Windows 10時代のセキュリティを守る「MVISION」というビジョン：「協力」こそ「強力」な力

Windows 10に搭載されているマルウェア対策ソリューション「Windows Defender」に注目が集まっている。既存のセキュリティ製品と肩を並べるOS標準機能があるならば、それだけで対策は問題ない――これは正解でもあり、「大きな誤解」でもある。

[PR／ITmedia]

PR

　ウイルス対策ソフトは死んだ――。

　この発言から、早くも5年がたとうとしている。今、この言葉を真っ向から否定する人はいないだろう。Windows 10がリリースされ、組織を守る方法は“壁”ではなく、デバイスそのものというエンドポイント保護の考え方も浸透し始めた。その中で、2つほど「異変」が起きているのをご存じだろうか。

　まずはデバイスの多様化だ。企業の業務において、これまでは、システム管理者が指定するデバイスを指定の場所で使うことが一般的だった。しかし、昨今、注目されている「働き方改革」では、スマートフォンやタブレットなど、PC以外のデバイスも含め、カフェや空港、自宅など、オフィス以外の場所でも、当たり前のように活用できることが期待されている。

　もう1つはWindows 10自体に備わる保護機能の進化だ。内蔵されたマルウェア対策ソリューション「Windows Defender」は、これまでのWindows OSに搭載されていたものよりも大幅に進化している。もはや「マルウェア対策はDefenderで十分」とする記事も少なくない。Windows 10にアップグレードすることで、セキュリティ対策の構成要素は大きく変わるのだ。

　このような状況では、これまで投資してきたセキュリティ対策は“無意味”になってしまうのか――。そう考える人もいるかもしれないが、ここには大きな誤解がある。

Windows 10時代の賢い「エンドポイント保護」手法とは

　「Windows Defenderはわれわれの観点でも品質が高いと感じており、『既知のマルウェアを止める』という点においては、もはやほぼ差はありません」

　こう話すのは、マカフィーでセールスエンジニアリング本部 本部長を務める櫻井秀光氏だ。しかし、櫻井氏は続けて「ただし、これはあくまで“既知のマルウェアの検知”という部分。未知のマルウェアについては、セキュリティベンダー各社が機械学習などのエンジンを使い、次々と生まれる新種や亜種を検知する仕組みを提供しています。両方に対応できる“2階建て”の構成をどう作るかがポイントになるでしょう」と語る。

　OS標準の機能であるWindows Defenderは有能になったものの、それだけでは足りない――。この点を誤解すると、既知のマルウェアはブロックできても、未知のマルウェアから組織を保護する仕組みが抜けてしまいかねない。

　この状況に対してマカフィーは、「Windows Defenderと協力して、完璧なセキュリティ対策を実現する」という方法を提案している。それが「McAfee MVISION」だ。これまでのセキュリティ対策製品やWindows 10の強力な標準機能を活用しつつ、iOS、Android、Linuxも同様に保護するという、理想的かつシンプルなエンドポイント保護の製品群だ。これは変わりつつある時代に合わせたソリューションであり、1つの「ビジョン」ともいえる。

「McAfee MVISION」は、SaaS型ePoの「MVISION ePO」、エンドポイントセキュリティの「MVISION Endpoint」、モバイル向けのセキュリティ機能「MVISION Mobile」という3つのソリューションで構成される

「MVISION Endpoint」がWindows 10の保護を加速させる

　McAfee MVISIONの中でも特に注目したいのは「ランサムウェア対策機能」だ。

　昨今、ランサムウェア攻撃の標的は「組織」になりつつある。攻撃者はあらかじめバックアップシステムの存在を偵察し、それを破壊してからランサムウェアを実行させるということまで行う。

　MVISIONのエンドポイントセキュリティ「MVISION Endpoint」には、ファイルの「ロールバック機能」が搭載されているため、エンドポイント上でランサムウェアが実行された場合でも、デバイス内で暗号化前までロールバックし、元のファイルを自動で復旧させることが可能だ。本機能については分かりやすい解説動画もあるので、ぜひその挙動を確認してほしい。

ランサムウェアからファイルを守る「ロールバック機能」で、万が一ランサムウェアに感染しても自動で感染前の状態に戻すことが可能だ。（画像をクリックすると、機能を説明する動画にリンクします）

　その他、痕跡が残らない攻撃として、検出が難しい「ファイルレスマルウェア攻撃」への対策や、攻撃者が真っ先に狙う、デバイス、サーバ内に存在する認証にまつわる情報を保護する機能も用意している。

　MVISION Endpointの考え方は「既知のマルウェア対策は、高品質な『Windows Defender』に任せ、その他の部分に注力する」というものだ。Windows 10への移行が進む企業も多い中、この考え方に共感できるシステム管理者は多いのではないだろうか。

マカフィーとマイクロソフトによる、エンドポイント保護機能の連携

スマートフォンもタブレットも――AndroidだけでなくiOSにも脅威は存在する

マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏

　もう1つのポイントは、モバイルデバイスに対する保護だ。

　昨今の報道では「モバイルデバイスを狙うマルウェアのほとんどはAndroidで、野良アプリストア経由で配信されている」と断言するものも多い。そのため、「iOSならば安心、たとえAndroidでも不正なアプリを入れなければ大丈夫」という印象を持つ人もいるのではないだろうか。

　櫻井氏もこの考え方は否定しない。しかし「モバイルデバイスの脅威はマルウェアだけではない」というのが、今最も主張したいポイントだという。それでは、マルウェア以外にどのような脅威が存在するのか。同氏は代表的なものとして「ネットワーク経由の攻撃」を挙げる。

　例えば、空港などにある暗号化されていないWi-Fiを用いた「盗聴」や、偽のアクセスポイントを用意し、デバイスに残る脆弱性を攻撃するようなツールを利用するといった、ネットワークの中間に入り込むことで、攻撃を成立させる方法がiOS、Android共に存在するという。

　これは、過去にモバイルデバイスのセキュリティ対策としてよく挙げられていた、設定管理や紛失対策などを含む「モバイルデバイスマネジメント（MDM）」だけでは対応できない。新たに「モバイル脅威防御（Mobile Threat Defense：MTD）」のソリューションが必要になる。

　このMTDソリューションの1つが「MVISION Mobile」だ。これはiOS、Androidのアプリとしてインストールすることで、先述の中間者攻撃や脆弱性を悪用した攻撃を、端末内で検知し、ブロックできるというものだ。

　櫻井氏は、このような攻撃に対して「実際にAndroidでは“Stagefright”、iOSでは“Pegasus”といった、脅威が明らかになっている。スマートフォンがビジネスに深く入り込む中、モバイル脅威の認識を改めなくてはならない状況だが、『モバイルの脅威を可視化できているか？』と聞かれると、答えられない組織は多いのではないか」と話す。

　ネットワーク経由の攻撃からデバイスを守るために、VPNを活用しようと考えるシステム管理者もいるかもしれない。しかし、VPNは「社員に利用を強制できるか」という点で課題もある。その観点では、MVISION Mobileのような仕組みで脅威を検知、可視化できるかどうかは、モバイルデバイス活用の普及において、重要な要素になるだろう。

マカフィー製品も「それ以外」も――可視化を担うePO

　そして、その「可視化」の機能を提供するのが、マカフィー製品のダッシュボードとして長い歴史を持つ「ePO（ePolicy Orchestrator）」だ。

　これまでも多くの組織で活用されてきたePOだが、MVISIONでは、このePOをSaaSで提供しており、管理サーバを立てることなく機能を活用できる。また、ePOをAWS（Amazon Web Services）上に構築したり、従来のようにオンプレミスで運用したりすることも可能だ。

　ePOのダッシュボード機能「プロテクションワークスペース」では、MVISION Endpointだけでなく、Windows Defenderが検知した情報も一元管理が行える。このほかに数百の“他社製品”とも接続して表示することも可能だ。例えば、脆弱性検査ツールをePOの画面から実行、指示することもできるという。このようなオープンな思想が、同社製品が現場で支持される点だろう。

ePOの「プロテクションワークスペース」では、さまざまな情報を一元管理して可視化できる（画像をクリックすると、機能を説明する動画にリンクします）

「まさにTogether is Power」――顧客視点で評価されるポイントは？

SB C&S ICT事業本部 MD本部 ネットワーク＆セキュリティマーケティング部 MD2課の中西亮氏

　マカフィー製品を販売し、サポートする視点では、このソリューションはどのように見えるのだろうか。SB C&S ICT事業本部 MD本部 ネットワーク＆セキュリティマーケティング部 MD2課の中西亮氏は次のように話す。

　「SB C&Sはディストリビューターとして、サポートも含めてマカフィー製品を取り扱っています。彼らの“ベンダーロックインをしない”という考え方は、Windows Defender活用を含めてリセラーに提案しやすく、売り手としてもお勧めしやすいです。これはまさにマカフィーが掲げる“Together is Power”というキーメッセージそのもの。ベンダー同士のアライアンスが組まれているのが特徴です」

　そしてもう1つ、MVISIONというブランドに製品がまとまったことで、ライセンス体系がシンプルになったのも見逃せないポイントだという。

　「これまではデバイスごとに必要だったライセンスが“ユーザー単位”に改められました。一人の社員が複数のデバイスを持つことが当たり前になりつつある今、このライセンス体系はお客さまにとっても理解しやすいものだと思います」（中西氏）

　昨今では、エンドポイントで脅威検知を行う「EDR（Endpoint Detection & Response）」に注目が集まっている。しかし、EDRは単体で導入しようとすると、複数ベンダーのエンドポイント保護製品やさまざまなソリューションごとにダッシュボードが分かれ、管理が煩雑になるのが現状だ。

　その点、MVISIONであれば、これまでに導入したセキュリティ対策製品という既存の投資、そしてWindows Defenderという優れた機能をそのまま活用しつつ、さまざまなデバイスをまとめて1つのダッシュボードで可視化できる。Windows 10への移行を控え、これを機にエンドポイントセキュリティを見直したいと考えるシステム管理者にとって、MVISIONは有力な選択肢になるだろう。