次世代マルウェア対策製品 -...

© Hitachi Solutions, Ltd. 2017. All rights reserved.

次世代マルウェア対策製品CylancePROTECTのご紹介

第3.9.1版

株式会社日立ソリューションズ

先端セキュリティ開発部


Contents

1

1. マルウェア対策のポイント2. CylancePROTECTの特長3. 導入事例4. CylancePROTECTの概要


1.1 マルウェアを利用したサイバー攻撃の脅威

2

つまり

マルウェアは、サイバー攻撃のであり、

です。

高度化するサイバー攻撃


1.2 従来型マルウェア対策の限界

3

ネットワークセキュリティ対策および

パターンマッチング方式にて多層防御を実現しても

未知のマルウェアは防げない！

端末(エンドポイント)

正常なプロトコルで送られたマルウェアに対応できない

ネットワークセキュリティ

パターンマッチング方式

未知のマルウェアを検知できない

ファイアウォール

既知マルウェア

未知マルウェア

プロキシサーバ

ＩＰＳ／ＩＤＳＵＲＬフィルタリング

© Hitachi Solutions, Ltd. 2017. All rights reserved. 4

正規の業務と見分けがつかないメールや正規サイトの閲覧により

マルウェアが送られてくるため、侵入を防止するのは困難マルウェアの実行を防止することで、情報を流出させない

対策が有効

1.3 マルウェア対策のポイント

侵入を前提とした対策の実施

今やネットワークセキュリティ対策だけでは、マルウェアへの対応は限界

マルウェア感染リスクへの対処は、エンドポイントでの対策が重要

昨今のサイバー攻撃では未知のマルウェアが使用されているため、

パターンマッチング方式の従来のアンチウイルス製品では検知不可

エンドポイントで確実に対策

未知のマルウェアに対応した製品の利用


1.4 まだマルウェア対策を「既知」「未知」で区別してますか？

5

あなたがお使いのアンチウイルスソフトは、未知のマルウェアを対策できていますか？

「既知」も「未知」も「亜種」も同じマルウェア、同じセキュリティリスク

一つの製品で対策できた方がよくありませんか？

・パターンファイルがまだ作られていないマルウェア（未知のマルウェア）による攻撃が心配・・・

・未知のマルウェア対策製品を新規導入するにはコストも運用もかさむ・・・

未知のマルウェア

亜種のマルウェア

既知のマルウェア


Contents

6



2.1 CylancePROTECTとは

7

機械学習による先進的な検出エンジンを搭載、エンドポイントで未知マルウェアの脅威を抑止する

次世代マルウェア対策製品

AI技術（機械学習）を利用した独自のアルゴリズムで高い検知率を実現

パターンファイルを必要としない方式とクラウド環境による集中管理で運用負荷を低減

1

2


2.2 Cylance社について

8

■実績

✔北米中心に1,100以上の顧客、 6,000,000以上のライセンス✔年間成長率４００％（収益ベース）

✔業界標準のコンプライアンス準拠（PCI-DSS、HIPAA/HITECH）✔2016年 Gartner社

「Magic Quadrant for Endpoint Protection Platforms」に初選出（Top Visionary）

✔2016年4月日本初進出（日立ソリューションズが日本初の代理店）

■会社名/設立/従業員数

Cylance Inc.（米国） /2012年設立/従業員約500名

8

■特長

幹部はマルウェアの専門家。アンチウイルスメーカの元研究者も参加。●機械学習専門家多数（15名以上）●社長は、ハッキング技術専門家として有名（著書Hacking Exposedシリーズ）、講演多数。

McAfee Worldwide CTOの経歴あり。


2.3 従来型マルウェア対策製品との比較

9

「未知」のマルウェアに対応できないため、情報漏えいなどのリスクがある

パターンファイルは日々配信されるため、管理者がチェックする作業の負担が大きい

管理サーバをオンプレミスに設置する必要があり、維持管理コストがかかる

課題１

課題２

課題３

従来型マルウェア対策製品の課題

「既知」「未知」を問わず、マルウェアの高精度な検知が可能なため、セキュリティリスクを低減できる

パターンファイルは不要のため、管理者の負担が少ない

特長１

特長2

特長3

CylancePROTECTの特長

端末内スキャン時に動作が重くなり、業務効率への影響が大きい

課題４特長４

管理サーバをクラウドで提供しているため、運用管理コストを少なくできる

軽量なスキャンを実現することにより業務効率への影響が少ない


2.4 [特長1]機械学習による先進的な検出エンジン

10

機械学習による先進的な検出エンジンにより、「既知」「未知」を意識せずにマルウェアを検知

パターンファイル

不一致一致判定

従来型マルウェア対策製品 CylancePROTECT

不一致不一致

特徴


亜種のマルウェア未知のマルウェア


亜種のマルウェア未知のマルウェア

パターンマッチングで検知マッチングされず未検知

「既知」のパターンのみ

マルウェアの特徴で予測して判断。高精度で検知

「既知」「未知」を問わない

検出エンジン


2.5 [特長1]検出エンジンのアルゴリズム

11

収集抽出学習検知

収集したファイルから約700万の特徴を抽出

正常なファイルやプログラム

DOS HeaderNT HeaderSection HeadersExport DirectoryImport DirectoryResource DirectoryPacker Used

(イメージ例)

安全危険

Cylance社が取得している機械学習に関する特許技術を利用ファイルの特徴から高精度で予測して検知

下記サイクルで検出エンジンを作成Labで作成された検出

エンジンをPCにインストール

既知のマルウェア群

抽出した特徴をベクター化して、統計的なモデルを作成

人工知能を用いてマルウェアと判断するルールを学習

学習したルールに則ってマルウェアを検知

数億個総容量約8TB

大量のファイルを収集

最急降下法などの４つ以上のアルゴリズムによって集合モデルを作成

Cylance社のLab

特許技術

Agent

軽い早い

暗号化APIを呼び出しているか？危険なメモリアクセスを行っているか？等

特許技術

新しいファイルの特徴を数ミリ秒で多次元空間のモデルにマッピングし危険・安全を判断


CylancePROTECT

2.6 [特長1]未知のマルウェアを検知するイメージ

12

パターンで一致させるのではなく、数多くの特徴から予測し、未知のマルウェアも判断

■パターン

判定対象

判断不可

判断可能

分類円形度花びら比率色相 …バラ 0.81 0.74 0.02ヒマワリ 0.92 0.69 0.17アジサイ 0.78 0.83 0.67

…

■特徴

パターンの完全一致で判断

特徴から「類推」して判断

未知の品種も「予測」することで判断可能

従来型マルウェア対策製品誰にも知られていない品種や突然変異は、用意しようがない

判定対象

判断可能

判断可能


指名手配

2.7 [特長1]ＡＩのイメージ～犯罪者を漏れなく捕らえるには・・・？～

13

あなたは泥棒や万引き犯をどうやって捕まえますか？

変装、整形、etc… 泥棒(変装中) 実は万引き犯

怪しく見えないetc…

仮にあれば・・・

WANTED

怪しい行動ＤＮＡ判定

逃げられてしまう可能性は・・・逃げられてしまう可能性は・・・

サングラス短髪黒い服

ゼロに近い！

逃げられてしまう可能性は・・・

挙動不審万引き犯の行動パターン

ＤＮＡ検査で人物を特定

泥棒万引き犯一般市民

シロ判定！クロ判定！クロ判定！

仮にあれば・・・


正常マルウェア

ＤＮＡレベルで判定（※1）不正な通信を検出情報の大量コピー動作

パターンで一致

2.8 [特長1]CylancePROTECT はまさにＤＮＡ判定！

14

指名手配怪しい行動

パターンに存在しない亜種

パターンファイル振る舞い検知

振る舞い検知に検出されない未知のマルウェア

CylancePROTECT

ゼロに近い！

ファイルのパターンや振る舞いではなく、

ファイルのDNA（特徴）からマルウェアを予測して検知

（※１）ファイルを動かす前に、ファイルの構造（バイナリデータの特徴）から予測します。

逃げられてしまう可能性は・・・逃げられてしまう可能性は・・・逃げられてしまう可能性は・・・

シロ判定！クロ判定！クロ判定！

マルウェア


A

15

2.9 [特長1]米国各地での公開デモ～Unbelievable ツアー～

※：Cylance社が全米各地で公開実施している検証結果に基づいています。URL： https://www.cylance.com/events-on-tour

ＡＩ技術を用いた CylancePROTECT と

他製品の検知率の違いは一目瞭然！

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

A

B

C

パターンマッチング方式 A

平均52%

パターンマッチング方式 B

平均41%

パターンマッチング方式 C

平均21%


2.10 [特長2]パターンファイルに頼らない検知

16

パターン配信のタイムラグなく未知のマルウェアに迅速に対応

マルウェア発見

パターンファイル作成

危険安全

パターンファイル適用

マルウェア作成情報窃取情報窃取情報窃取攻撃者

AVベンダー

社内管理者

情報窃取

従来型マルウェア対策製品

CylancePROTECT 安全

時間


2.11 [特長2]モバイル利用でのメリット

17

モバイル利用でも安心オフライン環境でもマルウェア検知および隔離

■毎日のパターンファイル更新が不要→長期出張でも安心して利用可能

安心のモバイルワーク

空港自宅

HamburgerH

カフェホテル

オフラインでも動作

■エンドポイントで検知するため、オフラインでも動作→安心のモバイルワークを実現

●Cylanceクラウド接続しなくても検知＆隔離●社内ネットワーク接続しなくても検知＆隔離

接続しなくても動作


2.12 [特長3]クラウド環境による運用管理コスト低減

18

エンドポイントがどこにあっても一元管理サーバの運用管理・コスト負担低減

Cylanceクラウド

利用者

管理者

利用者

各種情報の管理

エンドポイントで検知社内ネットワーク未接続でも動作

利用者

分散拠点でも一元管理が

可能！支社

出張先

マルウェア感染状況端末の状態、等

本社

本社と異なるネットワークでも動作

クラウドで管理


2.13 [特長4]軽量な動作

19

ユーザ操作を阻害しないスキャン機能

従来型マルウェア対策製品 CylancePROTECT

ファイル実行時にスキャンファイルをダウンロード（ディスクに保存）した時にスキャン

定期的なディスクスキャンファイル保存時のリアルタイムスキャン

一斉に実行負荷を分散して実行

CPU使用率を占有しない。ユーザ作業への影響小

CPU使用率を占有しないように、スケジューリングして実行

→スケジューリング前にファイルを実行された場合は、即時にスキャンしますので、危険はありません。

CPU使用率を占有PCが重くなりユーザ作業に影響大

CPU使用率 CPU使用率


Contents

20



3.1 導入事例ヘルスケア業界

21

ヘルスケアサービス会社、 130万人以上の患者にサービス提供全米に400拠点、10,000台の端末

従来の課題

GW型マルウェア検知製品 + 従来型アンチウィルス製品で対策するも、

事業拡大と共にマルウェア検知後の対応業務が増え続け、

十分なリスク低減ができない状況に陥っていた。

解決策

事例１

事後対応アプローチの

限界

従来製品をCylancePROTECTにリプレース！

事後対応によるアプローチを止め、マルウェア感染を防御する事前対応に方針を変更。CylancePROTECTによる評価導入を実施。2週間の評価期間を経て、正式導入を決定（評価中に3種類の未知マルウェアをCylancePROTECTが検出・防御）端末に導入されていた従来型アンチウィルス製品を削除し、CylancePROTECTのみで端末のマルウェア対策を実施。


3.2 導入事例小売業界

22

小売業、1,000万人の顧客全世界に200拠点に店舗展開、5,000台の端末

従来の課題

数百万のクレジットカード情報の盗難被害により、会社の信用がダウン。

従来型アンチウィルス製品とB社起動制御製品による保護を行っていたが、

攻撃者はガードをすり抜けPOS決済サーバにマルウェアを

侵入させることに成功。

解決策

CylancePROTECTを導入し、既に端末に侵入していたマルウェアを検知し、

自動で隔離。

これまで導入していた従来型アンチウィルス製品とB社起動制御製品を

置き換える形で、全ての端末に正式に採用される。

事例２

POS端末へのサイバー攻撃による

被害

POS端末向けの導入実績あり！


3.3 導入事例保険業界

23

ニューヨーク証券取引所に上場している保険会社 6,500名の営業員、8,600台の端末

従来の課題

感染被害発覚後、外部機関によるアセスメントを実施し、即座に対策するよう通知を受ける。対策製品への要件として下記の3点を挙げ、「C社標的型攻撃対策製品」と「CylancePROTECT」の2製品の検証を実施。

１．攻撃の初期段階で用いられるマルウェアを即座に防御できること２．感染が判明していない端末に被害が及んでいないことを保証すること３．将来発生するマルウェアに対して既存の対策製品より効果的に検知、

防御できること

解決策

C社標的型攻撃対策製品（+従来型アンチウィルス製品）が導入された環境に、

追加でCylancePROTECTを評価導入。

評価中に、45分以内に30以上のマルウェアが

新規に検出され、その検知能力の高さを証明し、本格導入が決定した。

事例３

多数の端末へのマルウェア感染被害

評価で多数のマルウェアを検知！


3.4 導入事例教育業界

24

7,500名の学生を抱える大学 1,500台の端末

従来の課題

学内の端末がCryptoLockerと呼ばれるランサムウェア※に感染。

このマルウェアは、メールの添付ファイル経由で学内に侵入し端末に感染、

被害が拡大。既存のパターンマッチング型の対策では

新手のマルウェアを防ぐことができないと判断し、

対策できる製品を探していた。

解決策

CylancePROTECTを約60台の端末に評価導入。

4週間の評価中に、約30台の端末で既存の対策製品では

見つけられなかったマルウェアを検知し隔離。

この結果により、これまで学内で使用していたD社マルウェア対策製品を

置き換える形でCylancePROTECTを全面的に導入した。

事例４

ランサムウェアによる被害発生

※端末内のファイルを暗号化し、多額の金銭を攻撃者側に支払わないと復号用の鍵を受け取れないという、「身代金請求型」の悪質なマルウェア

ランサムウェアも問題なく検知！


Contents

25



Download

4.1 マルウェアの検知と隔離

26

■マルウェア(※)の検知タイミング

１．マルウェアがダウンロード（ディスクに保存）された時に検知２．実行形式のマルウェアが、実行される直前に検知

マルウェアの実行前に検知して隔離

ディスク保存時に検知して隔離！

更に

ファイルの実行前にも検知して隔離！

(※)CylancePROTECTは、実行形式のファイルに対して、検知と隔離を行います。

リアルタイムに実施

CPU負荷が軽い時に実施


4.2 簡単操作（エンドポイント）

27

■マルウェア検知時自動的にクラウドサーバに通知利用者がAgent画面から確認することも可能

CylancePROTECT Agentアイコン

アイコンをクリック

CylancePROTECT Agent画面

利用者の操作、利用者向けの教育も不要

バグフィックスや機能改善・機能追加等は、毎月自動的に実施


4.3 簡単操作（サーバ）

2828

管理者はWebブラウザでエンドポイントの状況を把握

■CylancePROTECT Console

ダッシュボード検知したマルウェアファイルの詳細一覧

管理しているデバイス詳細一覧ポリシー(検知だけなのか、

隔離までするのかなど）を設定


4.4 簡単導入

29

簡単で早い導入を実現

1 エンドポイント

2 サーバ

●インストーラを実行、インストールは数分で完了

・利用者が実行する形式→3～4画面程度で数分で完了

・サイレントインストール形式→配信インストールや、バッチファイルでのインストールも可能

●エンドポイントをインターネットに接続すると、ポリシーを自動的に適用→5～10分程度で適用され、CylancePROTECTが動作

●Cylance社が運営するクラウドサービスとして提供されるため、構築やメンテナンスは不要


4.5 システム構成

30

■構成以下のプログラムで構成

①エンドポイントに導入するAgent ＜インストール必要＞②エンドポイントで管理者が利用するConsole ＜インストール不要＞③Cylance社が提供するクラウドサーバ＜インストール不要＞

[注意事項]ユーザ認証が必要なProxy環境の場合は、クラウドサーバへの通信について、Proxyサーバでユーザ認証が不要な設定にしてください。

③Cylanceクラウド管理者

利用者

マルウェア活動前解析で９９％防御

利用者

脅威管理ポリシー管理クライアント管理ブラック/ホワイト

リスト管理

検体ログ送信検体送信

クライアント配布ポリシー配布

パターンファイル更新は不要

②Console ①Agentクラウドの集中管理により簡単導入

© Hitachi Solutions, Ltd. 2017. All rights reserved. 31

4.6 資産管理システム連携（Cylance＋JP1）

1 導入/アンインストールを支援、管理者の負担を低減

2 適用状態を適切に維持

●端末の詳細情報を収集、CylancePROTECT未適用の端末を見逃さない

●CylancePROTECTと入れ替える既存製品のインストール/アンインストールを支援

利用イメージ

配布対象の端末・・・

配布対象の端末

配布・インストール・アンインストール

管理者

既存マルウェア対策製品のアンインストールも可能※2

入れ替え対象のマルウェア対策製品CylancePROTECT

インストール用データ

リモートから一斉にインストール※1

※1 配布機能利用には配布対象の端末に弊社製品のエージェントプログラムをインストールする必要があります。※2 既存マルウェア対策製品や環境によってアンインストールできない場合があります。

管理用サーバ管理対象の端末

CylancePROTECTのインストール状況を一元管理

自動収集

CylancePROTECTをインストールしていないPCを発見

利用イメージ

JP１の配布機能


4.7 前提条件

32

・Windows XP(SP3)※1※2

・WindowsVista※2

・Windows7※2※4

・Windows8/8.1※2

・Windows10※2

・Windows Server 2003(SP2)※1※2

・Windows Server 2008/2008R2※2※5

・Windows Server 2012/2012 R2※3※5※6

・Mac OS X 10.9～10.12※7

※1. KB968730がインストールされていることが前提です。※2. 32bitと64bitに対応しています。※3. 64bitに対応しています。※4. Windows Embedded Standard 7にも対応しています。※5. Server Coreには対応していません。※6. Minimal Server Interfaceには対応していません。※7. case sensitiveフォーマットには対応していません。

・Internet Explorer 9/10/11・Firefox(最新バージョンに対応）・Google Chrome（最新バージョンに対応）

・2GB以上

・500MB以上

・Agentのインストールには、管理者権限が必要です。・他社製アンチウィルス製品と併用する場合は、特定フォルダを除外して頂くなどの対処が

必要な場合があります。・他社製メモリ監視製品（振る舞い検知等）との併用はできません。・対象OSにおいて、マイクロソフト社のサポートが終了しているものについては

障害発生時に調査ができない場合があります。

[Agentの対象OS]

[メモリ]

[ディスク]

（注）Linuxの対応計画もあります。

・.NET Framework3.5(SP1)以上

※.NET Frameworkの不具合等により、一部のWindows端末でCylancePROTECTが正しく動作しない事例があります。この場合は、レジストリの修正や、.NET Framework4.0以降をインストールして頂くなどの対処をお願いする場合があります。

[前提ソフトウェア]

[Consoleの対象ブラウザ]

[その他]


[補足]データ量

33

利用者

Agent

Cylanceクラウド

1 運用中に発生するデータ量

＜毎日発生する通信量＞約4[MB]（1日の平均値※1）

＜Agent更新で発生する通信量※2＞Windowsの場合約10～70[MB]Mac OSの場合約30[MB]

(※1)一度に4MB程度の情報がダウンロードされることもあります。

(※2)自動的にクラウドからダウンロードする場合。更新用インストーラを配布する運用も可能です。

利用者

Agent

2 Agent初回インストール時に発生するデータ量

＜Agentインストーラファイルサイズ※3＞exe(32bit/64bit) 約150[MB]msi(32bit) 約76[MB]msi(64bit) 約77[MB]dmg 約27[MB]pkg 約26[MB]

(※3)資産管理ソフト/媒体/共有フォルダ、等で配布して頂く運用を想定しています。

マルウェア検知情報端末情報、等

変更されたポリシーAgentの更新、等

管理者 CylancePROTECTインストール用データ

データ形式は、以下から選べます。＜Windows＞＜Mac OS＞①exe形式（32bit/64bit共通） ④dmg形式②msi形式（32bit） ⑤pkg形式③msi形式（64bit）

＜1分間隔で問合せ＞

次世代マルウェア対策製品 -...

Documents