VMware Carbon Black Cloud を導入し端末の可視化と的確な脅威対応を実現――学内のセキュリティ強化に貢献

エンドポイント保護ソリューションとして、大学事務で利用する PC 160 台に VMware Carbon Black Cloud を導入。20-30分で導入完了するなど、スムーズな導入が進むなか、2021年4月から本番稼働を開始。端末の操作や挙動が可視化できるようになり、今まで実現が難しかった悪魔の証明もほぼ実現されるなど、同大学のセキュリティ運用が大幅に改善された。また、コロナ禍におけるテレワークでも同製品が導入された端末が活躍しており、大学職員の安全確保・生産性向上にも貢献している。

ソリューション

成城大学は学内の情報セキュリティ強化のため、EDR 製品である VMware Carbon Black Cloud を導入。従来まで難しかった、ネットワーク内に脅威が存在しなかったという事実の立証（通称「悪魔の証明」）をほぼ実現できるようになったほか、テレワーク時の職員の端末セキュリティ担保へもつながった。

導入前の課題

• ネットワーク内に侵入した脅威の存在や攻撃プロセスなどを明確に証明できない
• テレワークで働く職員の情報セキュリティを確保する必要がある

導入効果

• 端末の挙動や操作をすべて可視化することで、的確な状況把握と脅威対応を実現
• リモートからの調査・検索やマルウェア感染端末の遮断が可能に

＊＊＊

キャンパス内に潜む脅威の存在証明が課題に

学生一人ひとりの個性に主眼を置き、グローバル社会を生き抜く「独立独行」の人材を育成する成城大学。その教育の歴史は、実に 100 年以上前にまで遡る。また、長い伝統を有する一方で、時代を先取りした取り組みを積極的に推進しているのも同大学の大きな特長だ。

たとえば、8 号館 1 階に設置された「 Lounge #08（ラウンジナンバーエイト）」には、観葉植物が配されたカフェ風のスペー スに、Wi-Fi 6 対応の高速な通信環境を整備。学生がいつでも気軽にPCやネットを利用できる環境を提供することで、IT に関するスキルやリテラシーを自然に身に着けられるようにしている。

• 

  成城大学
  メディアネットワークセンター
  課長 五十嵐 一浩 氏

ただし最近では、IT 面で解決すべき課題も抱えていたとのこと。それは学内の情報セキュリティ強化だ。メディアネットワークセンター 課長 五十嵐 一浩氏は「最大の問題は、ネットワーク内に脅威が存在しなかったという『悪魔の証明』をいかに成立させるかという点です。もちろん本学でもセキュリティには細心の注意を払っており、様々な製品を導入して対策を行っています。しかし、そこから上がってくるアラートやログなどをいくら積み上げても、情報漏えいなどの被害が本当に無かったと実証することが困難だったのです」と語る。

VMware Carbon Black Cloud でエンドポイント対策を強化

万一何らかのセキュリティ被害が生じた場合、それを証明するのは簡単である。なにしろ被害という実態が歴然と存在す るのだ。しかし 、「何も起きていなかった」ことを証明するのは相当な難題である。メディアネットワークセンター 大高 一真氏は「たとえばゲートウェイ製品から、怪しいサイトへのアクセスを示すログが見つかった場合、そこに大事な情報を入力していないか調べるには、PC の操作履歴をチェックするしかありません。とはいえユーザーも、当時の操作を全部覚えてはいませんので、結局いろんなデータを突き合わせて『おそらく大丈夫だったはず』と結論付けるしかありませんでした」と振り返る。このような課題を解決するものとして、近年注目を集めているのが、いわゆる「 EDR（ End-p oint Detection & Response ）」製品である。

脅威の侵入を防ぐことを目的とするアンチウイルス製品に対し、EDR は内部に侵入した脅威の検知とその後の対処を目的とする。実は同大学でも早くからエンドポイント対策の有用性に着目し、あるベンダーのEDR 製品を既に導入していた。しかし、データの収集や分析に時間が掛かる、使い勝手が良くないなど問題が多く、なかなか思うような成果を上げられなかったという。

そこで同大学では、新たな EDR 製品の導入を検討。ここで白羽の矢が立てられたのが、ヴイエムウェアが提供する「 VMware Carbon Black Cloud 」だ 。五十嵐 氏は「私自身、VMware User Group でリーダーを務めていることもあり、ヴイエムウェアの旧 Carbon Black 社買収には強い関心を持ちました。クラウド型の製品ですから、オンプレミスの管理サーバーを自前で運用する必要もありませんし、大量ログの保管場所にも悩まされずに済みます。また、物理／仮想両方の環境を監視できる点や、エージェントだけで使える手軽さなども評価し、採用を決めました」と語る。

端末の挙動を明確に 可視化初動対応もスピーディに

具体的な監視対象としては、大学の事務業務で利用される PC 約 160 台を選定。実際の導入作業も非常にスムーズに進んだという。「今回のような取り組みでは、複数のセキュリティ製品同士が競合してうまく動作しないケースも多い。その点、VMware Carbon Black Cloud は NGAV（次世代アンチウイルス）と EDR の両方の機能を備えた製品でありながら、すんなりと既存環境に導入できました」と五十嵐氏。大高氏も「端末へのエージェント配布なども、手持ちの資産管理ソフトを利用することで 20 ～ 30 分程度で完了しました。あまりにも簡単に終わったので、本当に導入できたか逆に不安になったくらいです」と続ける。

• 

  成城大学
  メディアネットワークセンター
  大高 一真 氏

この結果、VMware Carbon Black Cloud は 2021 年 4 月より本番稼働を開始。これにより、同大学のセキュリティ運用にも大きな改善効果が生まれている。まず一点目は、課題であった端末の操作や挙動を可視化できた点だ。VMware Carbon Black Cloud には独自のストリーミング分析機能が備わっており、PC で実行されるイベントをすべて記録／タグ付けして相関分析する。このため、いつ・どのように実行されたアクションがインシデントの原因なのかを突き止めることが可能だ。

• 

  成城大学
  メディアネットワークセンター
  田村 忠才 氏

メディアネットワークセンター 田村 忠才氏は「さらに大きいのが、それぞれのイベントのつながりをグラフィカルに表示してくれる点です。これなら高度な専門知識を持たないメンバーでも、素早く正確な判断を下せます。このことは、初動対応のスピードを上げていくうえで非常に大きなメリットとなります」と語る。

さらに五十嵐氏も「ファイルサーバーからデータを持ち出す際に、端末側からメディアにコピーされたらゲートウェイでは検知できません。その点、VMware Carbon Black Cloud があれば、このような行為もエージェントで確実にキャッチできます。懸案であった『悪魔の証明』は、ほぼ実現できたと言えるでしょう」と力強く語る。

テレワークの安全確保に寄与 リモートからの端末制御も可能に

加えて、もう一つ見逃せないのが、安全なテレワークの実現にも役立っている点だ。五十嵐氏は「本学でも緊急事態宣言下ではテレワークを実施していますので、自宅などで働く職員向けに、VMware Carbon Black Cloud のエージェントを導入した貸出端末を用意しました。各端末の状況把握はもちろん、マルウェア感染時の遮断などもリモートから行えますので、学外でも安心して働くことができます」と五十嵐氏は語る。

このように大きな成果を収めた同大学だが、今後も学内のセキュリティ強化に努めていく考えだ。五十嵐氏は「我々が目指す『ゼロトラスト』の実現に向け、今後も環境改善を続けていきたい。ヴイエムウェアの提案にも、大いに期待しています」と述べた。

＊＊＊

[PR]提供：ヴイエムウェア