ランサムウェア対策(Anti-Ransomware)機能
ランサムウェア対策アドオン
ランサムウェア対策機能は、Endpoint Central Cloudの本体のライセンスとは別料金(追加オプション)のアドオンをご購入いただくことでご利用いただける機能です。
なおEndpoint Central Cloudの「評価版」では、ランサムウェア対策機能を含む、Endpoint Central Cloudのすべての機能をご利用いただけます。
評価版やアドオンについての説明は、「Endpoint Central CloudのEditionと無料版」をご覧ください。
ランサムウェア対策機能の特徴
製品紹介ページもあわせてご覧ください。
機械学習に基づくふるまい検知
従来のアンチウイルスソフトのような、ウイルス定義データベースに登録されたシグネチャに基づく仕組みとは異なり、Endpoint Centralのランサムウェア対策機能は機械学習に基づくふるまい検知の仕組みを使用しています(概要はこちらをご覧ください)。これにより広い対応範囲とランサムウェア攻撃の正確な検知を実現しています。
ファイルを開いて暗号化し、上書き保存するといった、ランサムウェアのパターンに酷似した挙動を実行するプロセスを検出すると、アラートを通知(監査モード)または自動的にプロセスをブロック(強制終了モード)します。アラートはインシデントとして記録され、ファイルへの署名情報や、複数のセキュリティベンダーによる評価の確認(ファイルを検出した場合、ファイルハッシュ値をもとに表示)、実行したプロセスツリー情報、検出デバイスなどの情報がコンソール画面に表示されます。
分かりやすく簡単なインシデントレスポンス
管理者は表示された情報をもとに真陽性フラグ/偽陽性(誤検知)フラグを設定します。真陽性を選択すると、ファイルのリカバリプロセスが自動的に開始されます。偽陽性(誤検知)であった場合、今後類似のプロセスの判定にフィードバックされます。デバイスの隔離も1クリックで実行でき、隔離したデバイスはEndpoint Central Cloudとのみ通信を実行しその他の通信をブロックするようになります。
インシデントレスポンスの初動に必要とされる隔離と情報収集が簡単に実行できます。
1クリックのファイル復元
Endpoint Centralのランサムウェア対策機能は、MicrosoftのVSS(ボリュームシャドウコピーサービス)を使用して、全ファイルのシャドウコピーを3時間ごとに取得しています。取得したコピーは管理対象コンピューター内に保存し、米国にて特許を取得した独自の技術を使用して保護します。このコピーはランサムウェア攻撃を受けた場合でも暗号化されません。
記録されたインシデントに対して管理者が真陽性フラグを設定すると、影響を受けたデバイスは直近に取得されたコピーから復元が実行されます。また、同一ランサムウェアの攻撃を再度受けた場合、復元は自動的に実行されます。
簡単な実行可能ファイルの除外登録
エンドポイント保護において、ランサムウェア対策機能はゼロトラストのアプローチをとっています。生産性を維持するため、信頼された実行可能ファイルについてのみ、リアルタイムのふるまい検知/インシデント通知の対象から除外することが可能です。
また、除外リストに含まれる実行可能ファイルからの攻撃を防ぐため、除外リストには署名済み証明書と許可フォルダーの制限を追加することが可能です。
サポート対象OS
Windows 10 および Windows 11 に対応しています。その他のOSには現在対応しておりません。
有効化/無効化の手順
-
ランサムウェア対策機能を有効化する方法
Endpoint Central Cloud に初めてサインアップすると、「ランサムウェア対策機能」および「次世代アンチウイルス(NGAV)機能」がデフォルトで有効化されています。これらの機能が実装される以前から継続してEndpoint Central Cloudをお使いの場合や、一度これらの機能を無効化した後に再度有効化する場合は、以下の方法で有効化が可能です。- ライセンス(サブスクリプション)を確認し、ランサムウェア対策(Anti-Ransomware)が利用可能であることを確認します。
※ ただしEndpoint Central Cloudの評価版をご利用中は、無料でランサムウェア対策機能をご利用いただけます。
- [ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ)を開き、「有効化」をクリックします。
- サポート対象OSのうち、すべての管理対象に対して機能を有効化する場合は「All Endpoints」を選択して「有効化」をクリックします。
一部のみ有効化する場合は「Limited Endpoints」を選択後「Select Endpoints」をクリックして、有効化する対象のカスタムグループを左から右へドラッグ&ドロップして選択し、「有効化」をクリックします。
- 以上で、「ランサムウェア対策機能」と「次世代アンチウイルス(NGAV)機能」の両方が有効化されます。
※ 「次世代アンチウイルス(NGAV)機能」を利用せずに「ランサムウェア対策機能」のみを利用したい場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [設定の変更] を開きます。「ランサムウェア検知エンジン」のみを有効化し、「Next-Gen Antivirus」の各エンジンを無効化します。
- 機能が有効化されると、ランサムウェア対策機能のダッシュボードが表示されます。
- インシデント: インシデント発生時、詳細が表示されます。まだ何も検出されていない場合、「すべての端末は安全です」が表示されます。
- デバイス(Devices): ランサムウェア対策機能の対象となっている管理対象が一覧で表示されます。「保護ステータス」列が「Yet to enable」の管理対象は、まだ機能が有効化されておらず、次のリフレッシュサイクル等の通信で機能が有効化されます。チェックを入れて「ネットワーク隔離」をクリックすることで、指定した管理対象の通信を遮断(エージェントの通信のみ許可)し、ネットワークから隔離します。「ブロック解除」をクリックすることで、隔離を解除できます。
- ランサムウェア対策(Anti-Ransomware): ランサムウェア対策機能のライセンス(サブスクリプション)の情報を確認できます。
- Next-Gen Antivirus: 詳細は「次世代アンチウイルス(NGAV)機能」をご覧ください。
- 設定: 例外登録や通知などの設定を変更できます。
- ライセンス(サブスクリプション)を確認し、ランサムウェア対策(Anti-Ransomware)が利用可能であることを確認します。
-
ランサムウェア対策機能を無効化する方法
- 「ランサムウェア対策機能」の利用を停止し、「次世代アンチウイルス(NGAV)機能」のみを利用したい場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [設定の変更] を開きます。「ランサムウェア検知エンジン」のみを無効化し、「Next-Gen Antivirus」の各エンジンは有効化します。
- 「ランサムウェア対策機能」と「次世代アンチウイルス(NGAV)機能」の両方の利用を停止する場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [早期アクセスを無効化] を開きます。「Disable Malware Protection」(マルウェア対策の無効化)をクリックして無効化する理由を入力し、「はい、無効化します」をクリックします。
- 「ランサムウェア対策機能」の利用を停止し、「次世代アンチウイルス(NGAV)機能」のみを利用したい場合、[ランサムウェア対策]タブ(または[次世代アンチウイルス]または[Malware Protection]タブ) → [設定] → [設定の変更] を開きます。「ランサムウェア検知エンジン」のみを無効化し、「Next-Gen Antivirus」の各エンジンは有効化します。
運用のイメージ
ランサムウェア対策機能においては、以下のような運用を想定しています。
- 通知を有効化し、通知先を登録しておきます。
- ランサムウェアの疑いの強い挙動を検出すると、「インシデント」へ詳細が表示され管理者へ通知が届きます(設定を変更すると、検出された時点でプロセスを自動的に停止させることも可能です)。
- 必要に応じて、管理者は対象を選択してネットワークから隔離します。
- 管理者はインシデントとして報告された内容を確認して、「真陽性」が「誤検知」かを選択します。
真陽性(ランサムウェアである)・誤検知(ランサムウェアではない)の判断材料
「インシデント」には親子プロセス関係、実行ファイルの署名情報やハッシュ値などの情報が表示されます。またハッシュ値を基にVirusTotalへのリンクも作成されるため、これらの情報をもとに判断します。
詳細はこちらの英語ドキュメントをご覧ください。 - 誤検知の場合、必要に応じてファイルを例外登録します。
- 真陽性の場合、さらに対応方針を選択します。もしファイルが暗号化されてしまった場合、ファイルの復旧を実行します。
よくある質問
-
基本的な概要と利点
- Endpoint Central のランサムウェア対策機能の利点は何ですか?
エンドポイント管理ツールにEDRとしての機能を追加することで、1つのツールでエンドポイント管理からランサムウェア対策に必要な機能までをカバーします。管理対象に追加のエージェントを導入する必要がなく、パフォーマンスへの影響も軽微です。また、バックアップされたデータからの復元も簡単に実行でき、生産性への影響を最小限に抑えます。
- Endpoint Central のランサムウェア対策機能の利点は何ですか?
-
機能試用と評価
- ランサムウェア対策機能を実際に評価してみたいのですが、手順はありますか?
こちらのドキュメント(英語)をご覧ください。
- ランサムウェア対策機能を実際に評価してみたいのですが、手順はありますか?
-
エージェントインストールに関して
- ランサムウェア対策機能を利用する場合、Endpoint Centralエージェント以外にエージェントをインストールする必要がありますか?
いいえ、不要です。ランサムウェア対策機能はEndpoint Centralエージェントのみで動作します。ランサムウェア対策機能を有効化すると、エージェントサービスに加えて以下のサービスが稼働します。
ManageEngine - EDR Service
ManageEngine - EDR Telemetry
- ランサムウェア対策機能を利用する場合、Endpoint Centralエージェント以外にエージェントをインストールする必要がありますか?
-
対応OS、システムの設定などについて
- ランサムウェア対策機能がサポートするOSは何ですか?
Windows 10、Windows 11に対応しています。MacやLinux、Windows Serverには現在対応しておりません。
- ランサムウェア対策機能を有効化すると、どの程度のシステムリソースを消費しますか?
ランサムウェア対策機能は軽量なアプリケーションであるため、管理対象コンピューターへの影響はきわめて軽微です。おおよそ以下のリソースを消費します。- CPU: 1% 未満
- メモリ: 100 MB 未満
- ランサムウェア対策機能を本番環境で有効化する場合、設定の変更や調整は必要ですか?
いいえ、ランサムウェア対策機能を有効化するだけで機能します。設定などは必要ありません。
- Endpoint Central Cloudのランサムウェア対策機能を有効化後、システムの再起動は必要ですか?
いいえ、再起動は不要です。
- ランサムウェア対策機能がサポートするOSは何ですか?
-
機能範囲、アンチウイルスとの違いや併用について
- ランサムウェア対策機能を導入することで、既存のアンチウイルスソフト(セキュリティソフト)を置き換えることは可能ですか?
ランサムウェア対策でアンチウイルスソフト(セキュリティソフト)を置き換えることはできません。ランサムウェア対策機能は保護レイヤーを1層追加するような位置づけであり、アンチウイルスソフトとは目的が異なります。
アンチウイルスソフトとランサムウェア対策機能の両方を使用して、セキュリティの強化と万一の場合の復旧の迅速化が可能になります。
- 次世代アンチウイルス(NGAV)機能とランサムウェア対策機能の違いは何ですか?
ランサムウェア対策機能はマルウェア対策機能の一部です。マルウェア対策の一環として、将来的に「NGAV(次世代アンチウイルス)」機能のサポートを予定しています。なお、次世代アンチウイルス(NGAV)機能は、グローバルにおいても現在アーリーアクセス版のみとなっております。
ランサムウェア対策機能がランサムウェアの脅威を検出するのに対して、次世代アンチウイルス機能は包括的なマルウェアからの保護機能を提供する予定です。
- Endpoint Central Cloudのランサムウェア対策機能は、ランサムウェア以外の種類のマルウェアを検出できますか?
現在はできません。
- ランサムウェア対策機能を導入することで、既存のアンチウイルスソフト(セキュリティソフト)を置き換えることは可能ですか?
-
インターネット接続の要否
- 管理対象コンピューターが一時的にインターネットに接続していない間でも、ランサムウェア対策機能は有効ですか?
はい、有効なままです。エージェントがEndpoint Central Cloudに接続できない場合でもランサムウェア対策機能は管理対象コンピューターを監視し、保護します。
ランサムウェア対策機能は従来のアンチウイルスソフトのような、定期的な定義ファイルの更新も不要であるため、ランサムウェア対策機能についてはインターネット接続がない間も機能します。
- 管理対象コンピューターが一時的にインターネットに接続していない間でも、ランサムウェア対策機能は有効ですか?
-
動作と検知方法
- Endpoint Central Cloudのランサムウェア対策機能は、パッチ管理機能のように定期的にスキャンを実行するのでしょうか?
いいえ、ランサムウェア対策機能はシステムを常時リアルタイムで分析し、ランサムウェアによる攻撃を即時検出します。
- Endpoint Central Cloudのランサムウェア対策機能は、ファイルレス攻撃にも有効でしょうか?
ランサムウェア対策機能の機械学習ベースのふるまい検知(米国にて特許取得済み)により、ファイルレス攻撃にも対応可能です。
- デコイファイル(decoy files, bait files)に基づく検出方法において、デコイファイルのパスはどのように定義されますか?
デコイファイルとは、ランサムウェアの攻撃に対して「おとり」として機能させるためのファイルです。Endpoint Central Cloudのランサムウェア対策機能は、デコイファイルの暗号化などの疑わしいイベントが発生した場合、潜在的なランサムウェア攻撃を示すアラートを即時発報します。
デコイファイルの配置は、ランサムウェア攻撃を調査した上で開発チームが戦略的に決定しており、管理対象エンドポイントの様々なフォルダーに配置されています。「database.dox」「ME.txt」「screenshot.jpg」といったファイルが追加されていますが、これらのファイルはEndpoint Central Cloudのランサムウェア対策機能が作成したファイルです。
- デコイファイルを使用する検出方法以外に、ランサムウェア対策機能がランサムウェアを検出する方法はありますか?
デコイ/ベイトファイルに基づく検出方法は、ランサムウェア対策機能で使用する複数の検出方法の1つです。ランサムウェア検出のコアエンジンは、米国特許取得済みの4つの精度向上レイヤーを備えた、ふるまいベースのランサムウェア動機検出機能を持ちます。
- Endpoint Central Cloudのランサムウェア対策機能は、パッチ管理機能のように定期的にスキャンを実行するのでしょうか?
-
バックアップと復旧
- ファイルを復旧する場合、いつの時点の情報に復旧されますか?
Endpoint Central Cloudのランサムウェア対策機能のファイルバックアップは、MicrosoftのVSS(ボリュームシャドウコピー)を使用しています。ファイルバックアップの取得は3時間ごとに実行されるため、3時間程度前のデータに復旧されます。
- ボリュームシャドウコピーのスナップショットデータはどこに保存されますか? また、スナップショットデータは削除できますか?
ランサムウェア対策機能で取得したボリュームシャドウコピーのデータは、取得したエンドポイント自身に保存されます。米国にて特許取得済みの改ざん防止技術によってデータは保護されており、ランサムウェア攻撃による暗号化/削除を受け付けません。そのため、手動での削除もできません。
必要なディスクサイズについては、デフォルトの状態では約 10% のディスクスペースをバックアップデータの保管のために使用します。ディスクスペースが不足した場合は、古いボリュームシャドウコピーから順番に削除されます。
- バックアップのリストアだけ実行することはできますか?
はい、可能です。
- ファイルを復旧する場合、いつの時点の情報に復旧されますか?
-
その他
- ランサムウェア対策機能をエンドユーザーに無効化されることはありますか?
ランサムウェア対策機能は、管理者側で有効化すれば、対象のエンドポイントを使用するエンドユーザー側から無効化することはできません。anti-hookおよびanti-killメソッドにより、エージェント停止を回避します。
- Endpoint Central Cloudのランサムウェア対策機能は有意にネットワーク帯域を消費しますか?
ランサムウェア対策機能によるネットワーク帯域の消費はきわめて限定的であるため、影響は軽微と考えられます。次の2点が理由です。- ランサムウェア対策機能によるバックアップデータは、データを取得したエンドポイント自身に保存され、ネットワークに送信されません。
- ランサムウェア対策機能は従来のアンチウイルスソフトのように頻繁な定義ファイルの更新を必要としません。
- その他のよくある質問はどちらから確認できますか?
その他のFAQ(英語)はこちらおよびこちらをご覧ください。
- ランサムウェア対策機能をエンドユーザーに無効化されることはありますか?
このナレッジはこちらの英語記事およびこちらのヘルプドキュメントを基に作成されています。