マルウェア対策機能
このナレッジでは、Endpoint Central Cloudのランサムウェア対策機能を拡張する「マルウェア対策」機能について説明しています。
マルウェア対策機能
「マルウェア対策機能」は、「ランサムウェア対策機能」と「次世代アンチウイルス(NGAV)機能」が一体となった機能です。
ランサムウェア対策機能の詳細は こちらのページ をご覧ください。
次世代アンチウイルス(NGAV)機能は、ランサムウェアに加えて、ファイルレスマルウェア、ゼロデイ攻撃などの高度な脅威を検出し、予防するために設計された高度なサイバーセキュリティソリューションです。
本機能は、次のような高度な技術が組み合わさって構成されています。
- 行動分析:異常な動作をしていないか、プロセスを監視します。
- 機械学習:過去の攻撃から学習することで、脅威の検出を継続的に改善します。
- リアルタイムの脅威インテリジェンス:新たに現れる脅威に対して、常に最新の状態を保つことができます。これによりNGAVは、従来のアンチウイルスでは見逃す可能性のある脅威を検出し、ブロックすることができます。
次世代アンチウイルス機能の特徴
-
高い検出精度
既知および未知、さらにはファイルレス型マルウェアに対して、静的および動的な検出手法を組み合わせることで、マルウェアに対する包括的な保護を実現します。
-
シームレスな共存
当社の次世代アンチウイルス(NGAV)を、現在ご使用中のアンチウイルスソリューションと共存させることで、全体的な防御戦略を強化することができます。すなわち、NGAVは従来のアンチウイルスソリューションに対して保護レイヤーを1層追加するような役割としてご活用いただけます。
※ 複数のソリューションを併用する際は、念のため、あらかじめ評価版を用いて動作をご確認ください。 -
安全な復旧
当社が特許を保有する技術を用いた、耐改ざん性のあるバックアップシステムをセキュリティ対策に組み込むことにより、ランサムウェア攻撃を受けた場合でも信頼性の高いデータ復旧とスムーズなロールバックを実現します。
-
効率性の向上
軽量な単一のエージェントを使用するため、システムの効率的な運用を妨げません。一般的な動作環境において、NGAVによるCPU使用率は1%未満です。
次世代アンチウイルス機能とマルウェア対策アドオン
マルウェア対策機能をご利用いただくには、Endpoint Central Cloudの本体のライセンスとは別料金(追加オプション)のアドオンをご購入いただく必要があります。
次世代アンチウイルス機能はマルウェア対策機能の一部であるため、マルウェア対策機能のアドオン(マルウェア対策アドオン)をご購入いただくことで次世代アンチウイルス機能をご利用いただけるようになります。
なおEndpoint Central Cloudの「評価版」では、次世代アンチウイルス機能およびランサムウェア対策機能を含むEndpoint Central
Cloudのすべての機能をご利用いただけます。
評価版やアドオンについての説明は「Endpoint Central CloudのEditionと無料版」をご覧ください。
サポート対象OS
Windows 10 および Windows 11 に対応しています。その他のOSには2025年現在、対応しておりません。
有効化/無効化の手順
-
マルウェア対策機能を有効化する方法
Endpoint Central Cloud に初めてサインアップすると、マルウェア対策機能がデフォルトで有効化されています。当機能が実装される以前から継続してEndpoint Central Cloudをお使いの場合や、当機能を一度無効化した後に再度有効化する場合は、以下の方法で有効化が可能です。- ライセンス(サブスクリプション)を確認し、マルウェア対策(Malware Protection)が利用可能であることを確認します。
※ ただしEndpoint Central Cloudの評価版をご利用中は、無料でマルウェア対策機能をご利用いただけます。
- [マルウェア対策(Malware Protection)]タブを開き、「有効化」をクリックします。
- サポート対象OSのうち、すべての管理対象に対して機能を有効化する場合は「All Endpoints」を選択して「有効化」をクリックします。
一部のみ有効化する場合は「Limited Endpoints」を選択後「Select Endpoints」をクリックして、有効化する対象のカスタムグループを左から右へドラッグ&ドロップして選択し、「有効化」をクリックします。
- 以上で、マルウェア対策機能(「ランサムウェア対策機能」と「次世代アンチウイルス機能」の両方)が有効化されます。
※ 「ランサムウェア対策機能」を利用せずに「次世代アンチウイルス(NGAV)機能」のみを利用したい場合は、さらに以下の手順を実施します。- [マルウェア対策(Malware Protection)]タブ → [設定] → [Detection Settings] を開きます。
- 「ランサムウェア検知エンジン」を無効化し、「Next-Gen Antivirus」の各エンジンを有効化します。
- 機能が有効化されると、マルウェア対策機能のダッシュボードが表示されます。
- ダッシュボード(Dashboard): インシデントの検出状況が表示されます。
- インシデント: インシデント発生時、詳細が表示されます。
- デバイス(Devices): マルウェア対策機能の対象となっている管理対象が一覧で表示されます。「保護ステータス」列が「Yet to enable」の管理対象は、まだ機能が有効化されておらず、次のリフレッシュサイクル等の通信で機能が有効化されます。チェックを入れて「ネットワーク隔離」をクリックすることで、指定した管理対象の通信を遮断(エージェントの通信のみ許可)し、ネットワークから隔離します。「ブロック解除」をクリックすることで、隔離を解除できます。
- ランサムウェア対策(Anti-Ransomware): ランサムウェア対策機能のライセンス(サブスクリプション)の情報を確認できます。詳細は「ランサムウェア対策(Anti-Ransomware)機能」をご覧ください。
- Next-Gen Antivirus: 次世代アンチウイルス(NGAV)機能のライセンス(サブスクリプション)の情報を確認できます。
- 設定: 例外登録や通知などの設定を変更できます。
- ダッシュボード(Dashboard): インシデントの検出状況が表示されます。
- ライセンス(サブスクリプション)を確認し、マルウェア対策(Malware Protection)が利用可能であることを確認します。
-
マルウェア対策機能を無効化する方法
マルウェア対策機能を無効化したい場合、以下の手順を実施します。- [マルウェア対策(Malware Protection)]タブ → [設定] → [早期アクセスを無効化](または[Add-on Configurations]) を開きます。
- 「Disable Malware Protection」(マルウェア対策の無効化)をクリックします。
- 無効化する理由を入力し、「はい、無効化します」をクリックします
※ なお、「次世代アンチウイルス(NGAV)機能」の利用は停止する一方で「ランサムウェア対策機能」のみ引き続き利用したい場合、上記にかえて以下の手順を実施します。- [マルウェア対策(Malware Protection)]タブ → [設定] → [Detection Settings] を開きます。
- 「Next-Gen Antivirus」の各エンジンを無効化し、「ランサムウェア検知エンジン」のみ有効化します。
運用の流れ
マルウェア対策機能においては、以下のような運用を想定しています。
- 通知を有効化し、通知先を登録しておきます。
※ [マルウェア対策(Malware Protection)]タブ → [設定] → [通知] より、通知を設定できます。
- マルウェアの疑いのあるプロセスが検知されると、「インシデント」へ詳細が表示され管理者へ通知が届きます。
あらかじめ設定を変更しておくと、マルウェアの疑いがあるプロセスが検知された時点でそのプロセスを強制終了させることも可能です。
デフォルトでは [マルウェア対策(Malware Protection)]タブ → [設定] → [Detection Settings] において、「検知ポリシー」の項目で「監査の目的にのみ」が選択されています。検知ポリシーを「予防」に変更すると、マルウェアの疑いがあるプロセスが検知された時点でそのプロセスを強制終了させることができます。
※ 念のため、当製品の導入(マルウェア対策機能の利用開始)直後は検知ポリシーを「監査の目的にのみ」のままにしておくことをお勧めします。ご利用開始から一定程度時間が経ち、ご利用中の環境においてマルウェアの誤検知(マルウェアではないプロセスがマルウェアとして検知される)が特に頻発しているようでなければ、検知ポリシーを「予防」に変更することをお勧めします。
(なお、通常のご利用環境においては、マルウェアの誤検知は全く発生しないか、発生したとしてもごく限られた頻度であることが想定されます。第三者機関による評価結果(英文)も合わせてご覧ください。) - 必要に応じて、管理者はコンピューターを選択しネットワークから隔離します。
- [マルウェア対策(Malware Protection)]タブ → [インシデント] → (実行ファイル名をクリック) → 「デバイス」小タブ を開きます。
※ [マルウェア対策(Malware Protection)]タブ → [Devices(デバイス)] からも同様の操作が可能です。
- PC名を選択し、「ネットワーク隔離」をクリックします。
- 以上により、該当PCは通信ができない状態になります。
ネットワーク隔離により、Endpoint Central Cloudのサーバーと当該PCとの間の通信を除いて、当該PCからの通信および当該PCへの通信がすべてブロックされます。上記のスクリーンショット画像はPC上でWebブラウザを開いた場合の例ですが、これに限らず、LANの通信も含めてネットワーク通信が遮断されます。 - [マルウェア対策(Malware Protection)]タブ → [インシデント] → (実行ファイル名をクリック) → 「デバイス」小タブ を開きます。
- [マルウェア対策(Malware Protection)]タブ → [インシデント] において、それぞれの実行ファイル名をクリックすると、インシデントとして検知された実行ファイルの詳細が確認できます。内容を確認し、右上の「解決」ボタンより、「真陽性」が「誤検知」かを選択します。
真陽性(マルウェアである)・誤検知(マルウェアではない)の判断材料
「インシデント」には親子プロセス関係、実行ファイルの署名情報やハッシュ値などの情報が表示されます。またハッシュ値を基にVirusTotalへのリンクも作成されるため、これらの情報をもとに判断します。
詳細はこちらの英語ドキュメントをご覧ください。 - 誤検知の場合、必要に応じてファイルを例外登録します。
- 真陽性の場合、以下の中から対応方針を選択します。
- 予防・・・マルウェアとして検知された当該プロセスとその子プロセスを強制終了します。
- クリーンアップ・・・上記の「予防」の内容に加えて、さらに、当該プロセスによって作成・変更されたファイルや設定を削除します。
- ロールバック・・・ファイルの復旧を実行します。すなわち、PCを当該プロセスの影響を受ける前の状態に戻します。
- アラート発生から一定程度時間が経ち、PCのネットワーク隔離を解除しても問題ないと判断できる状況になったら、以下の方法で解除を実行します。
- [マルウェア対策(Malware Protection)]タブ → [デバイス(Devices)]において、PC名を選択し「ブロック解除」をクリックします。これにより、ネットワーク隔離は解除されます。
- または、(上記の方法で失敗する場合などは)以下のとおり当該PC上での手動操作によりネットワーク隔離を解除します。
- コマンドプロンプトを管理者として実行し、cdコマンドにより以下のディレクトリにアクセスします。
<エージェントインストールディレクトリ>\EDR\bin
(例) C:\Program Files (x86)\ManageEngine\UEMS_Agent\EDR\bin - 以下のコマンドを実行します。
EDRDCManager.exe -deisolate
- 以上で、ネットワーク隔離が解除されます。
- コマンドプロンプトを管理者として実行し、cdコマンドにより以下のディレクトリにアクセスします。
- [マルウェア対策(Malware Protection)]タブ → [デバイス(Devices)]において、PC名を選択し「ブロック解除」をクリックします。これにより、ネットワーク隔離は解除されます。
- 以上の流れにより、マルウェアの検知時に通知を受信し、ネットワーク隔離や復旧などの必要な対応をとることができます。
機能をテストする方法
以下の方法により、マルウェアが検知されたときの挙動を模擬的に確認することができます。
- Endpoint Central Cloudのエージェントがインストールされているコンピューターにおいて、マルウェア対策機能が稼働していることを確認します。
- 「ファイル名を指定して実行」(Windows + R)より、「services.msc」と入力して「サービス」を表示させ、「ManageEngine - EDR Service」「ManageEngine - EDR Telemetry」が動作中であることを確認します。
- または、コマンドプロンプトを開いて「sc query mearwservice」と入力し、該当のサービスが動作中(RUNNING)であることを確認します。
- 同コンピューターにおいて、コマンドプロンプトを開いて以下のコマンドを実行します。
choice.exe /m me_edr_sample_detection
- 「me_edr_sample_detection [Y,N]?」と表示されたら、「Y」を入力します。
- マルウェアが検知されたものとみなされ、以下のように「Suspicious Behavior Detected!」または「Malware detected!」等の通知が表示されます。
他のソフトウェア等の動作状況によっては通知が即座に表示されない場合がありますが、その場合でも検知自体は行われています。コマンド実行後しばらく待っても通知が表示されない場合、次の手順で示すとおりEndpoint Central Cloudのコンソール画面上にて、マルウェアが検知されていることをご確認ください。
- Endpoint Central Cloudのコンソール画面にログインし、[マルウェア対策(Malware Protection)]タブ → [インシデント] を開きます。アラートが発生していることを確認できます。
コマンド実行(マルウェアの検知)後、Endpoint Central Cloudのコンソール画面に詳細が反映されるまでには10分~1時間程度かかる場合があります。
また、コマンド実行(マルウェアの検知)の時点でコンピューターがオフラインだった場合は、通信可能になった後でコンソール画面上に反映されます。
同一のコンピューター上で複数回コマンドを実行した場合、単一のアラートとして扱われ、コマンド実行のたびにはアラートの件数が増えない場合があります。この場合、各アラートをクリックして「インシデントサマリー」を表示させることで、不審なプロセス(として扱われているもの)が複数回実行されたことを確認できます。
- また、コンソール画面上の挙動をより詳細に確認するには、上記に加え、必要に応じて以下のデモサイトをご利用ください。デモサイトでは、複数の種類のマルウェアが複数台のコンピューターで検知された(と想定した)データがあらかじめ登録されています。
※ 上記のサイトは、Endpoint Central Cloud の機能のうちマルウェア対策機能のみを切り出した「Malware Protection Plus」という製品のデモサイトです。なお現在のところ、Malware Protection Plus 単体でのサポートは日本国内においてはご提供しておりません。あらかじめご承知おきください。
※ デモサイトではサービスの性質上、利用可能な製品機能に制限があります。製品ご購入のご検討時には、上記デモサイトのご利用だけでなく、必ずEndpoint Central Cloudの評価版を合わせてご利用ください。
よくある質問
- マルウェア対策機能を利用する場合、Endpoint Central Cloudエージェント以外にエージェントをインストールする必要がありますか?
いいえ、不要です。マルウェア対策機能はEndpoint Central Cloudのエージェントのみで動作します。エンドポイント管理ツールであるEndpoint Central CloudにEDRとしての機能が加わることにより、1つのツールでエンドポイント管理からマルウェア対策まで包括的にカバーすることができます。管理対象に追加のエージェントを導入する必要がないため、パフォーマンスへの影響も軽微です。 - エンドポイント保護において、次世代アンチウイルス(NGAV)の利点は何ですか?
NGAVは、次のようにエンドポイントセキュリティを強化します。- リアルタイムなインシデント対応を実現します。
- 手動での更新や人的介入への依存を減らします。
- 従来のアンチウイルスでは検出が難しい高度なマルウェア攻撃を防止します。
- 次世代アンチウイルス(NGAV)と従来のアンチウイルスの主な違いは何ですか?
従来のアンチウイルスはシグネチャーベースのスキャンに依存しており、既知の脅威パターンを使用してマルウェアを特定します。そのため、次のような現代の脅威を検出するのは困難です。- 検出を避けるためにコードを変化させる、ポリモーフィックなマルウェア
- ファイルの痕跡を残さない、ファイルレスマルウェア
- パッチが存在しないゼロデイ脆弱性
NGAVはこれらの制限を解決するために、進化する脅威に適応するプロアクティブな検出方法を使用します。すなわち、リアルタイム監視、行動分析、脅威インテリジェンスなどを利用します。
また、その他のご質問は こちらのページ(英語)も合わせてご参照ください。