Linuxサーバーのマルウェア対策と脆弱性対策、リスク管理

　十数年にわたりBitdefender社はサーバ保護に注力してきました。それはその優れた防御力を理由にBitdefenderを指名、導入してきたエンタープライズ企業が、自社のデスクトップPCだけではなくサーバの保護も強く望んできたからです。

　Bitdefenderは大規模なR&D体制により業界において、次の時代を見据えたセキュリティをいち早く実装しています。サーバにおける仮想化やクラウド移行の大きな変化のはじまりにあってもいち早く対応して、望まれるレスポンスを低下させない軽快さと、防御力を高い次元で両立させるサーバーに特化した製品革新が続けられています。またLinuxにおいては幅広いディストリビューションへの対応も、求められている要件となっています。

　Bitdefender社が今日の脅威に対抗すべく、サーバ保護に必要と考え実装している防御機能には以下のものがあります。特に１～５が重要であり、もうアンチマルウェアだけでは防げなくなってしまった現実の脅威に対し、包括的な対策を展開することができます。

1. 既知の脅威対策（AM）
2. 未知の脅威対策（ATP/NGAV）*1
3. 脆弱性対策（AAE）
4. ネットワーク攻撃防御（NAD）
5. エンドポイントリスク管理（ERM）
6. 負荷を抑えるしくみ（SVA)
7. 最新脅威研究の取り込み（Relay/オンプレミス管理サーバ）
8. Linuxコンテナ保護　*2
9. 攻撃の可視化（EDR／XDR）　*3
10. まとめとエディション選択

　　*1 Premium(Security for Servers)とEnterpriseで利用可
　　*2 アドオンライセンスで利用可
　　*3 Enterpriseで利用可

1. 既知の脅威対策（AM）

　ソフトウェアを利用した攻撃手法は現在も主流であり、それら既知の脅威を確実に判定、検出するアンチマルウェア（AM）能力は不可欠です。世界の180社以上のセキュリティベンダーでも（OEM）利用されているBitdefenderの検出エンジンからの情報を元に、脅威データベースがリアルタイムに整備され、毎時配信されています。

　なお研究所で構造解析済の脅威は、ファイルからその感染部分だけを除去(Disinfect)して、正常なファイルに戻すことができますが、これは他社にはなかなか真似できない、大規模なＲ＆Ｄ体制を自社で持つBitdefenderの特徴の一つです。

2. 未知の脅威対策（ATP/NGAV）

　ATPやNGAVと呼ばれる最新の防御能力の要となっている技術がAI機械学習です。Bitdefender社は2009年に世界で初めて、マルウェア検出のための機械学習アルゴリズムを開発した企業であり、 機械学習に関して70以上の学術論文を発表しています。また欧州域内の大学で50名の研究員が講義を持ち、共同研究も行っています。

　特に高度な攻撃で使用されるファイルレス攻撃に関する成果により、実際にこれまでの技術では検知できなかった攻撃から企業を守ることに成功しており、EUの執行機関である欧州委員会(EC)から「Key Innovators」の称号が与えられています。

　現在の高度な攻撃においては、脅威データベースでは検出できない、動的に変容するマルウェアが利用されています。またその動きは通常アプリの動きと似せており、ふるまい検出でも検知しないように作成されています。

　これらに対してPremiumエディション以降では、ローカルでも動作するHyper-Detectと呼ぶ防御層を展開できます。このエンジンは現実のゼロディ脅威の検出に多くの実績をあげており、第三者評価機関で行われている、ウィルス定義DBの更新をあえてストップした状態での厳格テストでも、その能力を証明しています。

• ローカル機械学習エンジンのチューニング

3. 脆弱性対策（AAE）

　現在マルウェア対策と同じぐらい重視されているのが、この脆弱性対策AAE(Advanced Anti-Exploit)です。OSやアプリの既知だけではなく、未知の脆弱性を利用する攻撃をも検出できます。この防御機能にも機械学習エンジンの成果が投入され、プロアクティブな防御を実現しています。

• Linuxのセキュリティはマルウェア対策に加えてエクスプロイト対策

4. ネットワーク攻撃防御（NAD）

　このNAD（Network Attack Defense）も最新の脅威研究成果が投入され続けている防御層であり、ネットワークからの攻撃試みを、それが未知のマルウェアからのものであっても、使われている攻撃テクニックに注目することで検出することができます。

• クラウドワークロードのセキュリティ(CWS)にNetwork Attack Defense(NAD)が必要な理由

5. エンドポイントリスク管理（ERM）

　防御で重要な要素にハードニングというものがあります。そもそも攻撃を受ける可能性、抜け穴を塞ぐことは、攻撃を受けてからの対処と同じぐらい重要といえます。

　しかしほとんどのサーバ運用管理者にとっては、日々報告される脆弱性やパッチに関するニュースを追い続けることは困難であり、自分たちに代わり管理対象のマシンのリスクを、最新情報に照らしああせて視覚化してくれるこのERM(Endpoint Risk Mangemnet)機能は、マルウェア対策と同じぐらい欠くことのできない大きな助けとなっています。

• なぜ業界に先駆けERM（エンドポイントのリスク診断機能）も強化しているのか
• Linuxのリスク管理を自動化

6. 負荷を抑えるしくみ(SVA)

　サーバへのマルウェア対策。それを遅らせていたのは負荷増大への懸念でした。しかしこれは2012年より提供されている無償のセキュリティサーバ（SVA）により解決されています。

　このSVAを導入すると、マシンに必要なのはスキャン機能の最初の一部のみとなり、残りはSVAに移管させることができます。いわゆる重たいとされている検査判定や定期的なアップデート処理、定義DBの保持はSVAで行われることになります。

• サーバへのセキュリティ対策と負荷を抑えるしくみ

７. 最新脅威研究の取り込み（Relay/オンプレミス管理サーバ）

　常に最新の脅威情報でアップデートすることは防御において重要なことですが、サーバが置かれている環境の中には、直接インターネットに接続できない環境も少なくありません。この解決策の一つはゲートウェイ機器でルーティングを追加して限定開放する、またプロキシーの導入などがあります。

　GravityZoneではRelayというしくみを利用することができます。これはインターネットにつながる環境に設置したWindowsまたはLinuxマシンにRelayモジュール付きエージェントをインストールすることで、サーバのエージェントはこのマシンだけと通信させるようにするものです。またこのRelayモジュールはローカルに脅威情報データベースを保持することができ、サーバで毎時行うアップデートの取得は、インターネットにとりにいかず、このRelayマシンから取得するため、動作の高速化とネットワーク消費帯域の削減が期待できます。

　他にオンプレミスで管理サーバを建てる方法もあります。仮想マシンイメージで提供されている管理サーバを、インターネットに接続できる環境に設置、上記のRelayのようにサーバはこのマシンだけと通信、また脅威情報のアップデートもここから取得します。Relayと違うのは、管理サーバへのアクセスがブラウザからクラウド上のものではなく、このオンプレミスの管理サーバへ接続することです。

• Relayロールの使い所（５つのシナリオ）

８. Linuxコンテナ 

　近年急速に導入が進んでいるフレームワークがLinuxコンテナです。GravityZoneではコンテナとして動作、またホストに導入してコンテナを監視することができます。

• コンテナの包括的セキュリティ、マルウェア対策「Bitdefender GravityZone Security for Containers」

９. 攻撃の可視化（EDR／XDR） 

　エンドポイントで収集されたログをクラウドで解析し、攻撃の兆候をそのマシン、さらに複数マシンに渡り洗い出す機能です。

10. まとめと３つのエディション選択

1. 既知の脅威対策（AM）
3. 脆弱性対策（AAE）
4. ネットワーク攻撃防御（NAD）
5. エンドポイントリスク管理（ERM）

　紹介してきた防御層のうち、上記の４つは最低限必要なものです。これらは弊社で扱っている３つ全てのエディションで実装することができ、最小コストで導入できるものはこのエントリーエディションです。

基本的なエンドポイントの保護

GravityZone Business Security 

2. 未知の脅威対策（ATP/NGAV）

　しかし現在、通常のマルウェア対策では検出できない攻撃が、大企業だけではなく中小企業も対象に行われており、これらを検出するためには従来とは全く異なるしくみである、上記のATP/NGAVであるAI機械学習エンジンの防御層が必要です。

　また自社への導入にあたり、社内向けの選定理由エビデンスとして第三者評価機関のテスト結果を利用される場合、実際にテストに使用されたエディションを選択する必要があり、かつサーバ向けに最適化されているのはこのメインエディションで、Bitdefender社の推奨エディションでもあります。

現代サイバーセキュリティの標準

GravityZone Security for Servers

９. 攻撃の可視化（EDR／XDR） 

　さらに攻撃の徴候をつかむべくサーバーおよびネットワーク内の動きの可視化と早期検出能力（EDR/XDR）を求められる方は、次のフラグシップエディションを選択してください。

Bitdefender社のフラグシップ

GravityZone Business Security Enterprise

　なおエントリーエディションからメイン、さらにフラグシップへは任意のタイミングでアップグレードすることができ、エンドポイントにおいて再インストールは不要で、管理コンソールから追加された防御モジュールをアドオン指示することで、シングルエージェントのまま強化されます。

導入検討の流れ

1. ３つのエディションと概算価格の確認
2. 動作検証（30日間の無料試用）
3. お見積りと購入（請求書発行月の翌月末迄の銀行振込）

　新規の他、導入後の追加や更新は全てメールのやりとりで完結いたします。ご不明な点はお気軽にお問い合わせください。

補足

　以下のサーバ向け製品（いずれも過去に弊社で扱い）をお使いの方は本Bitdefender GravityZoneが後継製品となります。

• BitDefender Antivirus Scanner for Unices
• BitDefender Security for File Servers
• BitDefender Security for Exchange

　また以下は製品のコンポーネント名であり、製品に含まれているため単品では販売しておりません。

• Bitdefender Endpoint Security Tools for Linux
• Bitdefender Endpoint Security Tools for Windows Server