2021年1月29日
株式会社カスペルスキー
セールスエンジニアリング部
エンドポイントセキュリティの進化
~ Kaspersky Endpoint Security for Businessのご紹介
Kaspersky Endpoint Security for Businessを核とした セキュリティ強化
V 3.1
Kaspersky
Endpoint Security
for Business
Kaspersky Endpoint Security for Business とは
Kaspersky Endpoint Security for Business には、
SelectとAdvancedの2つのライセンスがあり、使用出来る機能が異なります。
Kaspersky Endpoint Security for Businessは、
Windows、Mac、Linux、mobileなどを保護する統合的なセキュリティ製品です。
Kaspersky Endpoint Security for Business 製品名(ライセンス名称)
Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac
Kaspersky Endpoint Security for Linux 使用可能なアプリケーション名
など
Kaspersky Endpoint Security for Business とは
Kaspersky Endpoint Security for Windows アプリケーションの主な特徴
Kaspersky Security for Windows Server
ふるまい検知、マルウェアによる操作の修復(ロールバックエンジン)、機械学習エンジン、
アノマリー検知(異常検知)など先進的かつ高度な防御機能と、デバイスコントロール、アプリケー ション起動コントロール、Webコンテンツフィルタリングなどを備えた、統合エンドポイントセキュリ ティ。
Windows Server専用アプリケーション。Active Directory ドメインサービス、リモートデスクトップ サービス、Web サーバー(IIS)など、典型的なWindowsサービスを稼働させているサーバーで使用可 能です。ファイル変更監視 、 Windowsイベントログ監視、Windows Server 2016、2019 の コンテナーファ イルスキャン、ファイル共有に置かれたファイルの暗号化攻撃を防ぐアンチクリプターなどの機能を備え ています。
Kaspersky Endpoint Security for Business とは
アプリケーションの主な特徴
Kaspersky Endpoint Security for Mac
Kaspersky Endpoint Security for Linux
Kaspersky Security for Mobile
ファイルアンチウイルスだけでなく、Web脅威対策、ネットワーク脅威対策、Webコンテンツ フィルタリングなどを備えた、法人向け統合エンドポイントセキュリティ。
管理サーバーによる集中管理が可能。
ファイルアンチウイルスだけでなく、Web脅威対策、ネットワーク脅威対策などを実装。
デバイスコントロール、ファイアウォール管理、ファイル共有に置かれたファイルの暗号化攻撃を防 ぐアンチクリプターなども備えた高度なアプリケーションです。
Android向けに、アンチウイルス機能、アプリケーションコントロールが可能。
iOSではMDM機能を提供し、リモートロックなども実現します。
使用出来るアプリケーション・機能
Kaspersky Endpoint Security for Business Select
サーバー・クライアント Advanced
Kaspersky Endpoint Security for Windows ● ●
Kaspersky Security for Windows Server ● ●
Kaspersky Endpoint Security for Mac ● ●
Kaspersky Endpoint Security for Linux ● ●
Kaspersky Security for Mobile
( Android セキュリティ、Mobile Device Management ) ● ●
SIEMサポート Syslogサポート SIEM連携
暗号化 - ●
脆弱性管理(KVPM機能相当) - ●
OS デプロイ - ●
SelectとAdvanced の比較
それぞれのアプリケーションで、Selectで使用出来る機能、Advancedで使用出来る機能の差異もあります。
詳細はそれぞれのアプリケーションの資料でご確認ください。
構成について
Kaspersky Endpoint Security for Businessの基本構成
Kaspersky Security Center
(管理サーバー) Kaspersky Security Centerによる集中管理を提供 様々なアプリケーション、デバイスを管理
ポリシー・タスク イベント・レポート ライセンス管理
SQL Server
Microsoft SQL Server Express、
Microsoft SQL Server, MYSQLなどが使用可能
Kaspersky Endpoint Security for Businessの基本構成 Kaspersky Security Center(KSC)
グループ/ポリシー・タスクによる管理
本社
サーバーグループ 知財部
設計例単一グループで運用する
ロケーションでグループ作成する
設定変更したい単位でグループを作成する
グループを作成することにより、階層化管理が可能。
グループに対し、ポリシー・タスクを適用。
ポリシーとは、常時の設定を行うもの。リアルタイムスキャンの設定など。
タスクとは、一時またはスケジュール実行する処理。スケジュールスキャン、定義更新など。
Kaspersky Endpoint Security for Businessの基本構成
Kaspersky Security Center(KSC)
グループ/ポリシー・タスクによる管理
本社
A支社
B支社
例 1
親Windowsポリシー 親MACポリシー
継承 親Windowsポリシー 継承 親MACポリシー
継承 親Windowsポリシー
B支社 Windowsポリシー
• グループには、Windows、MAC、LINUXなど混在可能。
• グループでポリシーを作成しなければ、上位ポリシーが 継承される
• グループでポリシーを作成すると、そのポリシーが有効になる。
定義アップデートタスク
定義アップデートタスク
定義アップデートタスク 2
定義アップデートタスク
• グループでタスクを作成し、上位タスク継承を無効化すると タスクが置き換え出来る。
Kaspersky Security Center がサポートする、その他のアプリケーション
Kaspersky Security Center
(管理サーバー) Kaspersky Security Centerでは、
Kaspersky Endpoint Security for Business以外の 製品も管理することができます。
* 製品詳細は、各製品資料でご確認ください。
Kaspersky Security For Storage Kaspersky Hybrid Cloud Security
Kaspersky Security for Virtualization
Kaspersky Embedded Systems Security
別途ライセンスが必要です。
Kaspersky Security Center(KSC)
製品に付属する管理サーバー。KSCのライセンス費用は不要。
Windowsプラットフォームをサポート。
小規模から大規模環境までサポート。
プライマリー・セカンダリー構成により、他拠点・大規模構成が可能。
子会社・MSPでの管理に最適な仮想管理サーバー機能。
•
仮想管理サーバーが有効なケース
管理サーバー用マシンは最小にしたいが、子会社ごとに管理は独立させたい。
子会社ポリシーに制限をかけたい。
マネージドサービスプロバイダー構成に柔軟性を持たせる機能を追加費用無しで使用可能。
ディストリビューションポイント 接続ゲートウェイ
Kaspersky Security Center
Smallユーザー、SOHOでの構成
① スタンドアロンでの使用も可能
KSC管理時と同一アプリケーションを使用。
法人向け製品のため、細かな設定が可能。
② 小規模環境向けKSCの構築
KSCは、Windows Storage Server、
Windows10等も使用可能
Android セキュリティ
Windows Storage搭載
NAS Windows10
デスクトップ
Kaspersky Security Center 大規模向け構成 プライマリー・セカンダリー構成
セカンダリーサーバーのレポートを
プライマリーサーバ-に集約することが出来ます。
プライマリー 管理サーバー
セカンダリー 管理サーバー
セカンダリー 管理サーバー セカンダリー
管理サーバー
管理サーバー
仮想管理サーバー
(論理)
管理サーバーの中に、仮想管理 サーバーを作成し、複数の管理 サーバー機能を持たせることが出 来ます。
管理者を仮想管理サーバ向けに作成。
仮想管理サーバにはアクセス権を設定、
管理者は割り当てられた仮想管理サーバー にのみ、アクセスできる。
Kaspersky Security Center 仮想管理サーバー
ポリシー設定
親管理サーバーでロックされた項目は、
仮想管理サーバーでは変更できない。
ロックされていない項目は設定可能となる。
統制と柔軟性を両立。
Kaspersky Security Center ディストリビューションポイント ディストリビューションポイントとは
ネットワークエージェント
+ ディストリビューション ポイント機能
エンドポイントセキュリティ
モジュール エンドポイントセキュリティ
モジュール
ネットワークエージェント Kaspersky Security Center
ネットワークエージェント
**エンドポイントセキュリティ製品は、
セキュリティ部分と通信部分に分かれています。
定義、プログラムを保存 定義、プログラムを受信
ディストリビューションポイントは、通信部分にKSCの 代理機能を持たせ、パフォーマンス向上を図る機能です。
拠点にディストリビューションポイント を設定
拠点の各端末は、ディストリビューショ ンポイントから、定義やインストールプ ログラム、更新プログラムをダウンロー ド。脆弱性管理機能においては、パッチ配信 でも使用する。
Kaspersky Security Center
Kaspersky Security Center ディストリビューションポイント
ディストリビューションポイントがない 場合
拠点の各端末は、KSCと直接通信を行う。
規模によっては、ネットワークトラ フィック、KSCの負荷が懸念される。
ディストリビューションポイント
Kaspersky Security Center
Kaspersky Security Center ディストリビューションポイントとコネクションゲートウェイ
ディストリビューションポイント コネクションゲートウェイ
Kaspersky Security Center
ディストリビューションポイント
Kaspersky Security Center
ディストリビューションポイントは、定義、プロ グラムなど、配信をKSCの代理で行う仕組みです。
(緑矢印 )
各クライアントは、KSCとの疎通、ログのアップ ロードはKSCと直接行います。
(青矢印 )
コネクションゲートウェイがない場合
コネクションゲートウェイがある場合
各クライアントは、KSCとの疎通、ログのアップ ロードをディストリビューションポイント端末を 通じて行います。
(青矢印 ) 通じて行います。
レポート・IT資産管理機能
インベントリ情報の収集
・ハードウェアインベントリ
(コンピューター名、IPアドレス、マザーボード、CPU、メモリ、データストレージ、ネットワークアダプターなど)
・ソフトウェアインベントリ
(インストールされたアプリケーション情報やコンピュータ内の実行形式、拡張子を持つプログラム)
アプリケーションのリモートインストール/削除
・カスペルスキー製品だけでなく、サードパーティアプリケーションの インストール/アンインストールが可能
脆弱性レポート
管理するPCのアプリケーションの脆弱性をレポート
Kaspersky Security Center
Cloud Console
Kaspersky Security Center Cloud Consoleの概要
カスペルスキーがクラウドで提供する管理コンソール。
お客様はKaspersky Endpoint Security for Business等の対象製品を購入。
KSC CCは無償提供。
お客様はWebブラウザでアクセスし、管理を行う。
対応製品ライセンス:
Kaspersky Endpoint Security for Business Select
Kaspersky Endpoint Security for Business Advanced Kaspersky EDR-Optimum Bundle
300ライセンス以上で使用可能。
EDR-Optimum Add-onは、KESB300以上があれば、300未満でも使用可能。
Kaspersky Security Center Cloud Consoleの概要
•
管理可能なアプリケーション-
EDR-Optimum (KES Win, KSWS)-
Advancedに含まれるVulnerability and Patch Management機能-
Advancedに含まれる暗号化(フルディスク、bitlocker管理)-
Advancedに含まれるリモート接続機能(NAT環境では使用出来ません)•
管理可能なアプリケーション-
Kaspersky Endpoint Security for Windows-
Kaspersky Security for Windows Server(KESBの機能範囲)-
Kaspersky Endpoint Security for Mac-
Kaspersky Endpoint Security for Linux※KESBで使用可能な以下のアプリケーションは未対応(2021年1月現在)
-
Kaspersky Security for MobileKESB = Kaspersky Endpoint Security for Business
Kaspersky Security Center Cloud Consoleの利点
• サーバー機器の調達や構築が不要で、すぐに利用可能
• サーバー機器の監視やメンテナンス作業が発生せず、運用負荷を削減
• クラウドで提供されるため、オフィス外でもセキュリティ管理が可能
SOHO、リモートワーク オフィス
ユースケース
オンプレミス
Kaspersky Security Center Kaspersky Security Center Cloud Console
本社 支社
VPN
海外拠点
Kaspersky Security Center Cloud Console
リモートワーク
本社 支社
オンプレミスKSCとKSC Cloud Consoleの併用 KSC Cloud Consoleへの接続数は300以下でも使用可能
システム管理者
KSC Cloud Consoleによる移動端末サポート
利用条件 Kaspersky Endpoint Security for Business Select 300ライセンス以上を保有
• エンドポイント
セキュリティを
どう強化するか
以降のページで紹介するソリューションは
Kaspersky Endpoint Security for Businessを核とした製品ですが、
Kaspersky Endpoint Security for Businessには含まれません。
各製品には、別途ライセンスが必要です。
Kaspersky EDR Optimum Kaspersky Sandbox
Kaspersky Anti Targeted Attack Platform Kaspersky EDR Expert
カスペルスキーが提案する成熟度ベースアプローチ
Kaspersky Sandbox
Kaspersky Anti Targeted Attack Platform Kaspersky
EDR Expert Kaspersky
Endpoint Security for Business
• IT部の中にセキュリティ対応機能があ
• る遠隔地にオフィスがあり、そこにはセ キュリティ専門人員はいない
• 十分な人員を持つセキュリ ティ部門がある
• SOC/CERT/CSIRT
• 脅威ハンティンググループ がある
確立したセキュリティ対策 セキュリティ専門家の不足
Kaspersky EDR Optimum
• IT部の中にセキュリティ部門がある
• 小規模なセキュリティ部がある
• セキュリティ人員を追加採用する予定 はない
専門知識の習得過程
Kaspersky Endpoint Security for Business をご利用のお客様に対するメリット
既にインストールされ ているソフトウェア エージェントで
Sandbox / EDR機能が
使用可能 簡素化されたインシデント処理、
メンテナンスコストの最小化と マンパワーでの対応の最小化に よるTCOの削減
統合されたコンソール:
KSC のコンソールによる 集中管理
Kaspersky Sandbox OptimumEDR
KES
エンドポイントセキュリティをどう強化するか
Kaspersky Endpoint Security for Businessを核としたセキュリティ強化
Kaspersky Endpoint Security for Business
Kaspersky Security Center Network Agent
• Kaspersky Endpoint Security for Business
エンドポイントセキュリティをどう強化するか
Kaspersky Endpoint Security for Businessを核としたセキュリティ強化
Kaspersky Endpoint Security for Business Kaspersky EDR-Optimum
Kaspersky Security Center Network Agent
Kaspersky Endpoint SecurityとEDR-Optimum は、
Network Agentが共通
• Kaspersky Endpoint Security for Business
• Kaspersky EDR-Optimum
エンドポイントセキュリティをどう強化するか
Kaspersky Endpoint Security for Businessを核としたセキュリティ強化
• Kaspersky Endpoint Security for Business
• Kaspersky EDR-Optimum
Kaspersky Endpoint Security for Business Kaspersky EDR-Optimum
Kaspersky Security Center Network Agent
• Kaspersky Sandbox
Kaspersky Sandbox
• EDR Optimum
Kaspersky EDR Optimum
攻撃拡散経路の明確化
インシデント
の詳細情報 自動化された
「ワンクリック」
での対応
根本原因分析 自動化された
カスタムIoC の生成
多くのリソースを必要せ ずに、時間効率よく調査
ソリューションの目的:
セキュリティ問題の自動防止を超える 強力な必要性– エンドポイントプロテク ションを回避するように設計された攻撃 を適切に分析および調査することが重要
エンドポイントのテレメトリの効果的 な分析により、インシデントの全体像を 把握し、対応について十分な情報に基づ いた決定が可能。またコンプライアンス 要件に準拠も実現。
*テレメトリーデータとは、
ソフトウェアやアプリケーションが収集する ユーザーの利用状況データのこと。
攻撃者の手法が
より洗練されてきている
Kaspersky EDR Optimumにおけるインシデント対応プロセス
脅威検知
• 端末の隔離(ネットワーク切断)
• 実行ファイル、スクリプト、ドキュ メントの起動禁止
• 疑わしいファイルの隔離
• IoCファイルの自動作成、スキャン
Threat localization
• 実行ファイル、スクリプト、ドキュ メントの起動禁止
• IoCをベースにした端末群への対応 プロセスの停止
• オブジェクトの削除
• 端末上でのコマンド実行
• 隔離からのファイル回復
• ネットワークへの端末復帰
• その他の回復アクション
脅威の封じ込め インシデント
一覧
インシデント クローズ
根本原因の 解析・調査が必要か?
攻撃の推移を解析 レポートの自動生成
KESによる自動対応
調査
復旧
Kaspersky EDR Optimum コンソール
Kaspersky EDR Optimum コンソール
• Kaspersky
Sandbox
Kaspersky Sandbox
Kaspersky Endpoint Security for Business エージェント
Kaspersky Security Center
エンドポイント上での限られた
リソースでの制限に対応するために、
ふるまい検知に新たな層を追加する。
複雑な脅威を識別しブロックするために、
Kaspersky Endpoint Security for Businessの機能を増強する:
• 未知のマルウェア
• ゼロディエクスプロイト、など
使用例
• 負荷の高いターミナルサーバーなど、Kaspersky Endpoint Security for Businessのふるまい検知機能をオフにせざるを 得ないサーバーを保護する
• Kaspersky Security Network 脅威データベースとの通信が 出来ないエンドポイントの保護強化
• サードパーティーアプリケーションと統合し、APIによる利用
が可能 最小発注単位 250Node
Kaspersky Security Center
Kaspersky Sandbox 処理の流れ
Endpoint エージェント
検知理由
~
~
用 IoCファイル
Sandboxにより検知 自動生成された
Sandbox検知による、
ブロック、削除
IoCファイル IoCファイル
• Sandboxにより検知
• 自動生成されたIoCスキャン
