ランサムウェア対策機能(Anti-Ransomware)について
このナレッジでは、Endpoint Centralの「ランサムウェア対策」機能について説明しています。
なお、Endpoint Centralオンプレミス版のランサムウェア対策機能は、閉域ネットワークにおいても利用可能となる予定です。
ランサムウェア対策機能の特徴
機械学習に基づくふるまい検知
従来のアンチウイルスソフトのような、ウイルス定義データベースに登録されたシグネチャに基づく仕組みとは異なり、Endpoint Centralのランサムウェア対策機能は機械学習に基づくふるまい検知のアルゴリズムを使用しています(概要はこちらをご覧ください)。これにより広い対応範囲とランサムウェア攻撃の正確な検知を実現しています。
ファイルを開いて暗号化し、上書き保存するといった、ランサムウェアのパターンに酷似した挙動を示すプロセスを検出すると、アラートを通知(監査モード)または自動的にプロセスをブロック(強制終了モード)します。アラートはインシデントとして記録され、ファイルへの署名情報や、複数のセキュリティベンダーによる評価の確認(ファイルを検出した場合、ファイルハッシュ値をもとに表示)、実行したプロセスツリー情報、検出デバイスなどの情報がコンソール画面に表示されます。
分かりやすく簡単なインシデントレスポンス
管理者は表示された情報をもとに真陽性フラグ/偽陽性(誤検知)フラグを設定します。真陽性を選択すると、ファイルのリカバリプロセスが自動的に開始されます。偽陽性(誤検知)であった場合、今後類似のプロセスの判定にフィードバックされます。デバイスの隔離も1クリックで実行でき、隔離したデバイスはEndpoint Centralとのみ通信を実行するようになります。
インシデントレスポンスの初動に必要とされる隔離と最低限の情報が簡単に取得できます。
1クリックのファイル復元
Endpoint Centralのランサムウェア対策機能は、MicrosoftのVSS(ボリュームシャドウコピーサービス)を使用して、全ファイルのシャドウコピーを3時間ごとに取得しています。取得したコピーは管理対象コンピューター内に保存し、独自の技術を使用して保護します。このコピーはランサムウェア攻撃を受けた場合でも暗号化されません。
記録されたインシデントに対して管理者が真陽性フラグを設定すると、影響を受けたデバイスは直近に取得されたコピーから復元が実行されます。また、同一ランサムウェアの攻撃を再度受けた場合、復元は自動的に実行されます。
実行可能ファイルの除外による円滑化
エンドポイント保護において、ランサムウェア対策機能はゼロトラストのアプローチをとっています。生産性を維持するため、信頼された実行可能ファイルについてのみ、リアルタイムのふるまい検知/インシデント通知の対象から除外することが可能です。
また、除外リストに含まれる実行可能ファイルからの攻撃を防ぐため、除外リストには署名済み証明書と許可フォルダーの制限を追加することが可能です。
よくある質問
- Endpoint Centralの製品版や無料版を使用している場合、ランサムウェア対策機能を試用できますか?
はい、可能です。Endpoint Central 11.1.2236.1以降のビルドにおいて、「次世代アンチウイルス」タブ または「ランサムウェア対策」タブが表示されている場合、この機能をお試しいただけます。
ランサムウェア対策機能は有効化してから30日間無料で利用可能です。次世代アンチウイルス機能(アーリーアクセス版)については、現状期限はありません(アーリーアクセスが終了するまで無料でご利用いただける見通しです)。なお現時点では日本語サポートの対象ではない点にご注意ください。
- ランサムウェア対策機能を利用する場合、Endpoint Centralエージェント以外にエージェントをインストールする必要がありますか?
いいえ、不要です。ランサムウェア対策機能はEndpoint Centralエージェントのみで動作します。ランサムウェア対策機能を有効化すると、エージェントサービスに加えて以下のサービスが稼働します。
ManageEngine - EDR Service
ManageEngine - EDR Telemetry - ランサムウェア対策機能がサポートするOSは何ですか?
Windows 10、Windows 11に対応しています。
- Endpoint Central のランサムウェア対策機能の利点は何ですか?
エンドポイント管理ツールにEDRとしての機能を追加することで、一つのツールでエンドポイント管理からランサムウェア対策に必要な機能までをカバーします。管理対象に追加のエージェントを導入する必要がなく、パフォーマンスへの影響も軽微です。また、バックアップされたデータからの復元も簡単に実行でき、生産性への影響を最小限に抑えます。
- ランサムウェア対策機能を開始/停止することはできますか?また、有効化する対象を限定できますか?
試用を開始する場合は「次世代アンチウイルス」タブ→「有効化」をクリックします。サポート対象OSのうち、すべての管理対象に対して機能を有効化する場合は「All Endpoints」を、一部のみ有効化する場合は「Limited Endpoints」をクリックして対象を選択します。評価期間終了後にランサムウェア対策機能を有効化するには、アドオンライセンスが必要になります。
停止する場合は「次世代アンチウイルス」タブ→「設定」→「早期アクセスを無効化」を開き、「Disable」(無効化)をクリックして無効化する理由を入力し、「はい、無効化します」をクリックします。
- 次世代アンチウイルス(NGAV)機能とランサムウェア対策機能の違いは何ですか?
次世代アンチウイルス機能(NGAV)機能は、グローバルにおいても現在アーリーアクセス版のみとなっております。次世代アンチウイルス機能についてはこちらをご覧ください。
ランサムウェア対策機能は、将来的に次世代アンチウイルス(NGAV)機能の一部となる予定です。ランサムウェア対策機能がランサムウェアの脅威を検出するのに対して、次世代アンチウイルス機能は包括的なマルウェアからの保護機能を提供する予定です。
その他のFAQ(英語)はこちらをご覧ください。
このナレッジはこちらの英語記事を基に作成されています。