次世代マルウェア対策製品 CylancePROTECT®のご紹介

次世代マルウェア対策製品

CylancePROTECTのご紹介

第3.9.1版

株式会社日立ソリューションズ 先端セキュリティ開発部

Contents

1. マルウェア対策のポイント

2. CylancePROTECTの特長

3. 導入事例

1.1 マルウェアを利用したサイバー攻撃の脅威

つまり

マルウェアは、サイバー攻撃の

であり、

です。

高度化する

サイバー攻撃

1.2 従来型マルウェア対策の限界

ネットワークセキュリティ対策

および

パターンマッチング方式

にて多層防御を実現しても

未知のマルウェア

は防げない

！

正常なプロトコルで送られた マルウェアに対応できない ネットワークセキュリティ パターンマッチング方式 未知のマルウェアを 検知できない ファイアウォール 既知 マルウェア 未知 マルウェア プロキシサーバ ＩＰＳ／ＩＤＳ ＵＲＬ フィルタリング

 正規の業務と見分けがつかないメールや正規サイトの閲覧により

マルウェアが送られてくるため、

侵入を防止するのは困難

 マルウェアの実行を防止することで、情報を流出させない

対策が有効

1.3 マルウェア対策のポイント

侵入を前提とした対策の実施

 今やネットワークセキュリティ対策だけでは、マルウェアへの対応は限界

 マルウェア感染リスクへの対処は、

エンドポイントでの対策

が重要

 昨今のサイバー攻撃では

未知のマルウェア

が使用されているため、

パターンマッチング方式の

従来のアンチウイルス製品では検知不可

エンドポイントで確実に対策

未知のマルウェアに対応した製品の利用

1.4 まだマルウェア対策を「既知」「未知」で区別してますか？

あなたがお使いのアンチウイルスソフトは、

未知のマルウェアを対策できていますか？

「既知」も「未知」も「亜種」も同じマルウェア、同じセキュリティリスク

一つの製品で対策できた方がよくありませんか？

・パターンファイルがまだ作られていないマルウェア （未知のマルウェア）による攻撃が心配・・・ ・未知のマルウェア対策製品を新規導入するには コストも運用もかさむ・・・

未知のマルウェア

亜種のマルウェア

既知の

マルウェア

Contents

1. マルウェア対策のポイント

2. CylancePROTECTの特長

3. 導入事例

2.1 CylancePROTECTとは

機械学習による先進的な検出エンジンを搭載、

エンドポイントで未知マルウェアの脅威を抑止する

次世代マルウェア対策製品

AI技術（機械学習）を利用した独自の

アルゴリズムで高い検知率を実現

パターンファイルを必要としない方式と

クラウド環境による集中管理で運用負荷を低減

1

2

2.2 Cylance社について

■実績 ✔北米中心に

1,100

以上の顧客

、

6,000,000

以上のライセンス ✔年間成長率４００％（収益ベース） ✔業界標準のコンプライアンス準拠

（PCI-DSS、HIPAA/HITECH）

✔2016年 Gartner社

「Magic Quadrant for Endpoint Protection Platforms」に初選出（Top Visionary） ✔2016年4月 日本初進出（日立ソリューションズが日本初の代理店） ■会社名/設立/従業員数 Cylance Inc.（米国） /

2012

年設立/従業員 約

500

名 ■特長 幹部はマルウェアの専門家。アンチウイルスメーカの元研究者も参加。 ●機械学習専門家多数（15名以上） ●社長は、ハッキング技術専門家として有名（著書Hacking Exposedシリーズ）、講演多数。 McAfee Worldwide CTOの経歴あり。

2.3 従来型マルウェア対策製品との比較

「未知」のマルウェアに対応できないため、 情報漏えいなどのリスクがある パターンファイルは日々配信されるため、 管理者がチェックする作業の負担が大きい 管理サーバをオンプレミスに設置する必要が あり、維持管理コストがかかる 課題１ 課題２ 課題３ 従来型マルウェア対策製品の課題 「既知」「未知」を問わず、 マルウェアの高精度な検知が可能なため、 セキュリティリスクを低減できる パターンファイルは不要のため、 管理者の負担が少ない 特長１ 特長2 特長3 CylancePROTECTの特長 端末内スキャン時に動作が重くなり、 業務効率への影響が大きい 課題４ 特長４ 管理サーバをクラウドで提供しているため、 運用管理コストを少なくできる 軽量なスキャンを実現することにより 業務効率への影響が少ない

2.4 [特長1]機械学習による先進的な検出エンジン

機械学習による先進的な検出エンジンにより、

「既知」「未知」を意識せずにマルウェアを検知

パターンファイル 不一致 一致

判定

従来型マルウェア対策製品

CylancePROTECT

不一致 不一致 特徴 既知の マルウェア 亜種の マルウェア 未知のマルウェア 既知の マルウェア 亜種の マルウェア 未知のマルウェア パターン マッチング で検知 _{マッチングされず未検知} 「既知」の パターンのみ マルウェアの特徴 で予測して判断。 高精度で検知 「既知」「未知」 を問わない 検出エンジン

2.5 [特長1]検出エンジンのアルゴリズム

収集 抽出 学習 検知 収集したファイルから 約700万の特徴を 抽出 正常なファイルや プログラム DOS Header NT Header Section Headers Export Directory Import Directory Resource Directory Packer Used 安全 危険

Cylance社が取得している機械学習に関する特許技術を利用

ファイルの特徴から高精度で予測して検知

下記サイクルで検出エンジンを作成 Labで作成された検出 エンジンを

PC

にインストール 既知の マルウェア群 抽出した特徴をベクター化して、 統計的なモデルを作成 人工知能を用いて マルウェアと判断する ルールを学習 学習したルールに則って マルウェアを検知 数億個 総容量約8TB 大量のファイルを収集 最急降下法などの ４つ以上のアルゴリズムに Cylance社のLab 特許技術 Agent 軽い 早い 暗号化APIを呼び出し ているか？ 危険なメモリアクセスを 行っているか？ 等 特許技術 新しいファイルの特徴を 数ミリ秒で多次元空間の モデルにマッピングし 危険・安全を判断

CylancePROTECT

2.6 [特長1]未知のマルウェアを検知するイメージ

パターンで一致させるのではなく、

数多くの特徴から予測し、未知のマルウェアも判断

■パターン 判定対象 判断不可 判断可能 分類 円形度 花びら比率 色相 … バラ 0.81 0.74 0.02 ヒマワリ 0.92 0.69 0.17 アジサイ 0.78 0.83 0.67 ■特徴 パターンの完全一致で判断 未知の品種も「予測」する ことで判断可能

従来型マルウェア対策製品

_{誰にも知られていない品種} や突然変異は、用意しよう がない 判定対象 判断可能

指名手配

2.7 [特長1]ＡＩの

イメージ ～犯罪者を漏れなく捕らえるには・・・？～

あなたは泥棒

や万引き犯

をどうやって捕まえますか？

変装、整形、 etc… _{泥棒(変装中) 実は万引き犯} 怪しく見えない etc… 仮にあれば・・・ WANTED

怪しい行動

ＤＮＡ判定

逃げられてしまう可能性は・・・ 逃げられてしまう可能性は・・・  サングラス  短髪  黒い服

ゼロに近い！

逃げられてしまう可能性は・・・  挙動不審  万引き犯の行動パターン  ＤＮＡ検査で人物を特定 泥棒 万引き犯 一般市民 シロ判定！ クロ判定！ クロ判定！ 仮にあれば・・・

正常 マルウェア  ＤＮＡレベルで判定（※1）  不正な通信を検出  情報の大量コピー動作  パターンで一致

2.8 [特長1]

CylancePROTECT

はまさにＤＮＡ判定！

指名手配

怪しい行動

パターンに 存在しない亜種

パターンファイル

振る舞い検知

振る舞い検知に 検出されない 未知のマルウェア

CylancePROTECT

ゼロに近い！

ファイルのパターンや振る舞いではなく、

ファイルの

DNA

（特徴）からマルウェアを予測して検知

逃げられてしまう可能性は・・・ 逃げられてしまう可能性は・・・ 逃げられてしまう可能性は・・・ シロ判定！ クロ判定！ クロ判定！ マルウェア

A

2.9 [特長1]米国各地での公開デモ

～

Unbelievable ツアー～

ＡＩ技術を用いた

CylancePROTECT

と

他製品の検知率の違いは一目瞭然！

B C A B C A B C A B C A B C A B C A B C A B C A B C A B C A B C A B C A B C A B C A B C A B C パターンマッチング方式 A

平均

52

%

パターンマッチング方式 B

平均

41

%

パターンマッチング方式 C

平均

21

%

2.10 [特長2]パターンファイルに頼らない検知

パターン配信のタイムラグなく

未知のマルウェアに迅速に対応

マルウェア 発見 パターンファイル作成

危険

安全

パターンファイル 適用 マルウェア作成 情報窃取 情報窃取 情報窃取 攻撃者 AV ベンダー 社内 管理者 情報窃取 従来型マルウェア 対策製品 Cylance PROTECT

_安全

時間

2.11 [特長2]モバイル利用でのメリット

モバイル利用でも安心

オフライン環境でもマルウェア検知および隔離

■

毎日のパターンファイル更新が不要

→長期出張でも安心して利用可能

安心のモバイルワーク 空港 自宅 Hamburger H カフェ ホテル

オフラインでも動作

■

エンドポイントで検知するため、オフラインでも動作

●Cylanceクラウド接続しなくても検知＆隔離 ●社内ネットワーク接続しなくても検知＆隔離 接続しなくても動作

2.12 [特長3]クラウド環境による運用管理コスト低減

エンドポイントがどこにあっても一元管理

サーバの運用管理・コスト負担低減

Cylance

クラウド

利用者 管理者 利用者 各種情報の管理 エンドポイントで検知 社内ネットワーク 未接続でも動作 利用者

分散拠点でも

一元管理が

可能！

支社 出張先 マルウェア感染状況 端末の状態、 等 本社 本社と異なる ネットワークでも動作 クラウドで管理

2.13 [特長4]軽量な動作

ユーザ操作を阻害しないスキャン機能

従来型マルウェア対策製品

CylancePROTECT

ファイル実行時にスキャン ファイルをダウンロード（ディスクに保存）した時にスキャン 定期的なディスクスキャン ファイル保存時のリアルタイムスキャン 一斉に実行 負荷を分散して実行 CPU使用率を占有しない。 CPU使用率を占有しないように、 スケジューリングして実行 →スケジューリング前にファイルを実 行された場合は、即時にスキャン しますので、危険はありません。 CPU使用率を占有 PCが重くなり CPU使用率 CPU使用率

Contents

1. マルウェア対策のポイント

2. CylancePROTECTの特長

3. 導入事例

3.1 導入事例 ヘルスケア業界

 ヘルスケアサービス会社、 130万人以上の患者にサービス提供  全米に400拠点、10,000台の端末 従来の 課題 GW型マルウェア検知製品 + 従来型アンチウィルス製品で対策するも、 事業拡大と共にマルウェア検知後の対応業務が増え続け、 十分なリスク低減ができない状況に陥っていた。 解決策 事例１

事後対応

アプローチの

限界

従来製品を

CylancePROTECT

にリプレース！

事後対応によるアプローチを止め、マルウェア感染を防御する事前対応に 方針を変更。 CylancePROTECTによる評価導入を実施。 2週間の評価期間を経て、正式導入を決定（評価中に 3種類の未知マルウェアをCylancePROTECTが検出・防御） 端末に導入されていた従来型アンチウィルス製品を削除し、 CylancePROTECTのみで端末のマルウェア対策を実施。

3.2 導入事例 小売業界

 小売業、1,000万人の顧客  全世界に200拠点に店舗展開、5,000台の端末 従来の 課題 数百万のクレジットカード情報の盗難被害により、会社の信用がダウン。 従来型アンチウィルス製品とB社起動制御製品による保護を行っていたが、 攻撃者はガードをすり抜けPOS決済サーバにマルウェアを 侵入させることに成功。 解決策 CylancePROTECTを導入し、既に端末に侵入していたマルウェアを検知し、 自動で隔離。 これまで導入していた従来型アンチウィルス製品とB社起動制御製品を 置き換える形で、全ての端末に正式に採用される。 事例２ POS端末への サイバー攻撃による 被害

POS

端末向けの導入実績あり！

3.3 導入事例 保険業界

 ニューヨーク証券取引所に上場している保険会社  6,500名の営業員、8,600台の端末 従来の 課題 感染被害発覚後、外部機関によるアセスメントを実施し、即座に対策するよ う通知を受ける。対策製品への要件として下記の3点を挙げ、 「C社標的型攻撃対策製品」と「CylancePROTECT」の2製品の検証を実施。 １．攻撃の初期段階で用いられるマルウェアを即座に防御できること ２．感染が判明していない端末に被害が及んでいないことを保証すること ３．将来発生するマルウェアに対して既存の対策製品より効果的に検知、 防御できること 解決策 C社標的型攻撃対策製品（+従来型アンチウィルス製品）が導入された環境に、 追加でCylancePROTECTを評価導入。 評価中に、45分以内に30以上のマルウェアが 新規に検出され、その検知能力の高さを証明し、本格導入が決定した。 事例３ 多数の端末への マルウェア 感染被害

評価

で多数のマルウェアを検知！

3.4 導入事例 教育業界

 7,500名の学生を抱える大学  1,500台の端末 従来の 課題 学内の端末がCryptoLockerと呼ばれるランサムウェア※_に感染。 このマルウェアは、メールの添付ファイル経由で学内に侵入し端末に感染、 被害が拡大。既存のパターンマッチング型の対策では 新手のマルウェアを防ぐことができないと判断し、 対策できる製品を探していた。 解決策 CylancePROTECTを約60台の端末に評価導入。 4週間の評価中に、約30台の端末で既存の対策製品では 見つけられなかったマルウェアを検知し隔離。 この結果により、これまで学内で使用していたD社マルウェア対策製品を 置き換える形でCylancePROTECTを全面的に導入した。 事例４ ランサムウェアに よる被害発生 ※端末内のファイルを暗号化し、多額の金銭を攻撃者側に支払わないと復号用の鍵を受け取れないという、「身代金請求型」の悪質なマルウェア

ランサムウェアも問題なく検知！

Contents

1. マルウェア対策のポイント

2. CylancePROTECTの特長

3. 導入事例

Download

4.1 マルウェアの検知と隔離

■

マルウェア(※)の検知タイミング

１．マルウェアがダウンロード（ディスクに保存）された時に検知

２．実行形式のマルウェアが、実行される直前に検知

マルウェアの実行前に検知して隔離

ディスク保存時に検知して隔離！

更に

ファイルの実行前にも検知して隔離！

(※)CylancePROTECTは、

実行形式のファイルに対して、

検知と隔離を行います。

リアルタイムに実施 CPU負荷が軽い時に実施

4.2 簡単操作（エンドポイント）

■

マルウェア検知時

 自動的にクラウドサーバに通知  利用者がAgent画面から確認することも可能 CylancePROTECT Agentアイコン アイコンを クリック CylancePROTECT Agent画面

利用者の操作、利用者向けの教育も不要

バグフィックスや機能改善・機能追加等は、毎月自動的に実施

4.3 簡単操作（サーバ）

管理者はWebブラウザでエンドポイントの状況を把握

■

CylancePROTECT Console

ダッシュボード 検知したマルウェアファイルの詳細一覧

4.4 簡単導入

簡単

で

早い

導入を実現

1

エンドポイント

2

サーバ

●

インストーラを実行、インストールは数分で完了

・利用者が実行する形式 →3～4画面程度で数分で完了 ・サイレントインストール形式 →配信インストールや、バッチファイルでのインストールも可能

●

エンドポイントをインターネットに接続すると、ポリシーを自動的に適用

→5～10分程度で適用され、CylancePROTECTが動作

●

Cylance社が運営するクラウドサービスとして

提供されるため、構築やメンテナンスは不要

4.5 システム構成

■構成 以下のプログラムで構成 ①エンドポイントに導入するAgent ＜インストール必要＞ ②エンドポイントで管理者が利用するConsole ＜インストール不要＞ ③Cylance社が提供するクラウドサーバ ＜インストール不要＞ [注意事項] ユーザ認証が必要なProxy環境の場合は、クラウドサーバへの通信について、 ③Cylance クラウド 管理者 利用者 マルウェア活動前解析で ９９％防御 利用者 脅威管理 ポリシー管理 クライアント管理 ブラック/ホワイト リスト管理 検体ログ送信 検体送信 クライアント配布 ポリシー配布 パターンファイル更新は 不要 ②Console クラウドの集中管理により ①Agent 簡単導入

4.6 資産管理システム連携 （Cylance＋JP1）

1

導入/アンインストールを支援、管理者の負担を低減

2

適用状態を適切に維持

●

端末の詳細情報を収集、CylancePROTECT未適用の端末を見逃さない

●

CylancePROTECTと入れ替える既存製品のインストール/アンインストールを支援 利用イメージ 配布対象の端末 ・・・ 配布対象の端末 配布・インストール・アンインストール 管理者 既存マルウェア対策製品の アンインストールも可能※2 入れ替え対象の マルウェア対策製品 CylancePROTECT インストール用データ リモートから一斉にインストール※1 ※1 配布機能利用には配布対象の端末に弊社製品のエージェントプログラムをインストールする必要があります。 ※2 既存マルウェア対策製品や環境によってアンインストールできない場合があります。 管理用サーバ CylancePROTECT のインストール 状況を一元管理 CylancePROTECTを インストールしていないPCを発見 利用イメージ JP１の配布機能

4.7 前提条件

・Windows XP(SP3)※1※2 ・WindowsVista※2 ・Windows7※2※4 ・Windows8/8.1※2 ・Windows10※2 ・Windows Server 2003(SP2)※1※2 ・Windows Server 2008/2008R2※2※5 ・Windows Server 2012/2012 R2※3※5※6 ・Mac OS X 10.9～10.12※7 ※1. KB968730がインストールされていることが前提です。 ※2. 32bitと64bitに対応しています。 ※3. 64bitに対応しています。

※4. Windows Embedded Standard 7にも対応しています。 ※5. Server Coreには対応していません。

※6. Minimal Server Interfaceには対応していません。 ※7. case sensitiveフォーマットには対応していません。 ・Internet Explorer 9/10/11 ・Firefox(最新バージョンに対応） ・Google Chrome（最新バージョンに対応） ・2GB以上 ・500MB以上 ・Agentのインストールには、管理者権限が必要です。 ・他社製アンチウィルス製品と併用する場合は、特定フォルダを除外して頂くなどの対処が 必要な場合があります。 ・他社製メモリ監視製品（振る舞い検知等）との併用はできません。 ・対象OSにおいて、マイクロソフト社のサポートが終了しているものについては [Agentの対象OS] [メモリ] [ディスク] ・.NET Framework3.5(SP1)以上 ※.NET Frameworkの不具合等により、一部のWindows端末でCylancePROTECT が正しく動作しない事例があります。この場合は、レジストリの修正や、.NET Framework4.0以降をインストールして頂くなどの対処をお願いする場合があります。 [前提ソフトウェア] [Consoleの対象ブラウザ] [その他]

[補足]データ量

利用者 Agent Cylance クラウド

1

運用中に発生するデータ量

＜毎日発生する通信量＞ 約4[MB]（1日の平均値※1） ＜Agent更新で発生する通信量※2＞ Windowsの場合 約10～70[MB] Mac OSの場合 約30[MB] (※1)一度に4MB程度の情報がダウンロードされる こともあります。 (※2)自動的にクラウドからダウンロードする場合。 更新用インストーラを配布する運用も可能です。 利用者 Agent

2

Agent初回インストール時に発生するデータ量

＜Agentインストーラファイルサイズ※3＞ exe(32bit/64bit) 約150[MB] msi(32bit) 約76[MB] msi(64bit) 約77[MB] dmg 約27[MB] pkg 約26[MB] (※3)資産管理ソフト/媒体/共有フォルダ、等で 配布して頂く運用を想定しています。 マルウェア検知情報 端末情報、等 変更されたポリシー Agentの更新、等 管理者 CylancePROTECT インストール用データ データ形式は、以下から選べます。

＜Windows＞ ＜Mac OS＞ ①exe形式（32bit/64bit共通） ④dmg形式