サーバー総合セキュリティ 「Deep Security Cloud」

トレンドマイクロロゴ

「Deep Security Cloud」について

Deep Security Cloudロゴ

弊社の独自サービスである「Deep Security Cloud」は、「Trend Micro Deep Security as a Service」のライセンス導入から初期設定・アラート対応・セキュリティルールの追加・運用などの作業を、弊社エンジニアによる 24時間365日の電話・メール・チャットでのテクニカルサポートをマネージドで提供するサービスです。

「Trend Micro Deep Security as a Service」について

サーバーセキュリティに必要な7つのセキュリティ機能

オペレーションシステム・ネットワーク層・アプリケーション層におけるサーバーセキュリティに必要な7つのセキュリティ機能を一元管理で提供し、サーバーの多層防御を実現します。

提供する ” 7つ ” のセキュリティ機能

① 不正プログラム対策

マルウェア攻撃からの保護および、不正URLへのアクセスをブロックします。

Trend Micro の Smart Protection Network(SPN)を活用することで、最新の脅威情報を用いて不正プログラムを検知 / 防御することが可能です。

Smart Protection Network(SPN)の説明画像

② Webレピュテーション

不正なURLへの接続をブロックします。

サーバーからWebアクセスを行った場合に当該URLの安全性を確認し、それが不正であった場合は接続をブロックすることができます。

通常はユーザーがサーバーから故意にインターネットへ接続することはありませんが、不正プログラムによって、C&Cサーバーなどと接続されるケースがあります。
その場合には本Webレピュテーション機能によって不正な接続をブロックする必要があります。

Webレピュテーション機能の説明画像

③ ホスト型ファイアウォール

外部からの攻撃を受ける機会を軽減します。

レイヤー 2~4 をカバーする詳細なポリシー設定が可能です。

ホスト型であるためネットワーク外からの攻撃だけでなく、感染端末による社内ネットワークからサーバーへの通信防御を実現することができます。

また TCP / UDP / ICMP に関しては、ステートフルインスペクション機能でポリシー設定することも可能です。

ホスト型ファイヤーウォールの説明画像

④ IPS / IDS(侵入防御 / 侵入検知)

仮想パッチ技術(※後述を参照)を用いて、脆弱性を突いた攻撃からサーバーを保護します。

脆弱性が発覚してから正規パッチがリリースされるまでの間、仮想パッチ技術により、本脆弱性を衝くゼロデイ攻撃のリスクを軽減することが可能です。

通常は脆弱性が発覚してから正規パッチがリリースされるまでに数週間かかり、その間は本脆弱性をつく攻撃に対して無防備になります。
脆弱性発見から 最短48時間でこのような攻撃に対する対処を 仮想パッチ という形で提供します。
※ 対応期間はスコアリングの結果(脆弱性の重要度など)によって異なります。

従来の流れと仮想パッチ技術を用いた流れの説明画像

⑤ システム上の変更監視

ファイルやディレクトリ、レジストリなどを監視し不正な変更・改ざんが加わった場合にいち早く検知します。

「どこ(監視対象)の何(監視属性)を監視するか」が定義されているルールを選択し、ベースラインと呼ばれる監視対象のリストを作成します。
変更が掛かった場合に検知し、管理者はログから詳細を確認することが可能です。

システム上の変更監視の説明画像

⑥ セキュリティログ監視

重要なセキュリティイベントを早期に発見します。

OSやアプリケーションからの膨大なログエントリに埋もれて見逃しがちな重大なセキュリティインシデントを効率的に発見することが可能です。

特定ログのエントリを監視するルールを作成し、ルールに合致したログエントリを発見した場合に、どの重要度のアラートを上げるかを設定することができます。
また サーバー別に適したルールを、推奨検索により自動で適用することも可能です。
※ 各ルールのパラメータ設定が別途必要な場合もあります。

セキュリティログ監視の説明画像

⑦ アプリケーションコントロール

サーバーにインストールされたアプリケーションをホワイトリスト化し、許可されていないプログラムが実行された際に検知またはブロックします。

ソフトウェアを監視し、承認されていないソフトウェアを検知し、当該ソフトウェアの実行を許可/ブロックすることができます。

本機能を有効化した時点で、対象サーバー内に存在する実行ファイルを全て一覧化し、ホワイトリストとして登録します。ホワイトリストにない実行ファイルを検知した場合、管理者は当該ファイルの実行を許可するかブロックするか選択することができます。

許可またはブロックされた実行ファイルはインベントリに追加され、同ファイルを再度検知した際に参照されます。

アプリケーションコントロールの説明画像

「仮想パッチ」による脆弱性の保護

仮想パッチとは例えるならば傷口に貼る「絆創膏」です。

緊急パッチ適用作業はユーザーにとって運用上の負荷であり課題ですが、仮想パッチ技術で脆弱性を狙う攻撃コードをネットワークレベルでブロックすることで、Windows・Linuxなど主要なサーバーOSを始め、Apache・BIND・Microsoft SQL・Oracleなどの100個以上のアプリケーションに対応します。

これにより脆弱性が悪用される前に、緊急パッチ回数を減らし運用負荷も軽減することが可能です。

仮想パッチの説明画像

「仮想パッチ機能」の優位性

仮想パッチを充てるために「リコメンドスキャン機能」を適応します。
リコメンドスキャン機能とは、エージェントが自動でサーバ内のシステム情報をスキャンし、サーバー上にある脆弱性の穴を見つける機能です。

そこに対する必要なシグネチャー「仮想パッチ」を自動で適用することで、結果的にサーバーは、必要な保護だけを適切に自動で受けることが可能となります。

つまりシグネチャ―の適応を自動することができるので、最小限の運用負荷で、最適な保護を受けることが可能です。

「仮想パッチ機能」の優位性の図

① エージェントがサーバーOS上にある各種情報を取得
「起動サービス・インストールモジュール・設定情報」などを取得します。
それらの情報を基にサーバー内にある脆弱性を見つけ、その情報を管理マネージャに送信します。

② 管理マネージャはサーバー側で発見された脆弱性に対する
シグネチャー「仮想パッチ」のリストをエージェントへ配信します。
結果サーバーの脆弱性は、必要な仮想パッチを用いて必要な保護を受けることができます。

仮想パッチを導入するメリット

仮想パッチを導入するメリットの図

ベンダーの正規パッチリリースが遅れても、未然に脆弱性を保護できるので、正規パッチの適用作業スケジュールを柔軟にコントロールできます。
なので脆弱性が発覚しても、慌てず安心して検証作業がおこなえます。