インターネットから隔離されたオフライン・クローズド環境でマルウェア対策を実現するには


 施設の中には、その極めて高い社会的重要性から立ち入りが厳しく制限され、立地的にも人が住む場所からは離れてはいるものの、現代ではそのような場所にも当然コンピューターシステムは導入され、その施設の運用に必須不可欠なものとなっています。

 その場所では当然インターネットから隔離されてはいるものの、サイバーセキュリティの脅威はなくなりません。なぜならマシン・ルータ機器のOSや業務システムアプリの更新などのタイミングで、常に侵入する可能性があり、また既に侵入済で時間経過で発動する場合もあります。

 具体的には、この施設を狙ったものではない偶然の更新アプリへの侵入による汎用的な攻撃では、ランサムウェアのようにバックアップやファイルサーバを暗号化後、画面上に身代金の要求を表示するもの。またはじめからその施設を狙った標的型攻撃では、システム停止や、システムを通して提供しているサービスの破壊を行うものがあります。

 インターネットに接続していないと、最新の脅威対策で導入済サイバーセキュリティがアップデートできないため、日々防御能力が落ちていきます。よく「攻撃手法に注目することで更新なしにも防御力を維持できる」とうたうものがありますが、必ず敵はそれを研究して回避してきますので、その防御方法だけでは不十分です。このためネットから隔離された場所でも、常に最新の脅威研究を反映した異なる種類のサイバーセキュリティ能力を、多層で持たせる必要があります。



 Bitdefender GravityZoneは基本的にはインターネット接続を前提として、定期的なアップデートが行われることを前提としていますが、上記のような環境向けには、特別な「オフラインアップデート」とよばれるしくみを提供しており、国内をはじめ世界各地の重要施設の保護に利用されています。

 ただこのしくみでもオンライン環境と同じエンタープライズレベルでの防御能力、運用機能を実現することを目的としています。第三者機関で証明された最高レベルの防御性能、各種セキュリティ規定を満たすために必要なスケジュールでのタスク実行、状況レポートの生成、通知、SIEMsとの連携などオンライン版と同じ機能が利用できます。

 このためにはよくあるZIPファイルによるウィルス定義の適用では不十分で、ふるまいエンジンやAIモデル、管理サーバやエージェントの製品本体のアップデート、ベースOSのセキュリティパッチらも含まれ、それらはオンライン版同様の改ざん・整合性チェックが付いたアップデート機構のもとで適用されます。

 こうして隔離されたオフライン・クローズド環境であっても、世界最高峰のモダンサイバーセキュリティで保護できるようになっています。

 なお本製品はその能力から米国の輸出管理品となっています。この「オフラインアップデート」の利用にあたっては、通常とは異なり事前にBitdefender側の審査があり、導入先のシステムが重要なインフラや公共性が高いものである必要があります。どうぞご了承ください。

 ※通常のネット接続が制限された環境向けには、Relayというしくみやオンプレミス管理サーバのみをネットに接続させる方法があります。

 ライセンスキーはオフライン専用のものが発行され、それを製品に登録することが必要ですが、価格は通常のオンライン版製品のものと同一です。



1 基本構成

 オフラインとはいえ、エンタープライズでのサイバーセキュリティ運用に必要なフル機能を実現するため、通常のネットに接続されたオンプレミス管理サーバとは異なる構成、手順で構築します。

 一番の違いは管理サーバは2つ設置する必要があり、以下のようにンターネットに接続された環境に「オンラインGZVA」、隔離された環境に「オフラインGZVA」を設置します。
※GZVA=GravityZone Virtual Appliance(仮想マシン)

 

2 アップデートの手順

 最新の脅威対策をもれなく実装するために、上図のようにオンラインGZVAで作成されたアーカイブを運用者が手動で内部の隔離環境に持ち込み、直接オフラインGZVAの管理サーバへアップロードするか、または管理サーバが参照しているSAMBA領域に配置します。

 オフラインGZVAは新しい更新がきたことを検出すると自動で取り込みを開始して、エンドポイントへはその後の更新タイミングで適用されていきます。

 このアーカイブには脅威情報(ウィルス定義)、管理サーバやエンドポイント上のエージェント製品の更新、また管理サーバの仮想アプライアンスにはベースOSとして、Ubuntu 20.04 LTS(2024年現在)が使用されていますが、このOSパッケージのセキュリティパッチも含まれ、LTSライセンスに対応する形でバージョンアップも提供されます。

 オンラインGZVA上で自動で作成されるアーカイブには2種類あり、脅威情報のみを含むLiteアーカイブと呼ばれるもののファイルサイズは2.5GB程度。製品アップデートを含むFullアーカイブと呼ばれるものは15GB程度です。

 Liteアーカイブは毎日、またはできるだけ頻繁に適用することが推奨されます。一方、Fullアーカイブは毎月またはリリースノートをチェックして、重要なアップデートがリリースされたら、次回のメンテナンス計画に含めてください。

3 構築例

 管理サーバであるGZVAは仮想アプライアンスの形で適用されるため、その稼働には仮想環境が必要ですが、その仮想マシンイメージはオフライン・オンラインとも、主要仮想環境プラットフォーム(VMware,Nutanix, RHEV, Oracle VM, KVM等)に対応しています。

 最小構成例の一つとして、上図では「オンラインGZVA」をWindowsデスクトップOSが持つHyper-Vで稼働させています。また重要インフラで稼働するマシンの負荷を、マルウェア対策エージェント導入によるリソース消費を最小限にするために、セキュリティサーバ(SVA)と呼ばれる仮想アプライアンスを導入した構成となっています。

 そして地域毎や工場棟毎にオフラインサイトがある場合は、共通の1つのオンラインGZVAで生成されたアーカイブを、各地・各棟のオフラインGZVAに配布して適用するシナリオとなっています。