Linuxサーバーのマルウェア対策と脆弱性対策、リスク管理

 十数年にわたりBitdefender社はサーバ保護に注力してきました。それはその優れた防御力を理由にBitdefenderを指名、導入してきたエンタープライズ企業が、自社のデスクトップPCだけではなくサーバの保護も強く望んできたからです。

サーバ2台1年23,000円、3年48,000円から

 Bitdefenderは大規模なR&D体制により業界において、次の時代を見据えたセキュリティをいち早く実装しています。サーバにおける仮想化やクラウド移行の大きな変化のはじまりにあってもいち早く対応して、望まれるレスポンスを低下させない軽快さと、防御力を高い次元で両立させるサーバーに特化した製品革新が続けられています。またLinuxにおいては幅広いディストリビューションへの対応も、求められている要件となっています。

 Bitdefender社が今日の脅威に対抗すべく、サーバ保護に必要と考え実装している防御機能には以下のものがあります。特に1~5が重要であり、もうアンチマルウェアだけでは防げなくなってしまった現実の脅威に対し、包括的な対策を展開することができます。

1. 既知の脅威対策(AM)

 ソフトウェアを利用した攻撃手法は現在も主流であり、それら既知の脅威を確実に判定、検出するアンチマルウェア(AM)能力は不可欠です。世界の180社以上のセキュリティベンダーでも(OEM)利用されているBitdefenderの検出エンジンからの情報を元に、脅威データベースがリアルタイムに整備され、毎時配信されています。

 なお研究所で構造解析済の脅威は、ファイルからその感染部分だけを除去(Disinfect)して、正常なファイルに戻すことができますが、これは他社にはなかなか真似できない、大規模なR&D体制を自社で持つBitdefenderの特徴の一つです。

2. 未知の脅威対策(ATP/NGAV)

 ATPやNGAVと呼ばれる最新の防御能力の要となっている技術がAI機械学習です。Bitdefender社は2009年に世界で初めて、マルウェア検出のための機械学習アルゴリズムを開発した企業であり、 機械学習に関して70以上の学術論文を発表しています。また欧州域内の大学で50名の研究員が講義を持ち、共同研究も行っています。

 特に高度な攻撃で使用されるファイルレス攻撃に関する成果により、実際にこれまでの技術では検知できなかった攻撃から企業を守ることに成功しており、EUの執行機関である欧州委員会(EC)から「Key Innovators」の称号が与えられています。

 現在の高度な攻撃においては、脅威データベースでは検出できない、動的に変容するマルウェアが利用されています。またその動きは通常アプリの動きと似せており、ふるまい検出でも検知しないように作成されています。

 これらに対してPremiumエディション以降では、ローカルでも動作するHyper-Detectと呼ぶ防御層を展開できます。このエンジンは現実のゼロディ脅威の検出に多くの実績をあげており、第三者評価機関で行われている、ウィルス定義DBの更新をあえてストップした状態での厳格テストでも、その能力を証明しています。

3. 脆弱性対策(AAE)

 現在マルウェア対策と同じぐらい重視されているのが、この脆弱性対策AAE(Advanced Anti-Exploit)です。OSやアプリの既知だけではなく、未知の脆弱性を利用する攻撃をも検出できます。この防御機能にも機械学習エンジンの成果が投入され、プロアクティブな防御を実現しています。

4. ネットワーク攻撃防御(NAD)

 このNAD(Network Attack Defense)も最新の脅威研究成果が投入され続けている防御層であり、ネットワークからの攻撃試みを、それが未知のマルウェアからのものであっても、使われている攻撃テクニックに注目することで検出することができます。

5. エンドポイントリスク管理(ERM)

 防御で重要な要素にハードニングというものがあります。そもそも攻撃を受ける可能性、抜け穴を塞ぐことは、攻撃を受けてからの対処と同じぐらい重要といえます。

 しかしほとんどのサーバ運用管理者にとっては、日々報告される脆弱性やパッチに関するニュースを追い続けることは困難であり、自分たちに代わり管理対象のマシンのリスクを、最新情報に照らしああせて視覚化してくれるこのERM(Endpoint Risk Mangemnet)機能は、マルウェア対策と同じぐらい欠くことのできない大きな助けとなっています。

6. 負荷を抑えるしくみ(SVA)

 サーバへのマルウェア対策。それを遅らせていたのは負荷増大への懸念でした。しかしこれは2012年より提供されている無償のセキュリティサーバ(SVA)により解決されています。

 このSVAを導入すると、マシンに必要なのはスキャン機能の最初の一部のみとなり、残りはSVAに移管させることができます。いわゆる重たいとされている検査判定や定期的なアップデート処理、定義DBの保持はSVAで行われることになります。

7. 最新脅威研究の取り込み(Relay/オンプレミス管理サーバ)

 常に最新の脅威情報でアップデートすることは防御において重要なことですが、サーバが置かれている環境の中には、直接インターネットに接続できない環境も少なくありません。この解決策の一つはゲートウェイ機器でルーティングを追加して限定開放する、またプロキシーの導入などがあります。

 GravityZoneではRelayというしくみを利用することができます。これはインターネットにつながる環境に設置したWindowsまたはLinuxマシンにRelayモジュール付きエージェントをインストールすることで、サーバのエージェントはこのマシンだけと通信させるようにするものです。またこのRelayモジュールはローカルに脅威情報データベースを保持することができ、サーバで毎時行うアップデートの取得は、インターネットにとりにいかず、このRelayマシンから取得するため、動作の高速化とネットワーク消費帯域の削減が期待できます。

 他にオンプレミスで管理サーバを建てる方法もあります。仮想マシンイメージで提供されている管理サーバを、インターネットに接続できる環境に設置、上記のRelayのようにサーバはこのマシンだけと通信、また脅威情報のアップデートもここから取得します。Relayと違うのは、管理サーバへのアクセスがブラウザからクラウド上のものではなく、このオンプレミスの管理サーバへ接続することです。

8. Linuxコンテナ 

 近年急速に導入が進んでいるフレームワークがLinuxコンテナです。GravityZoneではコンテナとして動作、またホストに導入してコンテナを監視することができます。

9. 攻撃の可視化(EDR/XDR) 

 エンドポイントで収集されたログをクラウドで解析し、攻撃の兆候をそのマシン、さらに複数マシンに渡り洗い出す機能です。


10. 選べる3つのエディションと価格

 予算と必要とする防御能力に応じて、①基本、②標準、③フラグシップの3つのエディションが用意されています。


①エンドポイント保護のベーシック

GravityZone Business Security

2台1年で24,000円(税別)から

搭載防御機能:1. 既知の脅威対策(AM)、3. 脆弱性対策(AAE)、4. ネットワーク攻撃防御(NAD)、5. エンドポイントリスク管理(ERM)

 上記の1、3、4、5の防御力は、最低限必要なものであり、この基本エディションはこれらを最小コストで、本番機とステージング/開発機に実装することができます。


②現代サイバーセキュリティのスタンダード

GravityZone Security for Servers

1台1年で23,000円(税別)から

搭載防御機能:①+2. 未知の脅威対策(ATP/NGAV)

 Bitdefender社が推奨するサーバ向けに最適化された標準エディションです。今日、通常のマルウェア対策では検出できない攻撃が、大企業だけではなく中小企業も対象に行われており、これらを検出する従来とは全く異なる技術、AI機械学習エンジンによるこの未知への脅威対策能力が①に追加で必要です。

 また、自社への導入にあたり、社内向けの選定理由エビデンスとして第三者評価機関のテスト結果を利用される場合、実際に使用されたこの②と次の③のエディションが必要です。


③Bitdefender社のフラグシップ

GravityZone Business Security Enterprise

2台1年で51,000円(税別)から

搭載防御機能:②+9. 攻撃の可視化(EDR/XDR) 

 さらに攻撃の徴候をつかむべくサーバーおよびネットワーク内の動きの可視化と早期検出能力(EDR/XDR)を求められる方は、この現代サイバーセキュリティの最高傑作、このBitdefenderの旗艦エディションを選択してください。


 なお①②導入後に上位の②③へ、お使いの管理コンソールはそのままで、再インストールなしで移行することが可能です。ライセンス移行後、管理コンソールから追加可能となった防御モジュールをアドオン指示することで、シングルエージェントのまま強化されます。


導入検討の流れ

  1. 3つのエディション概算価格の確認
  2. 動作検証(30日間の無料試用)
  3. お見積りと購入(翌月末銀行振込または電子決済等[STORES]で購入)

 新規の他、導入後の追加や更新は全てメールのやりとりで完結いたします。ご不明な点はお気軽にお問い合わせください。

補足

 以下のサーバ向け製品(いずれも過去に弊社で扱い)をお使いの方は本Bitdefender GravityZoneが後継製品となります。

  • BitDefender Antivirus Scanner for Unices
  • BitDefender Security for File Servers
  • BitDefender Security for Exchange

 また以下を製品として紹介しているサイトがありますが、これらはエンドポイントにインストールするエージェント名であり、製品の一部であるため単品では販売しておりません。

  • Bitdefender Endpoint Security Tools for Linux
  • Bitdefender Endpoint Security Tools for Windows Server