目次 1 Kaspersky Security for Windows Server 概要製品の特長導入の効果 2 製品機能紹介 2

Save the World from IT

threats

Kaspersky Security for Windows Server

製品説明資料

株式会社 カスペルスキー

コーポレートビジネス本部

2018/4/11

目次

1 Kaspersky Security for Windows Server 概要

製品の特長

導入の効果

2 製品機能紹介

製品の特長

 アンチクリプター

- 共有フォルダ上のファイルに暗号化攻撃があった場合に攻撃をブロック

- 攻撃を実行しているコンピューターとの通信をブロック

 Kaspersky Security Network(KSN)との統合

- クラウド上の脅威情報（KSN）を利用し、より最新の脅威に対応

 様々な構成への対応

- Server Coreモードやターミナルサービスなど様々な構成に対応

 サーバー用途に合わせたロードバランシング機能

- 使用するCPUスレッドを調整可能

 管理の容易さ

- KSCによる統合管理可能

 アプリケーションの起動コントロール（要ライセンス）

- 不要なアプリケーションの起動をブロックすることでマルウェアへの感染リスク

を低減

アンチクリプター

 共有フォルダ上のファイルに対して、悪意のある暗号化の試行があった場合に、その攻 撃を仕掛けているコンピューターからのアクセスをブロック

 それ以外のコンピューターからはアクセスが可能

ランサムウェアに感染

正常なクライアントPC

_{File Server}

Windows

ランサムウェアによる ファイルアクセス 正常なファイルアクセス

アクセスブロック

アクセス可能

【ランサムウェア対策】

クラウド上のレピュテーション情報を利用し、より最新の脅威に対応することが可能

Kaspersky Security Network

レピュテーションの照会 Kaspersky Security Center レピュテーションの結果 レピュテーションの照会(代理) レピュテーションの結果 世界中のKasperskyユーザーからの レピュテーション情報 社内ネットワーク

KSN

Kaspersky Security Network 最も高度なグローバルクラウド セキュリティネットワーク ダイナミックな分類とレピュテーション 「ゼロデイ」脅威からの リアルタイムプロテクション カスペルスキーの各製品との統合

Kaspersky Security Network のメリット

• 世界中4億人以上のカスペルスキーユー ザーから収集したリアルタイム脅威情報 をKSN緊急検知データベースで管理 • 各端末はスキャン時にKSNへ問い合わせ することで、最新の脅威に素早く対応 • 新たな脅威の検知からユーザーへの定義 DB配信まで数時間かかるところを数分で 対応

最新の脅威への迅速な対応

（緊急検知データベース）

• 検査ファイルのダウンロード元URL情報な ど、オブジェクトに関連付けられた属性情 報を元に総合的な分析を実施 • ファイル単体検査だけでは検知が困難な高 度なマルウェア対策に効果を発揮

オブジェクト属性情報による

関連分析

（メタデータリポジトリー）

KSN

Kaspersky Security Network 最新の脅威情報送信 最新の脅威情報提供  マルウェアに関する情報  不正WEBサイト情報  脆弱性情報 など  アプリケーション情報

メリット①

メリット②

メリット① 最新の脅威への迅速な対応

 最新の脅威が定義データーベースへ登録されるまでのタイムラグを大幅に低減  新たな脅威を検知した際、定義DBに反映/各ユーザーに配信されるまで通常数時間かかる ものをKSNに問い合わせることにより数分以下へ短縮 KSN Delivery System Kaspersky Lab 累積統計 DB Kaspersky Lab ホワイトリスト DB Kaspersky Lab 緊急検知 DB Kaspersky Lab 定義DB Automatic Analysis System

①

②

③

④

KSNに参加しているカスペルスキー製品ユーザー Kaspersky Lab アナリスト評価 ① コンピューターは不審な挙動を見せ る脅威に関する情報をリアルタイム でKSNに送信 ② カスペルスキーのAutomatic Analysis Systemにて、悪意のある 脅威は即座に「緊急検知DB」に追加 正規のアプリなどは明示的にホワイ トリストへ登録 ③ コンピューターはリアルタイムで KSNの緊急検知DBやホワイトリスト 情報を参照しながら端末を保護 ④ KSNに登録された情報をカスペルス キーのアナリストが正確に解析/ 評価し、定義DBへ反映

メリット② オブジェクト属性情報による関連分析

 セキュリティ攻撃や検査対象オブジェクトに対して、多種多様なメタデータ （属性情報）の関係性について分析を実施 ・検査対象ファイルのダウンロード元URLに問題はないか ・起動するアプリケーションは正規のものであるか（デジタル署名の有無など）  未知の脅威に対する検知力を強化するとともにホワイトリストによる誤検知対策も完備 ダウンロードに関する情報 ・ダウンロード元URL（IP） また、その状態 （悪意があるか） ・WEB上の不正スクリプトの数 ・生成されたHTTPリクエスト/ レスポンス情報 ・ダウンロードプロセス名 ・ダウンロードプロトコル、 ポート番号 など オブジェクトに関する情報 ・ファイルサイズ、チェックサム （ MD5 / SHA2-256 / SHA1 ） ・圧縮に使用されたアプリ名 ・ファイルの証明書 など ※ KSNへ送信される情報に個人または企業データは含まれません。 アプリケーションに関する情報 ・アプリケーションの普及度 ・実行プロセス情報（プロセス名、 プロセスID、実行アカウント） ・デジタル署名の有無 ・プロセスに読み込まれた関連 モジュール情報 など 【未知の脅威に対する一例】 新種のマルウェアがダウンロード される際に、KSNが持っている 不正ダウンロード元URL情報に一 致した場合、即座にダウンロード ブロック処理を実行。 ヒューリスティックや振る舞い検 知などのオブジェクトスキャンに 加えて、左記のようなファイル属 性情報を複合することで、 さらなる防御力向上を実現。 KSNへ連携 KSN Kaspersky Security Network

様々な構成への対応

Windows Server

Core モード

Windowsのサーバー機能を利用する場合のServer Coreモードに対応

階層型ストレージ

階層型ストレージ（HSM）に対応 使用しない/再解析ポイントを使用/拡張ファイル属性 を使用/不明なHSMシステム から設定を選択可能

ReFS (Resilient File

System)

MicrosoftのファイルシステムであるReFSに対応

クラスター構成対応

クラスター構成で共有されているディスクを保護

ターミナルサーバー対応

Windows リモートデスクトップサービス、Citrix _{XenApp環境に対応}

管理の容易さ (Kaspersky Security Centerによる統合管理)

 管理サーバーであるKaspersky Security Centerを利用することで統一したポリシーで 集中管理が可能

 定義適用の状況、バージョン管理、状態チェックなど全て一元管理可能

 Windows ServerのみでなくWindows Client OS/Linux/Mac/スマートフォン、物理/ 仮想環境も問わず集中管理が可能 Kaspersky Security Center Console Kaspersky Security Center Server • リモートインストール • 管理者への通知 • 通知設定(メール/SNMPなど) • アプリケーションの動作管理

アプリケーションの起動コントロール

 不要なアプリケーションの起動をブロックすることでマルウェアへの感染リスクを低減  アプリケーションの起動ルールを設定することで下記オブジェクトを許可／ブロック可 能/実行ファイル / スクリプト / MSIパッケージの起動 / DLLモジュールのロード 信頼されていない アプリケーション 信頼されている アプリケーション

実行不可

実行可能

• ルール or 統計情報による コントロール • 適用範囲の指定 実行ファイル / DLL / スクリプト / MSI • KSN情報を利用した 信頼アプリケーションの判別 実行可能ユーザーの指定

スクリプト監視

 危険なスクリプトまたは危険な可能性のあるスクリプトを制御することが可能  制御内容は「許可」もしくは「ブロック」 対応しているスクリプト VB ScriptやJscriptなどのMicrosoft Windows のスクリプトテクノロジー（アクティブス クリプト）を使用して作成されたスクリプト 危険な可能性がある スクリプト 正常なスクリプト

実行不可

実行可能

危険なスクリプト ※ スクリプト監視はサーバーや他のアプリケーションの動作に影響を及ぼす可能性があります。 利用する場合には十分に事前検証を実施してください。

導入の効果

• ランサムウェアを含むマルウェアの脅威からサーバー上の重要

データを強力に保護し、サーバーを経由した感染の拡大も阻止

• サーバーの用途に合わせてロードバランシングやスキャン設定を

行うことで、サーバーへの負荷を調整して最適なセキュリティを

提供可能

• マルウェア検知などのイベントは管理者に通知され、

迅速に対応を実施することが可能

• 様々な環境/アプリケーションサーバーに対して統一した管理が

可能

リアルタイム / オンデマンドスキャン

• タスク単位でリアルタイム / オンデマンドスキャン（定時スキャン）の実施が可能 • オンデマンドスキャンはデフォルトで３つのスキャンが実行される

柔軟なスキャン設定

サーバー負荷を最適化するため、システム管理者は以下のスキャン設定が可能

• スキャン強度（

セキュリティレベル

）の設定

• アンチマルウェア処理のスレッド数を指定

（

ロードバランシング/スケーラビリティ設定

）

• スキャンの除外対象とするプロセス

を指定

（データのバックアップなど、信頼できるプロセス）

• スキャンを実行する／しない

ファイル種別

を指定

• 疑わしい／感染したオブジェクトを

検知した時の動作

を設定

セキュリティレベルの設定

• 「ファイルのリアルタイム保護」の設定から「保護範囲の設定」を開くと 「セキュリティレベル」を指定可能 • すべてをカスタムで設定することも可能 • リストビューとツリービューを選択可能 • リストビューは指定フォルダを参照して保護/除外対象として指定可能 • ツリービューはチェックボックスで保護/除外対象を指定可能 • フォルダやドライブごとにセキュリティレベルの変更も可能 • どちらで設定しても同期される • セキュリティレベルを3段階選択可能 （デフォルト：推奨） • レベルを選択後、各設定を個別に選択す ることも可能（個別に設定を変更した場 合はレベルが「カスタム」に変更） • レベルを「カスタム」にし、すべてを設 定することも可能

ロードバランシング/スケーラビリティ 設定

• 設定した優先度に応じてKSWSと他のアプリケーション間でリソースを調整する機能 • ローカルの管理コンソール上では「Kaspersky Security」を右クリックし「プロパ ティ」を開き「全般タブ」から設定可能 実行中プロセスの最大数 • デフォルトは自動決定 • 手動設定の場合、最大数は８ リアルタイム保護のプロセス数 • デフォルトは自動決定 • 手動設定の場合、「実行中プロセスの最大数」まで設定可能 バックグラウンドスキャンのプロセス数 • デフォルトは自動決定（１つ） • 手動設定の場合、最大4つ • 「実行中プロセスの最大数」に含まれない プロセッサ数 実行中プロセス最大数 １ 1 2～4 2 4～ 4 プロセッサ数 実行中プロセス最大数 １ 1 2～ 2

ロードバランシング/スケーラビリティ 設定用途

• スケーラビリティ設定の各用途は下記 設定名 用途・内容 実行中プロセスの 最大数 • リアルタイム保護 / オンデマンドスキャン / 定義DB更新タスクに使用 • 定義DB更新タスクは使用時だけメモリーに存在する リアルタイム保護の プロセス数 • 「リアルタイム保護のプロセス数」は「実行中のプロセスの最大数」に一致することがある • オンデマンドスキャン、定義DB更新タスクが同時に起動したときには、 「リアルタイム保護のプロセス数」が使用される • リアルタイム保護のプロセスを保持したい場合「実行中のプロセスの最大数」は 「リアルタイム保護のプロセス数」を上回る必要がある バックグラウンド スキャンのプロセス数 • バックグラウンドスキャンに利用される（オンデマンドスキャンで設定可能） • バックグラウンドスキャンは、使用時だけメモリーに存在する • サーバーパフォーマンスは主に「リアルタイム保護のプロセス数」に依存 • ファイルスキャン時に「実行中プロセスの最大数」のプロセスが「リアルタイム保護のプロセス」の ロードに失敗するとファイルアクセスは遅延する • オンデマンドスキャンで「バックグラウンドモードでタスクを実行する」を有効にすると優先度が 「低」となりタスクの実行に必要な時間が長くなるがプログラムの実行速度が上がる可能性がある • 複数のバックグラウンドタスクを優先度「低」で且つ１つのプロセスで処理を実行できる

スキャンの除外対象とするプロセス

（信頼するプロセスのリスト）

• スキャンの除外とするプロセスは「信頼するプロセスのリスト」に登録 • ローカルの管理コンソール上では「Kaspersky Security」を右クリックし「信頼ゾーン の設定」を開き「信頼するプロセス」から設定可能 ファイルのバックアップ処理を確認しない →データのバックアップコピー中に リアルタイム保護を無効 プロセスの実行ファイルを選択 プロセスが現在実行されているかは関係しない 保護対象のサーバーで実行中のプロセス リストから選択

スキャン対象とするファイル種別の設定

• ファイル形式や拡張子リストに従ってスキャン対象の指定が可能 • 圧縮ファイル（アーカイブ）についてもスキャン対象として指定可能 すべてのオブジェクト • すべてのオブジェクトをスキャン ファイル形式によってオブジェクトをスキャン（デフォルト設定） • ファイル形式に基づいて感染する可能性がある オブジェクトのみをスキャン • 形式のリストは定義データベースからコンパイルされる 定義データベースで指定されている拡張子リストに基づいてスキャン • ファイル拡張子に基づいて感染する可能性がある オブジェクトのみをスキャン • 拡張子のリストは定義データベースからコンパイルされる 指定の拡張子リストによってオブジェクトをスキャン • ファイル拡張子に基づいてスキャン • 拡張子リストは手動でカスタマイズ可能

検知時の動作の指定

• 感染したオブジェクト/感染の可能性があるオブジェクトの処理を指定可能 • 検知したオブジェクトの種別ごとに処理を指定することも可能

ヒューリスティックアナライザー

プログラムのふるまいを分析することで、既知のマルウェアだけではなく、未知

または既知の新種（亜種）のマルウェアを検知することが可能

パターンマッチング ヒューリスティックアナライザー ウイルス定義 データベース プログラム /ファイル ウイルス定義データベースとスキャン対象の プログラムやファイルを比較し、一致する場 合に検出する プログラムの動作 プログラムの動作（ふるまい）を分析し、不 審な挙動を検出する

信頼しないホストのブロック

Kaspersky Security for Windows Serverで保護しているサーバー上のネットワークリ ソース（ファイルサーバーなど）にアクセスして悪意のある動作や暗号化を実行しようと したホストに対して、保護しているサーバーへのアクセスをブロックする • リアルタイムスキャン、アンチクリプターで検知したホストを自動的に 信頼しないホストに追加 • 信頼しないホストをブロックする時間を指定可能 • 管理者が手動でホストを選択しブロックを解除することも可能

ブロックする時間を指定

信頼しないホストのリスト

アンチクリプター

• 共有フォルダ内のファイルに暗号化試行があった場合に検知することが可能 • 「信頼しないホストのブロック」の機能を利用し、攻撃を仕掛けているコンピューター のアクセスをブロック可能 • 「信頼しないホストのブロック」の機能を使用しない場合でも攻撃を仕掛けているコン ピューターを「信頼しないホストのリスト」に自動登録可能 ヒューリスティックアナライザーの 使用可否とレベルの調節 アンチクリプターで保護する共有フォル ダーの設定

【ランサムウェア対策】

※ アンチクリプターで検知したコンピューターを ブロックするには「信頼しないホストのブロック」 機能が必須です。

アプリケーション起動コントロール

27 • 不要なアプリケーションの起動をブロックすることでマルウェアへの感染リスクを低減 • 実行ファイル、スクリプト、MSIパッケージの起動だけでなく、DLLモジュールの ロードを許可／ブロック アプリケーション起動コントロールタスクモード 統計のみ ・ルールは使用せずにアプリケーション起動に関する情報を タスク実行ログに記録 ルールの適用 ・指定されたルールを使用して実行中のアプリケーションを監視 ルールの適用範囲 実行ファイルにルールを適用する ・実行ファイルの開始に対してルールの有効/無効を指定 DLLモジュールの読み込みを監視する ・DLLモジュールに対してルールの有効/無効を指定 スクリプトとMSIパッケージにルールを適用する ・スクリプトとMSIに対してルールの有効/無効を指定

KSN（Kaspersky Security Network）の使用

KSNで信頼されていないアプリケーションを拒否する KSNで信頼されているアプリケーションを許可する 実行を許可するユーザーまたはユーザーグループ

・KSN上で実行が許可されているアプリケーションであっても 指定ユーザー/グループのみが実行できるように指定が可能

アプリケーション起動コントロールルール

• アプリケーション起動コントロール用のルールを個別に作成可能

• ルールの作成は管理者による個別作成とXMLファイルによるインポートが可能

• 「ファイルのプロパティからルールを適用する基準を設定」を利用し対象ファイルの SHA256ハッシュを自動読み込みも可能

アプリケーション起動コントロールルールの自動作成

• 指定されたフォルダーの指定されたファイル種別に基づき、アプリケーション起動コン トロールの許可ルールのリストを自動的作成

アップデート

下記４つのアップデートが実行可能 • 定義データベースのアップデート • ソフトウェアモジュールのアップデート • アップデートのコピー • 定義データベースのアップデートのロールバック 「定義データベースのアップデート」と「ソフトウェアモジュールのアップデー ト」は既定でスケジュール済み 「アップデートのコピー」はアップデートに利用するファイルを指定したネット ワークフォルダーやローカルフォルダーにコピーを行う

THANK YOU

Copyright© 2018 Kaspersky Lab

無断複写・転載を禁じます。カスペルスキー、Kaspersky®はKaspersky Labの商標または登録商標です。 お問い合わせ先： 株式会社カスペルスキー 〒101-0021 東京都千代田区外神田3-12-8 住友不動産秋葉原ビル7F http://www.kaspersky.co.jp カスペルスキー製品資料 https://kasperskylabs.jp/biz/ 脆弱性情報 https://threats.kaspersky.com/ja