても不適切なアクセスを排除するために、そのユーザがアクセスできるシステムやデータの範囲を責任権限に応じて制限することが必要になります。不必要なアクセス権限を与えられないことによって、誰もが責任権限を超えた不適切なことができなくなるため、怪しまれることなく安心して仕事に専念できることにもなるのです。

ぜい弱性対策とSBOM

DX時代の情報セキュリティ対策として、もう一つ大きなトレンドが起きようとしています。それはSBOM（Software Bill of Materials：ソフトウェア部品表）という考え方です。

昨年2023年7月に経済産業省から「ソフトウェア管理に向けたSBOMの導入に関する手引き」（https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html）という文書が発行されました。これは2021年5月に米国で策定された大統領令「Improving the Nation’s Cybersecurity」（国家のサイバーセキュリティの強化)を受けてのものです。

これらは、クラウドサービスを含むソフトウェア製品には多くのソフトウェア部品が使用されており、特に自己責任でのメンテナンスが必要とされるOSSオープンソースソフトウェアのぜい弱性が放置されることが危惧されるため、SBOMソフトウェア部品表を作成・維持することでソフトウェア最新化を徹底させようとするものです。

OSSオープンソースソフトウェアのようにソフトウェア部品を外部調達することで生まれるソフトウェアサプライチェーンが当たり前になっている中で、一つの不良ソフトウェア部品が社会全体に大きな影響を与える危険性を考えれば、DXの進展はチャンスとリスクを併せ持つ諸刃の刃とも言える取り組みと言っても過言ではないでしょう。

情報セキュリティ強化なしでのDX推進はあり得ない

DXを推進するならば情報セキュリティの強化は避けて通れません。もはや従来の境界型セキュリティでは自社も顧客も取引先も守ることは不可能です。ゼロトラストへと舵取りすることは企業防衛という意義にとどまらず、安全に協業、取引であることを示す未来牽引企業としてのDXパスポートとも言うべき価値があるのです。

＜執筆者＞

MBA 、技術士（経営工学・情報工学）、情報処理安全確保支援士　杉浦　司

『消費を見抜くマーケティング実践講座』（翔泳社※ユニクロ柳井社長推薦）、『 IT マネジメント』（関西学院大学出版会※ユニクロ岡田 CIO 推薦）、『情報セキュリティマネジメント』（関西学院大学出版会※ NTT ラーニング推薦）、『戦略マネジメント』（関西学院大学出版会）等著書多数。

 AppGuardは許可されたアプリケーション以外の起動を阻止します。

許可されていないアプリケーションは安全ではないとみなすためです。

しかし、運用上AppGuardの保護を有効にしながら

特定のアプリケーションは起動許可したい場合があると思います。

今回は一番スタンダードな起動許可方法についてご説明いたします。

AppGuardのHDDの監視方法

AppGuardにはユーザ領域とシステム領域があります。

システム領域：起動可能・書込み不可

ユーザ領域：起動不可・書込み可能

PCのHDDをどちらかに所属させることでウイルスが攻撃してきた場合に以下の仕組みで防御します。

・システム領域には書き込みができないため侵入できない

・ユーザ領域に侵入できても起動が出来ない

ユーザ領域にアプリが配置されているケース

ユーザ領域はデスクトップやマイドキュメントなど一般的なユーザが作業を行うために利用する場所や

Cドライブ以外のDドライブやEドライブなどが該当します。

AppGuardを導入する前に例えば以下のように

ユーザ領域であるマイドキュメント配下やCドライブ以外にプログラムを配置しているケースがあります。

マイドキュメントに配置されている例

　C:\Users\user1\Documents\業務アプリ\nichiji.bat

Dドライブに配置されている例

　D:\Java\java.exe

その場合、AppGuardの保護モード下で起動が出来ずに業務に支障が出る可能性があります。

デフォルトエンクレーブで解決

ユーザ領域上のアプリケーションを起動許可するには

デフォルトエンクレーブにてアプリケーションを設定する必要があります。

具体例を以下に示します。

まず、AGMSにログインしデフォルトエンクレーブにて以下の階層でフォルダを作成します。

UserProfile

　→MyDocuments

　　→業務アプリ

次に作成した「業務アプリ」フォルダに「nichiji.bat」を追加し、起動許可にチェックを入れます。

この様に設定し、ポリシー配信することでユーザ領域から指定したアプリケーションのみ起動許可することが出来ます。

是非御社環境でお試しください

今回は一番スタンダードなアプリケーションの起動許可方法をお伝えしました。

文字で読むとイメージが付かないかもしれませんが

無償でのお試し期間（詳細はこちら）を利用していただければ

実際に御社の端末にて体験していただくことが出来ますので

是非お問い合わせください。

↓お問い合わせはこちら↓

お問い合わせ

端末を別のポリシーで運用する

AppGuardではグループを作成し、グループごとに異なるポリシーを作成することが出来ます。

例えばグループを営業部、販売部、総務部などに設定し、

各部の端末利用状況に合わせてポリシー設定をすることで

きめ細かく利便性とセキュリティのバランスを取っていくことが可能です。

（詳細はこちらを参照してください。）

そのような運用を続けていくうちに端末を異なるグループに移動させたい場面が出てくるケースがあります。

その場合AppGuardのポリシーを1から異なるグループ向けに再設定する必要はありません。

今回はAppGuardの管理コンソールの機能「タスクリスト」についてご紹介したいと思います。

タスクリストで解決

「タスクリスト」はAppGuardのグループに所属している端末を別のグループに移動させることが出来る機能です。

例えば以下のような場合に便利に利用していただけます。

部署ごとにグループを設定しているが端末を別部署に移動させたい

テスト的に作成したグループに数台端末を移動してポリシーの検証をしたい

一時的に異なるポリシーで運用し、期間が過ぎたらまた元のポリシーに戻したい

実際の手順

タスクリストを実行するには管理コンソールにログインします。

移動元のグループを選択し、タスクリストメニューから以下の画面を表示します。

ここでは以下を選択することが出来ます。

・移動先のグループ（画面項目名：グループに移動するコンピューター）

・移動する端末（画面項目名：選択されたコンピューターのリスト）

ポイントは以下の2点です。

作成済みのグループが自由に選択できる

移動させる端末を自由に選択できる

つまり、グループAに１００台端末が所属している場合にグループBに1台だけ移動するということが可能です。

このことにより、試験的に数台のみ新しいポリシーを適用したり、特定の端末にのみアプリケーションの利用を許可することが出来ます。

また、ログモード（実際にブロックしない）で動作するグループを作成し、ログのみ取得することも可能です。

御社の環境で実際に体験してください

今回はタスクリストの利用方法をご紹介させていただきました。

無償でのお試し期間（詳細はこちら）を利用していただければ

実際に御社の端末にて体験していただくことが出来ますので

是非お問い合わせください。

↓お問い合わせはこちら↓

お問い合わせ

AppGuardログを活用

AppGuard （Enterprise/Small Business Edition）では導入端末を管理コンソールにて一括管理することが出来ます。

その際に各導入端末にてAppGuardが検知したアプリケーションの挙動をログにて確認する事が出来ます。

管理コンソールでログを確認する機能を「ログビューアー（Log Viewer）」と呼びます。

ログ検索条件

ログは以下のような項目を複数指定して検索することが出来ます。

・日時

・コンピューター

・ユーザー

・グループ

　・・・etc

そのため、該当のPCやユーザ単位で素早くログを検索することが可能です。

ログ出力の内容

ではどのようなログが出力されるのか具体例でご紹介したいと思います。

管理コンソールでログを検索するとリスト形式で表示されます。

以下はリストの例です。

リストに表示されている「詳細」ボタンを押下すると

イベントの詳細情報が表示されます。　

ログの内容から

・実行アプリケーション

・実行フォルダパス

・書込み先フォルダパス

などを割り出すことが出来ますので、

現象の原因に素早く対処することが出来ます。

活用事例とメリット

ログの具合的な活用方法としては以下が挙げられます。

・AppGuardによるアプリケーション起動ブロック時の対応

・AppGuardによるアプリケーション書込み阻止時の対応

・端末ごとの挙動の監視を行う

AppGuardのログをうまく活用することで

管理者の負担を軽減し、利用者のニーズに素早く応えることが出来ます。

運用のヒント

ユーザからの依頼でログを検索する際は以下の項目を押さえておくとよいです。

・発生日時（時分まで）

・端末名

・ユーザ名

逆に言えば、ユーザがPCに詳しくなくても、ある程度状況が分かっていれば管理者側で現象を把握することが出来ます。

AppGuardにはPoC（詳細はこちら）と呼ばれるライセンスの無償評価期間がございますので

是非貴社環境で実際にログを確認していただければと思います。

↓お問い合わせはこちらまで↓

お問い合わせ

セキュリティ製品を導入すると自由が無くなる？！

AppGuardを導入していくうちに、ユーザ様にはセキュリティ製品に対する共通の悩みがあることが分かってきました。

それは「セキュリティ製品を導入するとユーザの操作に自由が無くなり運用が厳しくなる」ということです。

今回は様々なケースを挙げながらAppGuardがどう対応しているかをお伝えしたいと思います。

Case1：セキュリティ対策をしない場合

まず説明のために、セキュリティ対策をしない場合を想定してみます。

ユーザ、管理者のPCがウイルスに感染した場合、PCの破壊、データの流出などが発生します。

そのため業務が継続できなくなり、場合によっては損害賠償が発生したり

企業の社会的な立場まで脅かされてしまうケースがあります。

そのため、現在では企業は何らかのセキュリティ対策を講じていることがほとんどですが

次に述べるような課題が出て来ています。

Case2:ユーザは決まったアプリケーションしか利用できない場合

セキュリティ製品導入に伴い、PCには何らかの制約がかかることがほとんどです。

それはウイルスも業務アプリケーションも

PCから見ると同じ「プログラム」なので等しく監視対象としてしまうからです。

その場合決まったアプリケーションのみ動作を許可する事が一般的ですが

ユーザにとっては自由にインストールや作業が出来ない事があり利便性が下がります。

また、管理者はユーザの作業がストップするたびに対応が必要なため非常に負担が高くなってしまいます。

Case3：ユーザが自由にアプリケーションを利用できる

「それではセキュリティ製品を導入しながらも

ユーザが自由にアプリケーションを利用できるようにすればよいのでは？」

とお思いになるかと思います。

それを実現した場合、アプリケーションの起動許可を

ユーザの要求ごとに行う必要があるため

管理者の作業負担が格段に増えます。

また、万が一起動許可対象のアプリケーションが不正プログラムであった場合

セキュリティレベルが低下してしまいます。

Case４：AppGuardでセキュリティ対策

AppGuardでは管理者が

「ソフトウェアが保持しているデジタル署名の登録」

を行うことが出来ます。

デジタル署名は改竄が非常に困難であるため、

正規のソフトウェアであることを証明するためにソフトウェアに付与されます。

こちらはAppGuard管理コンソールに登録されたデジタル署名の一覧の例です。

管理コンソールに登録されたデジタル署名を保持したソフトウェアは

AppGuardインストールOS上でのプログラムの起動が許可されます。

起動フォルダが端末により異なっていても起動可能なので

端末側では「登録されたデジタル署名を保持しているソフトウェア」の

以下のような運用が可能です。

インストール

ユーザによる任意のフォルダ上への配置

マルウェアはそもそもデジタル署名を保持しているケースはほぼありません。

仮に保持していたとしても、管理コンソールに登録しなければ起動が許可されることはありません。

こうしてAppGuardを導入することで

セキュリティレベルが高く

管理者の負担が低く

ユーザの利便性が高い

セキュリティ対策を行うことが出来ます。

AppGuardの「デジタル署名の登録」について理解していただけたでしょうか？

無償でのお試し期間（詳細はこちら）を利用していただければ

実際に御社の端末にて体験していただくことが出来ますので

是非お問い合わせください。

↓お問い合わせはこちら↓

お問い合わせ

AppGuardインストールPCを一括で管理する

AppGuard （Enterprise Edition / Small Business Edition）では

各PCにインストールしたAppGuardエージェントが

インターネットを介してクラウド上のAGMSと通信します。

AGMSと通信することで現在AppGuardがインストールされているPCの情報を

AGMS上のリストで確認することが出来ます。

今回はリストの表示方法をご紹介したいと思います。

コンピューターリストの表示方法 

管理者の方がブラウザよりAGMSにログインします。

すると左ペインに「コンピュータリスト」メニューが表示されるので選択します。

対象の「グループ名」を選択し、「フィルターの適用」を押すと、

そのグループに所属する端末がリストで表示されます。

※グループに関してはAGMSで出来ること①～組織単位でのポリシー設定～を参照下さい。

検索条件はグループ以外にも「コンピューター名」や「ユーザ名」を指定して検索することもでき

管理作業が必要になった際に非常に便利です。

各PCの詳細情報を確認する

PCのリスト表示を行うだけでなく、各PCの詳細情報を確認することもできます。

PCのリスト１行1行に表示されている

「緑のボタン」を選択すると、対象のPCの詳細が表示されます。

詳細情報の内容は以下のようになります。

AppGuardライセンス割り当てPCを管理する

AppGuardは使用ライセンス数での契約となっています。

ライセンス数が超過する場合新たにライセンスを購入していただく必要があります。

そこで廃棄PCからはAppGuardのライセンス割り当てを外していただくと

契約していただいたライセンス数の範囲内で運用が可能です。

ただ、お客様から

「廃棄PCからいちいちAppGuardをアンインストールするのは手間である。」

というお声をいただきます。

そこで、

AGMSを利用すればアンインストールの必要なく

コンピューターリストからボタン一つで

AppGuardライセンスの割り当てを削除することが出来ます。

具体的な方法としては、PCのリストの1行1行に表示されている

「赤のボタン」を押すと、コンピュータリストから端末を削除できます。

御社の環境で実際に体験してください！

今回はPCリストの表示方法と利用方法の一部をご紹介させていただきました。

無償でのお試し期間（詳細はこちら）を利用していただければ

実際に御社の端末にて体験していただくことが出来ますので

是非お問い合わせください。

↓お問い合わせはこちら↓

AppGuard Enterprise/Small Business Edition には

「AGMS（AppGuard Management System）」と呼ばれる管理コンソールがあります。

※AppGuard Soloにはございません。

管理コンソールでは以下の例のようにAppGuard導入端末を一括管理する事が出来ます。

・AppGuardを導入している端末を一覧で確認

・各端末からログを収集し、「どの端末上で、いつ（時分秒）、どんな動作」がAppGuardにより制御されたか検索する

・ポリシーグループに端末を所属させることで組織ごとのポリシー設定を実現

今回はポリシーグループについてお伝えしたいと思います。

組織単位のポリシー設定が可能

 セキュリティ製品を導入したものの業務アプリケーションの動作が阻止されてしまい

「業務が止まってしまった何とかしてほしい」と問い合わせを受けて、

あわてて対応した経験はありませんか？

セキュリティレベルを高く保つためには仕方がないと理解はしていても

頻繁に業務が停止してしまっては本末転倒です。

この問題を解決するには、セキュリティ製品導入時の事前の調査とポリシー設計が重要となります。

セキュリティ製品には業務に沿ったルールの設定が必要

なぜセキュリティ製品は業務アプリケーションの起動を阻止するのでしょうか。

答えは起動阻止される業務アプリケーションはセキュリティ製品のルールに則っていないためです。

例えばAppGuardならMicrosoft系の製品（Windows UpdateやOfficeなど）の動作を阻害しません。

これはAppGuard内ですでにMicrosoft系の製品の動作を許可する設定になっているからです。

しかし、例えば自社でしか使用していない「〇〇社ツール.bat」などは一般的に知られていないため

製品出荷時に許可設定を組み込むことは不可能です。

さらにウイルスも業務アプリケーションも「プログラム」という観点では同じです。

そのためAppGuardでは「許可されていないアプリケーションはすべて実行不可」として

ウイルスの動作を封じ込めているのです。

起動許可のポリシー設定で解決

ではどうすれば業務アプリケーションを起動させながらセキュリティレベルを保つことが出来るのでしょうか。

それには製品にルールを作成する必要があります。

すなわち

「〇〇社ツール.bat」は「起動許可」

というポリシー設定を行っていくのです。

AppGuardのポリシー設定はファイルやフォルダ単位で設定することが出来るので

セキュリティレベルを可能な限り保ったまま必要な部分にだけピンポイントで設定することが出来ます。

ファイル/フォルダの読み書き設定も可能

さらにAppGuardでは実行許可だけでなくフォルダやファイルへの

読み込み許可／書き込み許可を設定することもできます。

重要なファイルが配置されているフォルダは「読み込み不可」

書き込み不可領域のフォルダ上の特定のログファイルだけ「書き込み許可」

など柔軟に対応することが出来ます。

ポリシー設定の検討タイミング

AppGuardのポリシー設計・設定はPoC（詳細はこちら）や契約後の導入支援（詳細はこちら）のタイミングで行います。

大まかな方法としては、対象の機器にAppGuardがインストールされた状態で、

お客様に業務アプリケーションを操作していただきます。

その状態から出力されたAppGuardのログを弊社側で分析・ご報告を行い、

お客様でのポリシー設定・設計を支援させていただきます。

端末やサーバのアプリケーションの状況に応じてポリシー設計をすることで

貴社の運用にぴったりフィットしたポリシー設定が完成していきます。

経験豊富なスタッフにより導入成功を支援

タイトルのセキュリティ製品導入成功の鍵は？に対する回答である

セキュリティ製品導入時の事前の調査とポリシー設計についてご理解いただけたでしょうか。

弊社では経験豊富なスタッフが貴社の環境に最適なポリシー設計を支援させていただきます。

また製品の設定方法をレクチャーさせていただき

お客様がAppGuardの運用を独自で行うことが出来るようにサポートさせていただきます。

まずはお気軽にお問い合わせ下さい。

↓お問い合わせはこちら↓

お問い合わせ

今回はAppGuard  Enterprise Edition 及び Small Business Edition の

PoCについてご説明させていただきます。

１．評価ライセンス申し込み

評価ライセンスを弊社スタッフ経由で申し込みしていただきます。

まずは↓お問い合わせボタン↓よりお気軽にご連絡下さい。

お問い合わせ

ライセンス発行まで数日お時間をいただきます。

【対象期間】

評価ライセンス発行日から３０日

【貸出可能ライセンス数】

導入予定台数によって異なりますのでお問い合わせください。

２．評価ライセンスお届け

評価ライセンスが発行されましたらメールにてお届けさせていただきます。

管理コンソールURL、ログインID、パスワード等もこの時に一緒にご連絡差し上げます。

３．管理コンソールログイン

AppGuard管理者の方は管理コンソール（AGMS）にログイン出来ることを確認していただきます。

管理コンソールではAppGuardインストール端末を一括で管理することができます。

また業務アプリケーションを動作させるためのポリシー設定を行うことが出来ます。

４．端末へのインストール

AppGuardを貴社端末にインストールしていただきます。

インストール後はネットワークに接続次第、自発的に管理コンソールに接続し

自動でログのアップロードやポリシーのダウンロードを行います。

５．評価実施

AppGuardがインストールされた各端末にて操作をしていただきます。

また、管理コンソールにてログやポリシー設定方法を確認していただきます。

評価方法は以下の2パターンから選択していただくことが可能です。

評価の観点は以下の４つです。

必要な物だけ選択いただいてもすべて実施いただいても結構です。

A　操作方法の確認、ポリシー設定方法の確認、どのようなログが出力されるかの確認

　　　→こちらを選んでいただいた場合「AppGuardログ分析レポート」を無償で提供いたします。

　　　　また、レポート内容に基づいたポリシー設定案の提案も可能です。

B　インストール手順の確認、AppGuardの動作の確認、PC負荷の確認

C　ポリシー設定による業務アプリへの影響の確認（お客様環境への影響の確認）

D　検体（ウイルス等）利用による防御状況評価

　　　（検体の入手やリスク管理など弊社では支援が難しく、お客様にて実施をお願いしています。）

評価のコツは普段使用している業務アプリケーションなどをなるべくたくさん操作していただき

AppGuardとの相性を確認することです。

ここでしっかりアプリケーションを操作していただくと本番導入後にPoCで評価しきれなかった操作が発生し

AppGuardの保護が想定外に動作してしまうことを防ぐことが出来ます。

期間はおおよそ1か月ほど実施していただければ十分評価することが出来ます。

評価期間が完了したらご契約の判断をしていただきます。

６．ライセンス購入＆導入支援ご契約

PoCにてご納得いただいた後ライセンスの購入と導入支援のご契約（有償）となります。

導入支援サービスにより導入時および導入後にサポートをさせていただき

貴社のAppGuard展開成功に向けてお手伝いさせていただきます。

（導入支援サービスの詳細な内容はこちらを参照して下さい。）

PoCの流れについて少しでもご理解いただけたでしょうか？

気になる点がある場合はまずはメールにてご相談下さい。

弊社スタッフからご連絡させていただきます。

↓お問い合わせはこちら↓

お問い合わせ

 今回はAppGuard Soloのトライアルについてご説明させていただきます。

１．評価ライセンス申し込み

評価ライセンスを弊社スタッフ経由で申し込みしていただきます。

まずは↓お問い合わせボタン↓よりお気軽にご連絡下さい。

お問い合わせ

ライセンス発行まで数日お時間をいただきます。

【対象期間】

評価ライセンス発行日から３０日

【貸出可能ライセンス数】

導入予定台数によって異なりますのでお問い合わせください。

２．評価ライセンスお届け

評価ライセンスが発行されましたらメールにてお届けさせていただきます。

インストール媒体は指定のURLよりダウンロードしていただきます。

３．インストール

貴社端末にAppGuardをインストールしていただきます。

インストールが完了次第AppGuardの保護が開始します。

業務アプリケーションを阻止する場合はポリシー設定を行っていただきますようお願いいたします。

４．評価実施

評価のコツは普段使用している業務アプリケーションなどをなるべくたくさん操作していただき

AppGuardとの相性を確認することです。

ここでしっかりアプリケーションを操作していただくと本番導入後にPoCで評価しきれなかった操作が発生し

AppGuardの保護が想定外に動作してしまうことを防ぐことが出来ます。

期間はおおよそ1か月ほど実施していただければ十分評価することが出来ます。

評価期間が完了したらご契約の判断をしていただきます。

５．ライセンス購入

ライセンスを購入いただき本稼働となります。

トライアルの流れについて少しでもご理解いただけたでしょうか？

気になる点がある場合はまずはメールにてご相談下さい。

弊社スタッフからご連絡させていただきます。

↓お問い合わせはこちら↓

お問い合わせ

AppGuard製品は無償評価ライセンスを使用して

購入前に実際に貴社環境で使用していただくことが可能です。

今回は評価ライセンスを使用したPoCについてご説明させていただきたいと思います。 

PoCとは何か？

PoCはProof of Conceptの略であり、検証工程のことを指します。

AppGuard導入の流れの中には（詳細についてはこちら）

PoC（無償評価ライセンスによる検証工程）がございます。

無償評価ライセンスを使用して実際の操作感や端末やネットワークへの負荷などを

貴社環境にて体験していただくことが可能です。

また操作方法やインストール方法、ログの見方をお教えするなど

弊社では貴社で行うPoCを支援させていただくことが可能です。

PoCの必要性

各製品ごとに重みづけが異なります。

推奨：AppGuard Small Business Edition

推奨：AppGuard Enterprise

必須：AppGuard Server

※AppGuard Soloは評価ライセンスの貸し出しのみとなります。詳しくはこちら。

重みづけが異なる根拠としては製品ごとに対象ユーザ数が

異なるため影響範囲が広いほどPoCの必要性が高まります。

PoC内容

各製品ごとに内容が異なりますので以下のリンクよりご確認下さい。

AppGuard Enterprise 及び AppGuard Small Business Editionについてはこちら

セキュリティソフトの購入を考えているけれど

ソフト自体の知識をほとんど持ち得ない状態で

自社への導入を成功させることなんてできるのだろうか。。。。

そんなお悩みをお持ちの管理者の方がたくさんいらっしゃると思います。

今回はそんなお悩みのアンサーとなる

「導入支援サービス」についてご紹介させていただきます。

導入支援サービスとは

一言で申し上げると

「IT技術者が一緒にAppGuardの導入をサポートするサービス」

です。

AppGurd製品には導入の流れがございます。（詳細についてはこちら）

もう少し具体的に申し上げますと

AppGuard Enterprise および AppGuard Small Business Editionは

管理コンソールを使用して多数の端末を統合管理しセキュリティ対策を行うため

ただ端末にインストールして終わりというわけではなく、

アプリケーションとの相性を確認したり、ネットワーク調整、管理ツールの習得など様々なタスクが発生します。

（ただし、そこまで煩雑なものではなく一度設定してしまえば変更不要の物がほとんどです。）

弊社では30年以上に渡るシステム設計開発の経験がございます。

AppGuard担当技術者も単に製品の知識だけではなく

システム全体の環境や背景、運用状況、アプリケーションの仕組みまで

幅広く勘案して支援にあたることが可能です。

サービス内容の概要

支援期間で行うこと

上記「サービス内容の概要」で記載した内容をベースとして

お客様の要求レベルに合わせてきめ細かく支援いたします。

例１：IT担当ではあるが導入に関して自信がないお客様

　→サイバーセキュリティーの最新動向を踏まえながら１から製品のご説明をさせていただきます。

　　また、問い合わせ回数などに制限がないので期間中は納得いただけるまで何度でもご質問いただけます。

例２：すでに十分に知見をお持ちのお客様

　→サービス内容の型にはまらず、必要な情報を必要な時に提供させていただきます。

　　メーカーと連携していますのでアドバンスドな設定内容やご要望にも対応可能です。

それぞれのお客様に合わせたサポートを行いながらも共通の目的としては

お客様の業務を止めることなく、

信頼できるアプリケーションのみを稼働させるための

ポリシー設計・設定の支援

を行うことを目指しています。

導入支援により得られる効果

一番大きな効果は

「AppGuard導入をスムーズに成功させることが出来る」

ことです。

貴社のシステム構成や状況に合ったサポートをさせていただきますので

一般的なマニュアルを貴社の状況に合わせて読み替えなくても

経験豊富な技術者がサポートさせていただきます。

その他にも

・マニュアルだけでは得られることができないTipsが技術者から得られる

・問題が発生した場合に類似の事象を検索することができ解決がスムーズ

など単にライセンスを購入しただけでは得られないメリットがたくさんあります。

製品やサービス内容についてご説明させていただきますので

まずは「お問い合わせ」をいただければと思います。

↓お問い合わせはこちら↓

セキュリティソフトの導入を考えてはいても、自社だけで無事に展開できるのかと不安に思うこともあるかと思います。

今回は弊社がどのようにしてAppGuardを導入する際にサポートをさせていただいているか

大まかな流れをご説明させていただきます。

１．AppGuard要件ヒアリングとご説明（無料）

当HPの「お問い合わせ」ボタンからお申込みいただきます。

受付後、弊社担当者から入力いただいたメールアドレスにご連絡させていただきます。

その後日程を決定させていただきAppGuardの要件ヒアリングとご説明を実施します。

（基本的にWeb会議での対応となります。ご要望があれば現地での説明も可能です。（要相談））

また、貴社の導入に関してお見積りをさせていただきます。

２．PoC（無償評価ライセンスによる検証工程）

導入前に2週間～１か月程度かけて無償評価ライセンスによる

PoC(Ploof of Concept:検証工程）を貴社端末にて実施します。

この工程を行うことで実際にAppGuardの貴社環境との相性と操作感の確認をしていただくことが可能です。

PoCは以下の2パターンから選択していただくことが可能です。

ディスカバリーモード

　アプリケーションやウイルスの動作を阻止することなくログのみ出力する。

　実施結果はログレポートにまとめ弊社スタッフがご説明させていただきます。

ブロックモード

　アプリケーションやウイルスの動作が実際の保護と同様に阻止される。ログも出力される。

　（正常な動作が阻害された場合、弊社にご連絡いただければ除外設定の対応を致します。）

※AppGuard Soloの場合はブロックモードのみとなります。

　また管理コンソールが存在しないためレポートの提示はございませんが、十分評価いただける内容となっております。

３．ライセンス購入＆導入支援契約

PoCにてご納得いただいた後ライセンスの購入と導入支援のご契約（有償）となります。

※AppGuard Soloの場合はライセンス販売のみとなり導入支援はございません。

　「5．導入後サポート」にて支援させていただきます。

４．導入支援

統合管理コンソールの使用方法、展開時のアプリケーション除外設定のご相談、など

弊社スタッフが親身になってお客様をサポートいたします。

※導入支援はライセンス費用とは別途で費用が掛かります。

　導入支援サービスの詳細な内容はこちらを参照して下さい。

5．導入後サポート

無事に導入が成功した後もサポートを行わせていただき、運用上の不安や疑問点をその都度解消していただくことができます。

セキュリティ製品にありがちな

ライセンス購入後ほったらかし

マニュアルが英語しかなく問い合わせ先もない

という事態を回避し、AppGuardを熟知したスタッフによるきめ細やかなサポートを提供いたします。

ご相談は無料ですのでお気軽にお問い合わせ下さい。

↓お問い合わせはこちら↓

お問い合わせ

マルウェアの中でも近年、急激に被害の数を増やし続けているのがファイルレスマルウェアです。
ファイルレスマルウェアとはどのようなマルウェアで、どのような仕組みによって攻撃を仕掛けてくるのか、企業が取るべき対処法とともにご紹介します。

気づかないうちに感染している？ ファイルレスマルウェアとは

ファイルレスマルウェアとは、「.exe」などの拡張子を持つ実行ファイルをインストールさせることなく、悪意のあるWebサイトなどを介してPCに感染し、不正な活動をするマルウェアです。

従来のマルウェアと違うのは、「PowerShell」などのWindowsに備わっている正規のツールを利用して、ディスク上に実行ファイルを生成するのではなく、メモリ上で不正なコードを実行して動作する点です。ステルス性能が高く、ファイルを残さないため、ファイルレスマルウェアと呼ばれています。

ファイルレスマルウェアの仕組み

ファイルレスマルウェアによる攻撃では、しばしばWindowsに標準で備わっているPowerShellやWindows Management Instrumentation（WMI）が利用されます。

PowerShellはWindowsに標準搭載されているシステム管理用のコマンドラインシェルでありスクリプト言語です。また、WMIはWindowsOSを管理するためのツールで、OS内のさまざまなコンポーネントに対して操作、列挙、対話などの処理を行うことができます。

ファイルレスマルウェアは、これらの正規のツールを巧みに悪用します。例えば届いたメール内のWebページのリンクをクリックすると一見、何の変哲もないページが表示されますが、実際にはFlash、またはPDFファイルを読むためのAcrobat Readerなどが立ち上がってPCのPowerShellが実行され、コマンド＆コントローラー（C&C）サーバーとの通信が始まります。C&Cサーバーとは不正なコマンドの実行などに利用される、いわばサイバー犯罪のために用意されたサーバーです。次にそのC&Cサーバーから勝手にダウンロードされたスクリプトが動作してPC内の重要データが抜き取られますが、そのための実行ファイルはディスク上には展開されず、再びPowerShellが使われてメモリ領域でコードが実行されます。

これがファイルレスマルウェア攻撃の大まかな仕組みです。最初のきっかけとなるのはメールにあったリンクをクリックしてしまうことですが、ほかにもメールに悪意あるコードが仕組まれたWordファイルやExcelファイルが添付されていることもあります。Wordの文書を開こうとして「コンテンツの有効化」のボタンをクリックすると、PowerShellを使用した不正なマクロが実行されて、同じようにC&Cサーバーとの通信が始まるという具合です。

ファイルレスマルウェアの脅威

上で触れているように、ファイルレスマルウェアはディスク上に実行ファイルを残すことがないためシグネチャ（識別情報）を捉えられず、一般的な「検知型」のセキュリティソフト（アンチウイルスソフト）では見つけることが困難です。

感染すれば、ほかのマルウェアと同様に、データの破壊、改ざん、遠隔操作による情報の剽窃などを行うことができます。ファイルを暗号化して身代金を要求するランサムウェアにも利用されます。しかし被害を受けた側は感染に気づくのが遅れるケースが多く、あとから痕跡を探し出すのも難しいため、非常にやっかいなマルウェアだといえます。

一方、攻撃する側からすれば、ファイルレスマルウェアによる攻撃はそれほど難しい技術を使うわけではありません。PowerShellやWMIなどは技術者によく知られた正規のツールであり、その機能をうまく利用していくぶん複雑なプロセスを実行しているだけです。また、メモリに常駐するタイプのマルウェアは15年以上前から確認されており、決して目新しい攻撃方法でもありません。ただし、そのやり方は時代に合わせて確実に進化しています。

ファイルレスマルウェア攻撃について企業が注意すべきこと

ファイルレスマルウェアの多くは企業の重要データを狙います。そのため業務でPCを使う者はファイルレスマルウェアの存在や脅威について十分な知識を得ておくことが重要です。

セキュリティ研修ではWebサイトにアクセスするときの注意点や、メールの添付ファイルの取り扱い方について学ぶ必要があります。安易にリンクをクリックしたり、添付ファイルを開いたりせず、マクロを実行するような指示にも従わないよう徹底しましょう。Windowsのアップデートを欠かさず、常に最新の状態にしておくことも基本事項です。また、多少の不便が生じることを前提に、PowerShell、WMIなどのツールを無効化する方法もあります。

もっと効果的なのは、一般的な「検知型」や「ホワイトリスト型」のセキュリティソフトとは別に、ファイルレスマルウェアに対応したセキュリティソフトを導入する方法です。ファイルレスマルウェアに対する防御機能を持つセキュリティツールを導入すれば、その脅威を遠ざけられる可能性があります。

ファイルレスマルウェアは従来のセキュリティ対策では非常に検知・防御が難しいサイバー攻撃であり、現在では多くの攻撃者が好んで使うポピュラーな手法となっています。

AppGuardはシステムに害を与えるプロセス動作を阻止する、あるいはOSやソフトウェアの正しい動作を守るなどの、従来のセキュリティソフトとは異なるアプローチでファイルやソフトウェアによる攻撃を防御するセキュリティソリューションです。ファイルレスマルウェアからシステムやデータを防御する方法を探しているなら、ぜひその強力な機能を試すことをご検討ください。

AppGuard Blog ファイルレスマルウェアとは？ 企業は何に注意すべきか 参照
https://www.blueplanet-works.com/column/anti-malware/fileless-malware/