ランサムウェア対策(Anti-Ransomware)機能
このナレッジでは、Endpoint Centralの「ランサムウェア対策」機能について説明しています。
Endpoint Centralオンプレミス版のランサムウェア対策機能は、閉域ネットワークにおいても利用可能となる予定です。
ランサムウェア対策アドオン
ランサムウェア対策機能は、Endpoint Centralの本体のライセンスとは別料金(追加オプション)のアドオンをご購入いただくことでご利用いただける機能です。
なおEndpoint Centralの「評価版」では、ランサムウェア対策機能を含む、Endpoint Centralのすべての機能をご利用いただけます。
評価版やアドオンについての説明は、「Endpoint CentralのEditionと無料版」をご覧ください。
ランサムウェア対策機能の特徴
機械学習に基づくふるまい検知
従来のアンチウイルスソフトのような、ウイルス定義データベースに登録されたシグネチャに基づく仕組みとは異なり、Endpoint Centralのランサムウェア対策機能は機械学習に基づくふるまい検知のアルゴリズムを使用しています(概要はこちらをご覧ください)。これにより広い対応範囲とランサムウェア攻撃の正確な検知を実現しています。
ファイルを開いて暗号化し、上書き保存するといった、ランサムウェアのパターンに酷似した挙動を示すプロセスを検出すると、アラートを通知(監査モード)または自動的にプロセスをブロック(強制終了モード)します。アラートはインシデントとして記録され、ファイルへの署名情報や、複数のセキュリティベンダーによる評価の確認(ファイルを検出した場合、ファイルハッシュ値をもとに表示)、実行したプロセスツリー情報、検出デバイスなどの情報がコンソール画面に表示されます。
分かりやすく簡単なインシデントレスポンス
管理者は表示された情報をもとに真陽性フラグ/偽陽性(誤検知)フラグを設定します。真陽性を選択すると、ファイルのリカバリプロセスが自動的に開始されます。偽陽性(誤検知)であった場合、今後類似のプロセスの判定にフィードバックされます。デバイスの隔離も1クリックで実行でき、隔離したデバイスはEndpoint Centralとのみ通信を実行するようになります。
インシデントレスポンスの初動に必要とされる隔離と最低限の情報が簡単に取得できます。
1クリックのファイル復元
Endpoint Centralのランサムウェア対策機能は、MicrosoftのVSS(ボリュームシャドウコピーサービス)を使用して、全ファイルのシャドウコピーを3時間ごとに取得しています。取得したコピーは管理対象コンピューター内に保存し、独自の技術を使用して保護します。このコピーはランサムウェア攻撃を受けた場合でも暗号化されません。
記録されたインシデントに対して管理者が真陽性フラグを設定すると、影響を受けたデバイスは直近に取得されたコピーから復元が実行されます。また、同一ランサムウェアの攻撃を再度受けた場合、復元は自動的に実行されます。
実行可能ファイルの除外による円滑化
エンドポイント保護において、ランサムウェア対策機能はゼロトラストのアプローチをとっています。生産性を維持するため、信頼された実行可能ファイルについてのみ、リアルタイムのふるまい検知/インシデント通知の対象から除外することが可能です。
また、除外リストに含まれる実行可能ファイルからの攻撃を防ぐため、除外リストには署名済み証明書と許可フォルダーの制限を追加することが可能です。
ランサムウェア対策機能の有効化・無効化
-
ランサムウェア対策機能を有効化する方法
Endpoint Central(ビルド 11.3.2414.01 以降)を新規でインストールすると、「ランサムウェア対策機能」および「次世代アンチウイルス(NGAV)機能」がデフォルトで有効化されています。これらの機能が実装される以前のビルドから継続して
Endpoint Centralをお使いの場合や、一度これらの機能を無効化した後に再度有効化する場合は、以下の方法で有効化が可能です。- ライセンスを確認し、ランサムウェア対策機能(Anti Ransomware - Add on)が利用可能であることを確認します。
※ ただしEndpoint Centralの評価版をご利用中は、無料でランサムウェア対策機能をご利用いただけます。
- [ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ)を開き、「有効化」をクリックします。
- サポート対象OSのうち、すべての管理対象に対して機能を有効化する場合は「All Endpoints」を選択して「有効化」をクリックします。
一部のみ有効化する場合は「Limited Endpoints」を選択後「Select Endpoints」をクリックして、有効化する対象のカスタムグループを左から右へドラッグ&ドロップして選択し、「有効化」をクリックします。
- 以上で、「ランサムウェア対策機能」と「次世代アンチウイルス(NGAV)機能」の両方が有効化されます。
※ 「次世代アンチウイルス(NGAV)機能」を利用せずに「ランサムウェア対策機能」のみを利用したい場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [設定の変更] を開きます。「ランサムウェア検知エンジン」のみを有効化し、「Next-Gen Antivirus」の各エンジンを無効化します。
- ライセンスを確認し、ランサムウェア対策機能(Anti Ransomware - Add on)が利用可能であることを確認します。
-
ランサムウェア対策機能を無効化する方法
- 「ランサムウェア対策機能」の利用を停止し、「次世代アンチウイルス(NGAV)機能」のみを利用したい場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [設定の変更] を開きます。「ランサムウェア検知エンジン」のみを無効化し、「Next-Gen Antivirus」の各エンジンは有効化します。
- 「ランサムウェア対策機能」と「次世代アンチウイルス(NGAV)機能」の両方の利用を停止する場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [早期アクセスを無効化] を開きます。「Disable Malware Protection」(マルウェア対策の無効化)をクリックして無効化する理由を入力し、「はい、無効化します」をクリックします。
- 「ランサムウェア対策機能」の利用を停止し、「次世代アンチウイルス(NGAV)機能」のみを利用したい場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [設定の変更] を開きます。「ランサムウェア検知エンジン」のみを無効化し、「Next-Gen Antivirus」の各エンジンは有効化します。
よくある質問
- ランサムウェア対策機能を利用する場合、Endpoint Centralエージェント以外にエージェントをインストールする必要がありますか?
いいえ、不要です。ランサムウェア対策機能はEndpoint Centralエージェントのみで動作します。ランサムウェア対策機能を有効化すると、エージェントサービスに加えて以下のサービスが稼働します。
ManageEngine - EDR Service
ManageEngine - EDR Telemetry - ランサムウェア対策機能がサポートするOSは何ですか?
Windows 10、Windows 11に対応しています。
- Endpoint Central のランサムウェア対策機能の利点は何ですか?
エンドポイント管理ツールにEDRとしての機能を追加することで、1つのツールでエンドポイント管理からランサムウェア対策に必要な機能までをカバーします。管理対象に追加のエージェントを導入する必要がなく、パフォーマンスへの影響も軽微です。また、バックアップされたデータからの復元も簡単に実行でき、生産性への影響を最小限に抑えます。
- 次世代アンチウイルス(NGAV)機能とランサムウェア対策機能の違いは何ですか?
ランサムウェア対策機能はマルウェア対策機能の一部です。マルウェア対策の一環として、将来的に「NGAV(次世代アンチウイルス)」機能のサポートを予定しています。なお、次世代アンチウイルス(NGAV)機能は、グローバルにおいても現在アーリーアクセス版のみとなっております。
ランサムウェア対策機能がランサムウェアの脅威を検出するのに対して、次世代アンチウイルス機能は包括的なマルウェアからの保護機能を提供する予定です。
その他のFAQ(英語)はこちらをご覧ください。
このナレッジはこちらの英語記事を基に作成されています。