- ライター:烏丸 正大
- 2020年にネットワンシステムズに入社。VMware Carbon Blackの製品担当として、技術的観点での検証、検証結果の共有、案件支援などの業務に取り組んでいる。セキュリティのスペシャリストになるべく、エンドポイント領域を中心にスキルを高めている。
目次
はじめに
本ブログでは、VMware Carbon Black Cloud Workload™に新しく実装された、「CIS Benchmarks for VMware Carbon Black Workload」についてご紹介いたします。VMware Carbon Black Cloud Workloadの概要については、こちらの記事で紹介していますので、ぜひご確認ください。
検証で見えた、VMware Carbon Black Cloud Workloadのここがスゴイ! | ネットワンシステムズ (netone.co.jp)
CIS Benchmarks for VMware Carbon Black Workloadによって、VMware Carbon Black Cloud WorkloadのITハイジーンソリューションとしての強みが一層強化されました。VMware Carbon Black Cloud Workloadは優れたNGAV、EDR機能を備えたエンドポイントセキュリティ製品です。NGAV によって悪意のある攻撃からエンドポイントを保護し、EDRによってインシデントをいち早く検知し対処することが可能です。エンドポイントセキュリティを考える上で、ITハイジーンの要素も非常に重要です。ITハイジーンの実践により、エンドポイントに存在する脆弱な部分を早期に発見ができるため、エンドポイントの健全状態を継続的に維持ができ、結果的にはインシデントの発生率自体を抑えることが可能です。VMware Carbon Black Cloud WorkloadはLive Queryという強力なITハイジーンの機能を有していましたが、CIS Benchmarks for VMware Carbon Black Workloadが追加されたことで、今まで以上に強力となり、NGAV、EDR機能と組み合わせることで非常に強固な防御となります。
CIS Benchmarks™とは
CIS Benchmarksとは、情報セキュリティに関する国際基準の一つで、米国の非営利団体である、「Center for Internet Security」によって作成されています。CISの基準に従うことで、組織が有する情報資産のセキュリティレベルを継続的に維持させることができます。CIS Benchmarksは製品やサービスごとに提供されており、ベストプラクティスとなる設定がまとめられています。設定項目ごとに、設定が必要な根拠、設定の確認方法、設定方法、デフォルト値等の情報が記載されているのが特徴です。今回実装されたCIS Benchmarks for VMware Carbon Black Workloadは、VMware Carbon Black Cloudセンサーをインストールしたエンドポイントのユーザーアカウントのパスワードを構成する最小文字数に関する設定、Windows Updateの自動アップデートに関する設定、Windows Firewallの状態に関する設定といった多岐にわたる設定項目をCIS Benchmarksを利用して監査する機能となります。
参考:CIS Benchmarks (cisecurity.org)
CIS Benchmarks for VMware Carbon Black Workload
本ブログを執筆するに際して、弊社の環境内で、本機能を利用した検証を実施いたしました。本機能は以下の条件を満たすエンドポイントであれば、すぐに利用を開始することができます。
<サポート条件>
・3.9.0.2357以上のVMware Carbon Black Cloudセンサーがインストールされている。
・OSのバージョンが、「Windows Server 2012 x64」、「Windows Server 2012 R2 x64」、「Windows Server 2016 x64」、「Windows Server 2019 x64」、「Windows Server 2022 x64」であること。(2023年4月現在、Windows 10、Windows 11といったクライアントOSはサポートされていません。)
・エンドポイントが、Active Directoryドメインに接続されていること。
図1が、実際の管理コンソールの画面となります。
管理コンソールの「強化 > CISベンチマーク」タブの中に、事前にWindows Server用のベンチマークが構成されており、ベンチマークを有効化するだけで利用を開始することができます。CIS Benchmarksの公式サイトからファイルをダウンロードする、ダウンロードしたファイルをインポートするといった、手間となる操作は一切不要です。Windows Serverの場合、CIS Benchmarksの設定項目は数百個、PDFファイルで確認すると千ページ以上になります。そのような膨大な設定項目をエンドポイントセキュリティ製品に組み込まれた機能で監査できることは非常に有益です。
図1 CISベンチマーク設定
図2がベンチマークの評価結果を表示した画面となります。図2では、設定項目の例として、ユーザーアカウントのパスワードの最小文字数に関する設定を確認しています。CIS Benchmarksの推奨を満たしていないため、赤いバツ印が記されています。同画面に推奨設定の説明、根拠、影響、設定方法が表示されるので、この情報をもとに各設定を修正することが可能です。グループポリシーで推奨設定を確立するための設定方法もまとめられていますので、推奨を満たしていないエンドポイントの設定に変更を加えることに役立ちます。
図2 CISベンチマーク評価結果
まとめ
今回は、VMware Carbon Black Cloud Workloadに実装されている、CIS Benchmarks for VMware Carbon Black Workloadをご紹介いたしました。本検証の結果、標準的なベストプラクティスに即したセキュリティ基準を満たしているかどうか定期的に確認することで、自社の環境が安全な状態で保たれているかどうかを常に確認することのできる機能となっていることが分かりました。
VMware Carbon Black Cloud Workloadは、今回ご紹介したCIS Benchmarks for VMware Carbon Black Workload以外に、「Carbon Black XDR (*1)」、「VMware Carbon Black Cloud Host-based Firewall (*2)」といった新機能が追加されています。いずれの機能も、同一の管理コンソール、同一のエージェントで実装されていますので、管理者の作業負荷が抑えられています
弊社では、今後もお客様の要件に合う検証を実施し、ナレッジの蓄積、利活用を進めていきます。本記事を読み、VMware Carbon Black Cloud Workloadにご興味をお持ちいただけましたら、お気軽に弊社営業担当までご連絡ください。
*1:従来のCarbon Black Cloudが収集するテレメトリに加えて、ネットワークテレメトリを活用することで、インシデントの検出と対応速度を高速化する機能のこと。
参考:https://carbonblack.vmware.com/resource/carbon-black-xdr-technical-overview#what-is-the-difference-between-carbon-black-xdr-and-carbon-black-edr
*2:Windows Defenderファイアウォールポリシーを管理コンソールから制御し、ポリシーの内容に従い通信を制御する機能のこと。
参考:https://carbonblack.vmware.com/resource/vmware-carbon-black-cloud-host-based-firewall-faq
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
