Save the World from IT threats Kaspersky Security for Windows Server 製品説明資料 Ver 1.3 2018/4/11 株式会社カスペルスキーコーポレートビジネス本部 Copyright 2018 Kaspersky Lab. All rights reserved.
目次 1 Kaspersky Security for Windows Server 概要製品の特長導入の効果 2 製品機能紹介 2
1 Kaspersky Security for Windows Server 概要 3
製品の特長 アンチクリプター - 共有フォルダ上のファイルに暗号化攻撃があった場合に攻撃をブロック - 攻撃を実行しているコンピューターとの通信をブロック Kaspersky Security Network(KSN) との統合 - クラウド上の脅威情報 (KSN) を利用し より最新の脅威に対応 様々な構成への対応 - Server Core モードやターミナルサービスなど様々な構成に対応 サーバー用途に合わせたロードバランシング機能 - 使用する CPU スレッドを調整可能 管理の容易さ - KSC による統合管理可能 アプリケーションの起動コントロール ( 要ライセンス ) - 不要なアプリケーションの起動をブロックすることでマルウェアへの感染リスクを低減 4
アンチクリプター ランサムウェア対策 共有フォルダ上のファイルに対して 悪意のある暗号化の試行があった場合に その攻撃を仕掛けているコンピューターからのアクセスをブロック それ以外のコンピューターからはアクセスが可能 アクセスブロック ランサムウェアに感染 ランサムウェアによるファイルアクセス 正常なファイルアクセス 正常なクライアント PC アクセス可能 Windows File Server 5
Kaspersky Security Network クラウド上のレピュテーション情報を利用し より最新の脅威に対応することが可能 Kaspersky Security Center レピュテーションの照会 ( 代理 ) レピュテーションの結果 KSN Kaspersky Security Network レピュテーションの照会 レピュテーションの結果 世界中の Kaspersky ユーザーからのレピュテーション情報 社内ネットワーク 最も高度なグローバルクラウドセキュリティネットワーク ダイナミックな分類とレピュテーション ゼロデイ 脅威からのリアルタイムプロテクション カスペルスキーの各製品との統合 6
Kaspersky Security Network のメリット メリット① メリット② 最新の脅威への迅速な対応 緊急検知データベース 世界中4億人以上のカスペルスキーユー ザーから収集したリアルタイム脅威情報 をKSN緊急検知データベースで管理 各端末はスキャン時にKSNへ問い合わせ することで 最新の脅威に素早く対応 新たな脅威の検知からユーザーへの定義 DB配信まで数時間かかるところを数分で 対応 オブジェクト属性情報による 関連分析 メタデータリポジトリー 検査ファイルのダウンロード元URL情報な ど オブジェクトに関連付けられた属性情 報を元に総合的な分析を実施 ファイル単体検査だけでは検知が困難な高 度なマルウェア対策に効果を発揮 最新の脅威情報送信 KSN Kaspersky Security Network 最新の脅威情報提供 マルウェアに関する情報 不正WEBサイト情報 アプリケーション情報 脆弱性情報 など 7
メリット 1 最新の脅威への迅速な対応 最新の脅威が定義データーベースへ登録されるまでのタイムラグを大幅に低減 新たな脅威を検知した際 定義 DB に反映 / 各ユーザーに配信されるまで通常数時間かかるものを KSN に問い合わせることにより数分以下へ短縮 KSN に参加しているカスペルスキー製品ユーザー 1 コンピューターは不審な挙動を見せ る脅威に関する情報をリアルタイム で KSN に送信 2 カスペルスキーの Automatic 1 KSN Delivery System 3 Analysis Systemにて 悪意のある脅威は即座に 緊急検知 DB に追加正規のアプリなどは明示的にホワイ トリストへ登録 Kaspersky Lab 累積統計 DB Kaspersky Lab ホワイトリスト DB Kaspersky Lab 緊急検知 DB Kaspersky Lab 定義 DB 3 コンピューターはリアルタイムで KSNの緊急検知 DBやホワイトリスト情報を参照しながら端末を保護 4 KSN に登録された情報をカスペルス Automatic Analysis System Kaspersky Lab アナリスト評価 2 4 キーのアナリストが正確に解析 / 評価し 定義 DBへ反映 8
メリット 2 オブジェクト属性情報による関連分析 セキュリティ攻撃や検査対象オブジェクトに対して 多種多様なメタデータ ( 属性情報 ) の関係性について分析を実施 検査対象ファイルのダウンロード元 URL に問題はないか 起動するアプリケーションは正規のものであるか ( デジタル署名の有無など ) 未知の脅威に対する検知力を強化するとともにホワイトリストによる誤検知対策も完備 オブジェクトに関する情報ダウンロードに関する情報 ファイルサイズ チェックサム ダウンロード元 URL(IP) ( MD5 / SHA2-256 / SHA1 ) また その状態 圧縮に使用されたアプリ名 ( 悪意があるか ) ファイルの証明書など WEB 上の不正スクリプトの数 生成されたHTTPリクエスト/ レスポンス情報 ダウンロードプロセス名アプリケーションに関する情報 ダウンロードプロトコル アプリケーションの普及度ポート番号など 実行プロセス情報( プロセス名 プロセスID 実行アカウント) デジタル署名の有無 プロセスに読み込まれた関連モジュール情報など KSN へ送信される情報に個人または企業データは含まれません KSN へ連携 KSN Kaspersky Security Network 未知の脅威に対する一例 新種のマルウェアがダウンロードされる際に KSN が持っている不正ダウンロード元 URL 情報に一致した場合 即座にダウンロードブロック処理を実行 ヒューリスティックや振る舞い検知などのオブジェクトスキャンに加えて 左記のようなファイル属性情報を複合することで さらなる防御力向上を実現 9
様々な構成への対応 Windows Server Core モード 階層型ストレージ ReFS (Resilient File System) Windows のサーバー機能を利用する場合の Server Core モードに対応 階層型ストレージ (HSM) に対応使用しない / 再解析ポイントを使用 / 拡張ファイル属性を使用 / 不明な HSM システムから設定を選択可能 Microsoft のファイルシステムである ReFS に対応 クラスター構成対応 クラスター構成で共有されているディスクを保護 ターミナルサーバー対応 Windows リモートデスクトップサービス Citrix XenApp 環境に対応 仮想環境対応 VMware / Microsoft Hyper-V / Citrix XenDesktop といった仮想化環境に対応 10
管理の容易さ (Kaspersky Security Center による統合管理 ) 管理サーバーである Kaspersky Security Center を利用することで統一したポリシーで集中管理が可能 定義適用の状況 バージョン管理 状態チェックなど全て一元管理可能 Windows Server のみでなく Windows Client OS/Linux/Mac/ スマートフォン 物理 / 仮想環境も問わず集中管理が可能 Kaspersky Security Center Kaspersky Console Security Center Server リモートインストール 管理者への通知 通知設定 ( メール /SNMPなど) アプリケーションの動作管理 11
アプリケーションの起動コントロール 不要なアプリケーションの起動をブロックすることでマルウェアへの感染リスクを低減 アプリケーションの起動ルールを設定することで下記オブジェクトを許可 / ブロック可能 / 実行ファイル / スクリプト / MSI パッケージの起動 / DLL モジュールのロード 実行不可 信頼されていないアプリケーション 信頼されているアプリケーション 実行可能 ルール or 統計情報によるコントロール 適用範囲の指定実行ファイル / DLL / スクリプト / MSI KSN 情報を利用した信頼アプリケーションの判別実行可能ユーザーの指定 Advanced もしくは File Server のライセンス購入時のみ利用可能 12
スクリプト監視 危険なスクリプトまたは危険な可能性のあるスクリプトを制御することが可能 制御内容は 許可 もしくは ブロック 対応しているスクリプト VB Script や Jscript などの Microsoft Windows のスクリプトテクノロジー ( アクティブスクリプト ) を使用して作成されたスクリプト 実行不可 危険なスクリプト 危険な可能性があるスクリプト 正常なスクリプト 実行可能 スクリプト監視はサーバーや他のアプリケーションの動作に影響を及ぼす可能性があります 利用する場合には十分に事前検証を実施してください 13
導入の効果 ランサムウェアを含むマルウェアの脅威からサーバー上の重要データを強力に保護し サーバーを経由した感染の拡大も阻止 サーバーの用途に合わせてロードバランシングやスキャン設定を行うことで サーバーへの負荷を調整して最適なセキュリティを提供可能 マルウェア検知などのイベントは管理者に通知され 迅速に対応を実施することが可能 様々な環境 / アプリケーションサーバーに対して統一した管理が可能 14
2 製品機能紹介 15
リアルタイム / オンデマンドスキャン タスク単位でリアルタイム / オンデマンドスキャン ( 定時スキャン ) の実施が可能 オンデマンドスキャンはデフォルトで 3 つのスキャンが実行される リアルタイムスキャン オンデマンドスキャン 16
柔軟なスキャン設定 サーバー負荷を最適化するため システム管理者は以下のスキャン設定が可能 スキャン強度 ( セキュリティレベル ) の設定 アンチマルウェア処理のスレッド数を指定 ( ロードバランシング / スケーラビリティ設定 ) スキャンの除外対象とするプロセスを指定 ( データのバックアップなど 信頼できるプロセス ) スキャンを実行する / しないファイル種別を指定 疑わしい / 感染したオブジェクトを検知した時の動作を設定 17
セキュリティレベルの設定 ファイルのリアルタイム保護 の設定から 保護範囲の設定 を開くと セキュリティレベル を指定可能 すべてをカスタムで設定することも可能 セキュリティレベルを3段階選択可能 デフォルト 推奨 レベルを選択後 各設定を個別に選択す ることも可能 個別に設定を変更した場 合はレベルが カスタム に変更 レベルを カスタム にし すべてを設 定することも可能 リストビューとツリービューを選択可能 リストビューは指定フォルダを参照して保護/除外対象として指定可能 ツリービューはチェックボックスで保護/除外対象を指定可能 フォルダやドライブごとにセキュリティレベルの変更も可能 どちらで設定しても同期される 18
ロードバランシング / スケーラビリティ設定 設定した優先度に応じて KSWS と他のアプリケーション間でリソースを調整する機能 ローカルの管理コンソール上では Kaspersky Security を右クリックし プロパティ を開き 全般タブ から設定可能 実行中プロセスの最大数 デフォルトは自動決定 プロセッサ数 実行中プロセス最大数 1 1 2~4 2 4~ 4 手動設定の場合 最大数は 8 リアルタイム保護のプロセス数 デフォルトは自動決定 プロセッサ数 1 1 2~ 2 手動設定の場合 実行中プロセスの最大数 まで設定可能 バックグラウンドスキャンのプロセス数 デフォルトは自動決定 (1 つ ) 手動設定の場合 最大 4 つ 実行中プロセスの最大数 に含まれない 実行中プロセス最大数 19
ロードバランシング / スケーラビリティ設定用途 スケーラビリティ設定の各用途は下記 設定名 実行中プロセスの最大数 リアルタイム保護のプロセス数 バックグラウンドスキャンのプロセス数 用途 内容 リアルタイム保護 / オンデマンドスキャン / 定義 DB 更新タスクに使用 定義 DB 更新タスクは使用時だけメモリーに存在する リアルタイム保護のプロセス数 は 実行中のプロセスの最大数 に一致することがある オンデマンドスキャン 定義 DB 更新タスクが同時に起動したときには リアルタイム保護のプロセス数 が使用される リアルタイム保護のプロセスを保持したい場合 実行中のプロセスの最大数 は リアルタイム保護のプロセス数 を上回る必要がある バックグラウンドスキャンに利用される ( オンデマンドスキャンで設定可能 ) バックグラウンドスキャンは 使用時だけメモリーに存在する サーバーパフォーマンスは主に リアルタイム保護のプロセス数 に依存 ファイルスキャン時に 実行中プロセスの最大数 のプロセスが リアルタイム保護のプロセス のロードに失敗するとファイルアクセスは遅延する オンデマンドスキャンで バックグラウンドモードでタスクを実行する を有効にすると優先度が 低 となりタスクの実行に必要な時間が長くなるがプログラムの実行速度が上がる可能性がある 複数のバックグラウンドタスクを優先度 低 で且つ 1 つのプロセスで処理を実行できる 20
スキャンの除外対象とするプロセス ( 信頼するプロセスのリスト ) スキャンの除外とするプロセスは 信頼するプロセスのリスト に登録 ローカルの管理コンソール上では Kaspersky Security を右クリックし 信頼ゾーンの設定 を開き 信頼するプロセス から設定可能 ファイルのバックアップ処理を確認しない データのバックアップコピー中にリアルタイム保護を無効 プロセスの実行ファイルを選択プロセスが現在実行されているかは関係しない 保護対象のサーバーで実行中のプロセスリストから選択 21
スキャン対象とするファイル種別の設定 ファイル形式や拡張子リストに従ってスキャン対象の指定が可能 圧縮ファイル ( アーカイブ ) についてもスキャン対象として指定可能 すべてのオブジェクト すべてのオブジェクトをスキャン ファイル形式によってオブジェクトをスキャン ( デフォルト設定 ) ファイル形式に基づいて感染する可能性があるオブジェクトのみをスキャン 形式のリストは定義データベースからコンパイルされる 定義データベースで指定されている拡張子リストに基づいてスキャン ファイル拡張子に基づいて感染する可能性があるオブジェクトのみをスキャン 拡張子のリストは定義データベースからコンパイルされる 指定の拡張子リストによってオブジェクトをスキャン ファイル拡張子に基づいてスキャン 拡張子リストは手動でカスタマイズ可能 22
検知時の動作の指定 感染したオブジェクト / 感染の可能性があるオブジェクトの処理を指定可能 検知したオブジェクトの種別ごとに処理を指定することも可能 23
ヒューリスティックアナライザー プログラムのふるまいを分析することで 既知のマルウェアだけではなく 未知または既知の新種 ( 亜種 ) のマルウェアを検知することが可能 パターンマッチング ヒューリスティックアナライザー ウイルス定義データベース プログラム / ファイル プログラムの動作 ウイルス定義データベースとスキャン対象のプログラムやファイルを比較し 一致する場合に検出する プログラムの動作 ( ふるまい ) を分析し 不審な挙動を検出する 24
信頼しないホストのブロック Kaspersky Security for Windows Server で保護しているサーバー上のネットワークリソース ( ファイルサーバーなど ) にアクセスして悪意のある動作や暗号化を実行しようとしたホストに対して 保護しているサーバーへのアクセスをブロックする リアルタイムスキャン アンチクリプターで検知したホストを自動的に信頼しないホストに追加 信頼しないホストをブロックする時間を指定可能 管理者が手動でホストを選択しブロックを解除することも可能 ブロックする時間を指定 信頼しないホストのリスト 25
アンチクリプター ランサムウェア対策 共有フォルダ内のファイルに暗号化試行があった場合に検知することが可能 信頼しないホストのブロック の機能を利用し 攻撃を仕掛けているコンピューターのアクセスをブロック可能 信頼しないホストのブロック の機能を使用しない場合でも攻撃を仕掛けているコンピューターを 信頼しないホストのリスト に自動登録可能 アンチクリプターで検知したコンピューターをブロックするには 信頼しないホストのブロック 機能が必須です アンチクリプターで保護する共有フォルダーの設定 ヒューリスティックアナライザーの使用可否とレベルの調節 26
アプリケーション起動コントロール 不要なアプリケーションの起動をブロックすることでマルウェアへの感染リスクを低減 実行ファイル スクリプト MSI パッケージの起動だけでなく DLL モジュールのロードを許可 / ブロック アプリケーション起動コントロールタスクモード統計のみ ルールは使用せずにアプリケーション起動に関する情報をタスク実行ログに記録ルールの適用 指定されたルールを使用して実行中のアプリケーションを監視 ルールの適用範囲実行ファイルにルールを適用する 実行ファイルの開始に対してルールの有効 / 無効を指定 DLL モジュールの読み込みを監視する DLL モジュールに対してルールの有効 / 無効を指定スクリプトと MSI パッケージにルールを適用する スクリプトと MSI に対してルールの有効 / 無効を指定 KSN(Kaspersky Security Network) の使用 KSN で信頼されていないアプリケーションを拒否する KSN で信頼されているアプリケーションを許可する実行を許可するユーザーまたはユーザーグループ KSN 上で実行が許可されているアプリケーションであっても指定ユーザー / グループのみが実行できるように指定が可能 27
アプリケーション起動コントロールルール アプリケーション起動コントロール用のルールを個別に作成可能 ルールの作成は管理者による個別作成と XML ファイルによるインポートが可能 ファイルのプロパティからルールを適用する基準を設定 を利用し対象ファイルの SHA256 ハッシュを自動読み込みも可能 28
アプリケーション起動コントロールルールの自動作成 指定されたフォルダーの指定されたファイル種別に基づき アプリケーション起動コントロールの許可ルールのリストを自動的作成 検索した結果をアプリケーション起動コントロールルールに自動反映 29
アップデート 下記 4 つのアップデートが実行可能 定義データベースのアップデート ソフトウェアモジュールのアップデート アップデートのコピー 定義データベースのアップデートのロールバック 定義データベースのアップデート と ソフトウェアモジュールのアップデート は既定でスケジュール済み アップデートのコピー はアップデートに利用するファイルを指定したネットワークフォルダーやローカルフォルダーにコピーを行う 30
THANK YOU お問い合わせ先 : 株式会社カスペルスキー 101-0021 東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル7F http://www.kaspersky.co.jp カスペルスキー製品資料 https://kasperskylabs.jp/biz/ 脆弱性情報 https://threats.kaspersky.com/ja Copyright 2018 Kaspersky Lab 無断複写 転載を禁じます カスペルスキー Kaspersky は Kaspersky Lab の商標または登録商標です