Linuxサーバーのマルウェア対策と脆弱性対策、リスク管理

　十数年にわたりBitdefender社はサーバ保護に注力してきました。それはその優れた防御力を理由にBitdefenderを指名、導入してきたエンタープライズ企業が、自社のデスクトップPCだけではなくサーバの保護も強く望んできたからです。

サーバ２台１年23,000円、３年48,000円から

　Bitdefenderは大規模なR&D体制により業界において、次の時代を見据えたセキュリティをいち早く実装しています。サーバにおける仮想化やクラウド移行の大きな変化のはじまりにあってもいち早く対応して、望まれるレスポンスを低下させない軽快さと、防御力を高い次元で両立させるサーバーに特化した製品革新が続けられています。またLinuxにおいては幅広いディストリビューションへの対応も、求められている要件となっています。

　Bitdefender社が今日の脅威に対抗すべく、サーバ保護に必要と考え実装している防御機能には以下のものがあります。特に１～５が重要であり、もうアンチマルウェアだけでは防げなくなってしまった現実の脅威に対し、包括的な対策を展開することができます。

1. 既知の脅威対策（AM）
2. 未知の脅威対策（ATP/NGAV）
3. 脆弱性対策（AAE）
4. ネットワーク攻撃防御（NAD）
5. エンドポイントリスク管理（ERM）
6. 負荷を抑えるしくみ（SVA)
7. アップデート取り込みの最適化（Relay/オンプレミス管理サーバ）
8. Linuxコンテナ保護
9. 攻撃の可視化（EDR／XDR）
10. 選べる３つのエディションと価格

1. 既知の脅威対策（AM）

　ソフトウェアを利用した攻撃手法は現在も主流であり、それら既知の脅威を確実に判定、検出するアンチマルウェア（AM）能力は不可欠です。世界180社以上のセキュリティベンダーにOEM提供され、世界最大５億台のマシンで利用されているBitdefenderの検出エンジンからのビッグデータを元に、脅威データベースがリアルタイムに整備され、毎時配信されています。

　なおBitdefender研究所で構造解析済の脅威は、ファイルからその感染部分だけを除去(Disinfect)して、正常なファイルに戻すことができますが、これは他社にはなかなか真似できない、大規模なＲ＆Ｄ体制を自社で持つBitdefender製品の特徴の一つです。

2. 未知の脅威対策（ATP/NGAV）

　ATPやNGAVと呼ばれる最新の防御能力の要となっている技術がAI機械学習です。Bitdefender社は、2008年に世界で初めてマルウェア検出のための機械学習モデルを開発した企業であり、 機械学習に関して70以上の学術論文を発表しています。また欧州域内の大学で50名の研究員が講義を持ち、共同研究も行っています。

　特に高度な攻撃で使用されるファイルレス攻撃に関する成果により、実際にこれまでの技術では検知できなかった攻撃から企業を守ることに成功しており、EUの執行機関である欧州委員会(EC)から「Key Innovators」の称号が与えられています。

　現在の高度な攻撃においては、脅威データベースでは検出できない、動的に変容するマルウェアが利用されています。またその動きは通常アプリの動きと似せており、ふるまい検出でも検知しないように作成されています。

　これらに対してSecurity for Servers（Premium、Enterprise）エディションでは、ローカルでも動作するHyper-Detectと呼ぶ、次世代防御層を展開できます。このエンジンは現実のゼロディ脅威の検出に多くの実績をあげており、第三者評価機関で行われている、ウィルス定義DBの更新をあえてストップした状態での厳格テストでも、その能力を証明しています。

• ローカル機械学習エンジンのチューニング

3. 脆弱性対策（AAE）

　現在マルウェア対策と同じぐらい重視されているのが、この脆弱性対策AAE(Advanced Anti-Exploit)です。OSやアプリの既知だけではなく、未知の脆弱性を利用する攻撃をも検出できます。この防御機能にも機械学習エンジンの成果が投入され、プロアクティブな防御を実現しています。

• Linuxのセキュリティはマルウェア対策に加えてエクスプロイト対策

4. ネットワーク攻撃防御（NAD）

　このNAD（Network Attack Defense）も最新の脅威研究成果が投入され続けている防御層であり、ネットワークからの攻撃試みを、それが未知のマルウェアからのものであっても、使われている攻撃テクニックに注目することで検出することができます。

• クラウドワークロードのセキュリティ(CWS)にNetwork Attack Defense(NAD)が必要な理由

5. エンドポイントリスク管理（ERM）

　防御で重要な要素にハードニングというものがあります。そもそも攻撃を受ける可能性、抜け穴を塞ぐことは、攻撃を受けてからの対処と同じぐらい重要といえます。

　しかしほとんどのサーバ運用管理者にとっては、日々報告される脆弱性やパッチに関するニュースを追い続けることは困難であり、自分たちに代わり管理対象のマシンのリスクを、最新情報に照らしああせて視覚化してくれるこのERM(Endpoint Risk Mangemnet)機能は、マルウェア対策と同じぐらい欠くことのできない大きな助けとなっています。

• なぜ業界に先駆けERM（エンドポイントのリスク診断機能）も強化しているのか
• Linuxのリスク管理を自動化

6. 負荷を抑えるしくみ(SVA)

　サーバへのマルウェア対策。それを遅らせていたのは負荷増大への懸念でした。しかしこれは2012年より提供されている無償のセキュリティサーバ（SVA）により解決されています。

　このSVAを導入すると、マシンに必要なのはスキャン機能の最初の一部のみとなり、残りはSVAに移管させることができます。いわゆる重たいとされている検査判定や定期的なアップデート処理、定義DBの保持はSVAで行われることになります。

• サーバへのセキュリティ対策と負荷を抑えるしくみ

７. アップデート取り込みの最適化（Relay/オンプレミス管理サーバ）

　常に最新の脅威情報でアップデートすることは防御において重要なことですが、サーバが置かれている環境の中には、直接インターネットに接続できない環境も少なくありません。この解決策の一つはゲートウェイ機器でルーティングを追加して限定開放する、またプロキシーの導入などがあります。

　GravityZoneではRelayというしくみを利用することができます。これはインターネットにつながる環境に設置したWindowsまたはLinuxマシンにRelayモジュール付きエージェントをインストールすることで、サーバのエージェントはこのマシンだけと通信させるようにするものです。またこのRelayモジュールはローカルに脅威情報データベースを保持することができ、サーバで毎時行うアップデートの取得は、インターネットにとりにいかず、このRelayマシンから取得するため、動作の高速化とネットワーク消費帯域の削減が期待できます。

　他にオンプレミスで管理サーバを建てる方法もあります。仮想マシンイメージで提供されている管理サーバを、インターネットに接続できる環境に設置、上記のRelayのようにサーバはこのマシンだけと通信、また脅威情報のアップデートもここから取得します。Relayと違うのは、管理サーバへのアクセスがブラウザからクラウド上のものではなく、このオンプレミスの管理サーバへ接続することです。

• Relayロールの使い所（５つのシナリオ）

８. Linuxコンテナ 

　近年急速に導入が進んでいるフレームワークがLinuxコンテナです。GravityZoneではコンテナとして動作、またホストに導入してコンテナを監視することができます。

• コンテナの包括的セキュリティ、マルウェア対策「Bitdefender GravityZone Security for Containers」

９. 攻撃の可視化（EDR／XDR） 

　エンドポイントで収集されたログをクラウドで解析し、攻撃の兆候をそのマシン、さらに複数マシンに渡り洗い出す機能です。

10. 選べる３つのエディションと価格

　予算と必要とする防御能力に応じて、①基本、②標準、③フラグシップの３つのエディションが用意されていて、すべてにおいてLinux/Windows Serverへの導入が可能です。

---

①エンドポイント保護のベーシック

GravityZone Business Security

２台１年で24,000円（税別）から

搭載防御機能：1. 既知の脅威対策（AM）、3. 脆弱性対策（AAE）、4. ネットワーク攻撃防御（NAD）、5. エンドポイントリスク管理（ERM）

　上記の１、３、４、５の防御力は、最低限必要なものであり、この基本エディションはこれらを最小コストで、本番機とステージング／開発機に実装することができます。

---

②現代サイバーセキュリティのスタンダード

GravityZone Security for Servers

１台１年で23,000円（税別）から

搭載防御機能：①＋2. 未知の脅威対策（ATP/NGAV）

　Bitdefender社が推奨するサーバ向けに最適化された標準エディションです。今日、通常のマルウェア対策では検出できない攻撃が、大企業だけではなく中小企業も対象に行われており、これらを検出する従来とは全く異なる技術、AI機械学習エンジンによるこの未知への脅威対策能力が①に追加で必要です。

　また、自社への導入にあたり、社内向けの選定理由エビデンスとして第三者評価機関のテスト結果を利用される場合、テストで実際に使用されたこの②もしくは次の③のエディションが必要です。

---

③Bitdefender社のフラグシップ

GravityZone Business Security Enterprise

２台１年で51,000円（税別）から

搭載防御機能：②＋９. 攻撃の可視化（EDR／XDR） 

　さらに攻撃の徴候をつかむべくサーバーおよびネットワーク内の動きの可視化と早期検出能力（EDR/XDR）を求められる方は、この現代サイバーセキュリティの最高傑作、このBitdefenderの旗艦エディションを選択してください。

---

　なお①②導入後に上位の②③へ、お使いの管理コンソールはそのままで、再インストールなしで移行することが可能です。ライセンス移行後、管理コンソールから追加可能となった防御モジュールをアドオン指示することで、シングルエージェントのまま強化されます。

導入検討の流れ

1. ３つのエディションと概算価格の確認
2. 動作検証（30日間の無料試用）
3. お見積りと購入（翌月末銀行振込または電子決済等[STORES]で購入）

　新規の他、導入後の追加や更新は全てメールのやりとりで完結いたします。ご不明な点はお気軽にお問い合わせください。

補足

　以下のサーバ向け製品（いずれも過去に弊社で扱い）をお使いの方は本Bitdefender GravityZoneが後継製品となります。

• BitDefender Antivirus Scanner for Unices
• BitDefender Security for File Servers
• BitDefender Security for Exchange

　また以下を製品として紹介しているサイトがありますが、これらはエンドポイントにインストールするアプリケーション名で、製品名ではありません。現在販売しているエディションであれば、どちらのOS版もご利用いただけます。

• Bitdefender Endpoint Security Tools for Linux
• Bitdefender Endpoint Security Tools for Windows Server