標的型攻撃対策製品「FFR Yarai」評価

富士通マーケティング(FJM)からFFR Yarai評価版を借りたので、早速レビューしていきたい。FJMの営業さんには感謝したい。ありがとうございました。

FFR Yaraiは、未知のウイルス・脆弱性(ぜいじゃくせい)攻撃からクライアントPCやサーバーを防御するセキュリティソフトウェアで、標的型攻撃対策製品の1つ。ウイルス駆除ソフトと共存できるセキュリティソフトで、コンセプトが違う。ソフトウエアにおける既知の脆弱性の多くは、ソフトウエアのアップデートやウイルス駆除対策ソフトで対策はできるが、脆弱性が発見されてからすぐに攻撃(ゼロディアタック)や、脆弱性があるもののアップデートファイルの公開が遅れている脆弱性に対して、対策ができる、いわば、PFU iNetSec Inspection Centerの検疫パッチのような役割を果たしてくれる。検疫パッチとも、ニュアンスが違うため、画期的な製品だと思われる。

(参考)2015年3月期 決算説明会(FFRI) 魚拓

2016年1月13日には、Web閲覧ソフトであるMicrosoft製のブラウザ Internet Explorer 8 / 9 / 10 といった各バージョンのサポートが終了(*Windows 7の場合)する。こういった、サポート終了した製品に対しても、ある期間は、対策してくれると期待している製品だ。

共存できるウイルス駆除ソフトは、順次対応中のようだが、3大ブランド(トレンドマイクロ、シマンテック、マカフィー)には対応しているが、ESETや、私が勧めているF-Secureにも対応しているので、セキュリティに敏感な企業にとっては、導入することにより、安全性が確実に高まる。

yarai-s-21

個人向けでは、「Mr.F」(¥8,500)で販売している模様。今回の報告は法人版にはなるが、飽きずに読み続けていただければ幸いだ。
取り扱いパートナーはこちらで確認できる。富士通では、sslが担当のようだ。参考までに。

 

2014年4月8日にメーカーサポート終了したWindows XPにおいては、2017年12月31日までサポートしているという(→ニュースリリース)。よって、2020年にサポート終了予定のWindows 7においても、延命措置がとれる期待を持たせることができる。

Yarai(やらい)製品の特徴については、こちらを参考ください。

最近の標的型攻撃は、一般的に「メール」からやってくる。これも個人的な推薦で申し訳ないが、メールサービスは、Microsoft Office365を勧めている。メール本文に記載されたURLをクリックした際については、ATP機能(オプション機能)で、堅牢なゼロデイ保護により未知のマルウェアやウイルスから組織を保護してくれるため、ある程度フィルタされて受信を遅らせることができる。それでももれてしまった場合に、Yaraiが期待できる。一方で、メール以外からの侵入、例えば、WebページやUSBメモリやハードディスク、DVDといったメディア等から入り込んだものに対しては、ATP機能は役立たない。この怪しい挙動に関してブロックしてくれる効果を期待できる。一方で、不正アプリは攻撃を進化させるため、インターネット経由で通信をし始める。一般的に、外部から内部に対しての攻撃は、多くの企業は実施していると思われる。しかし、内部から外部への対策は見落としがち。Web接続にあたっては、ユーザーが業務中に業務以外のウェブサイトを見て、インターネット回線のリソースを無駄を防ぐために多くの企業が導入しているWebフィルタリングシステムで、対策できるかもしれない。私は、BlueCoat ProxySGをお勧めしている。ProxySGについては、後日レビューしていこうと思うが、私の会社では昨年更新をし、今年で7年目に迎える製品だが、標的型攻撃にも好印象な製品だ。こちらはゲートウエイ型のため、社内であれば制御できるが、社外では制御できない(*VPN経由は除く)ため、100%完全ではない。

FFR Yaraiは、PCソフトウエアのため、対象のPCが持ち出されたとしても、保護をしてくれるということで非常にメリットが見出せる製品として言って過言ない。

価格は他のウイルス駆除製品と違って、ちょっと高め。全社の全台数に導入できる金銭面で体力のある企業は別として、セキュリティ投資はなかなか出してくれないのが一般的にちがいない。

東京五輪に向けて、日本への攻撃脅威はさらに高まっている。マイナンバー制度が本格的になれば、それに向けての攻撃が更にましていくだろう。マイナンバーを管理する人事課がシス管のようにセキュリティには神経質では無いだろう。Webページの広告がマルウエアだった、ということも気付かずに、画面に現れたインストールボタンをクリックし、ソフトをインストールするかもしれない。任意でインストールしたソフトは、被害が出なければウイルス駆除用の定義ファイルとして作成されないケースが高いため、1人目の患者としてウイルス感染するかもしれない。

例えば、セキュリティ監視サービスの最大手ラックと契約できる企業であれば、そこに任せばいいのだが、なかなか難しい。そもそも、OSのアップグレードに金銭面で抵抗がある経営層が多いため、なかなかセキュリティ投資が非常に難しい。

となると、ピンポイントで導入してみるという方法はありかもしれない。例えば、特許等を取り扱う知的財産部門や人事情報を取り扱う人事部門、ソフトのテストを繰り返すシステム管理部門、海外との取引が多い海外事業部門や、中国との取引が多い営業PCという具合に、ピンポイントに導入してみることで、最小限に抑えることができると共に、脆弱性が部分的にうまるため、非常に導入効果が期待できる。

さて、法人向けYaraiは、サーバー上で管理できる。ここでは、どのような管理ができるのか、についてレビューしていきたい。

Yaraiの管理サーバーは、SQL Server Expressの導入が必要!(なわけて、ここ最近のブログではSQLインストール手順が多かったわけ。)

yarai-s-01

多数のメニューがあるので、全部書ききれない。気になるところをピックアップしてレビューしていく。

ネットワーク設定画面。Proxyの設定ができる。また、SMTPについては、フォーマットチェックが実施されていないため、任意のメールアドレスで設定できる。
社内運用にあたってはありがたいね。

yarai-s-11

各ユーザーに対し、機能をこまかく設定が可能だ。デフォルトはすべて「禁止」となっている。一斉「許可」できるボタンを追加してほしいところだ。
すべて許可するには、一個一個「禁止」から「許可」に変更していく必要がある。ちょっと面倒だ。

yarai-s-12

 

インストールされたクライアント一覧は次のようになる。1台しか検証していないため、1台しか表示されていない。

まずは、トップ画面だ。ナビビューといったところ。ここですべてグリーンなら安全ということが分かる。シンプルで評価できる。

yarai-s-22

各端末の詳細な情報だ。必要な情報は取得できている。

yarai-s-23

ユーザーはグループ(階層ではなくスレッド)に割り当てることができる。複数事業所間の環境で管理にあたっては、階層型の方がよかったなぁ、と思った。

yarai-s-04

ポリシーは細かく設定ができる。業務ソフトによって、無効にしなきゃいけないのもあるためだ。

yarai-s-24

そのため、特定の業務ソフトではスキャンされないような例外リスト設定も可能だ。ここは十分検証する必要があると、販売店(FJM)は言っていた。

yarai-s-25

IT内部統制対策として、作業ログは必要だ。問題なく取得できている。

yarai-s-03

マルウエア(不正プログラム)ブロック(検知)ログは次のように表示されるようだ。
ただ、端末へのリンクがされないため、クライアント一覧に戻って、端末の情報を見るしかない。今後のアップデートで、このログから、該当の端末情報に見に行けるリンク機能があれば、なおさらありがたい。

yarai-s-27

 

この、FFR Yaraiソフトの配布方法は、ログオンスクリプト(Active Directory)で配布できるし、各ユーザーがダウンロードして適用させる方法もある。

yarai-s-05

ここからは、ユーザー側の作業画面を少し紹介していきたい。ファイルを落とし、実行する。

yarai-c-01

独立したPCか、管理されたPCか、選択できる。よって、このインストーラーは、汎用性のものなのかな?
管理サーバーから落としていくわけなので、独立したクライアントの選択できないようにしてくれた方がいいよなぁ。今後の更新に期待したい。

yarai-c-02

管理されたクライアントを選択すると、設定情報を入力する必要がある。これも、デフォルトで入れててほしいなぁ。。。

yarai-c-03

インストール完了後の画面はこんな感じだ。他のウイルス駆除ソフト製品のような画面構成でみやすい。

yarai-c-10

スキャン中は、てんとう虫だ。

yarai-c-11

スケジュールも、ある程度、きめ細かく設定が可能だ。スキャン方法は、クイックの他に、カスタムスキャンやフルスキャンが用意されている。

yarai-c-12

設定ではポリシーに応じた機能が許容されているようだ。今回は、ポリシーを作っていないため、設定ができない。

yarai-c-14

動作テスト用のテストマルウエアが用意されている。それを実行し、動作検証をしてみた。
F-Secureで駆除はされたものもあったが、駆除されなかったものもある。

yarai-s-28

一方で、駆除されなかったテストマルウエアを実行した画面が次の結果になる。プログラムを実行したら、電卓が立ち上がる検証だ。
これが、電卓ではなく、ウイルス駆除ソフトのアンインストーラーが実行された場合は、削除されるという仕組みになる。
右側のスクリーンショットでは電卓が起動したため、この脆弱性が悪用されれば、犯罪者側のやりたい放題、ってことになる。

yarai-s-29

Yarai側では、こんな感じでログが表示される。クライアント側で削除したとしても、サーバ側では残っているため、調査が継続できるのはありがたい。

yarai-s-26

こういう、クライアントパソコンで挙動したウイルス検知ログ情報が、サーバーのコンソール情報に反映されない製品もあるため、これはありがたい機能だ。

 

今回の報告ではとりあげることができなかった、管理コンソールのインストール方法だけれども、SQL Serverがインストールされている環境であれば、設定箇所は1箇所。
データベースにテーブルを書き込むための情報だけだ。あとは、インストーラー側で勝手に作成してくれるので、非常に運用が便利だ。

yarai-s-10

 

少数台数の導入でも、一元管理から、管理コンソールを利用した方が無難だ。管理コンソールは無償で提供されるようだ。当然、仮想化マシンで対応しているため、無駄にはならない。

関連記事

translation

検索窓








投稿カレンダー

2017年3月
« 2月    
 1234
567891011
12131415161718
19202122232425
262728293031  

アクセス数

  • 1763現在の記事:
  • 556172総閲覧数:
  • 34今日の閲覧数:
  • 300昨日の閲覧数:
  • 1893先週の閲覧数:
  • 6433月別閲覧数:
  • 357973総訪問者数:
  • 33今日の訪問者数:
  • 262昨日の訪問者数:
  • 1597先週の訪問者数:
  • 5617月別訪問者数:
  • 223一日あたりの訪問者数:
  • 1現在オンライン中の人数:
  • 2014/02/22カウント開始日:
ページ上部へ戻る
%d人のブロガーが「いいね」をつけました。