kaspersky security for virtualization ksv 4.0 light agent ご紹介 ·...

仮想環境専用アンチウイルス製品 Kaspersky Security for Virtualization（KSV） 4.0

Light Agent ご紹介

2017年8月29日株式会社カスペルスキーコーポレートビジネス本部

Copyright © 2017 Kaspersky Lab. All rights reserved.

目次

• P3 仮想環境を取り巻くセキュリティ脅威の背景と運用課題

• P12 Kaspersky Security for Virtualization（KSV）による課題解決

- KSV Light Agent型の特徴

- VDI向けの高度なセキュリティ機能（未知の脅威対策）

- デバイスやアプリケーション制御（コントロール機能）

• P34 KSVと競合他社製品の機能比較

• P37 付録

- 競合他社製品価格比較

- プレミアサポート（MSA）のご案内

2


仮想環境を取り巻くセキュリティ脅威の背景と運用課題

3


ランサムウェアの動向

• ばらまき型から拡散型へメールにマルウェアを添付してばらまく方式から、感染した端末から別の端末へ自動で感染活動を行う拡散型マルウェアの台頭

• 脆弱性攻撃（エクスプロイト）ユーザーがマルウェアを誤って実行など、何らかの操作を実行しなくとも、条件が整えば感染させることができる脆弱性攻撃は依然として主流の攻撃手法

• ファイルレス型マルウェアの利用セキュリティ製品のオブジェクト検査を回避するファイルレスマルウェアを活用する手法も目立つ

4


拡散型ランサムウェア（WannaCryなど）

ランサムウェアとは、クライアントやサーバーデータを不正に暗号化を行い、解除してほしい場合は金銭を要求する非常に悪質なコンピューターウイルス。2017年のランサムウェアは、拡散型の仕組みを持つことが特徴。

ランサムウェアは、WannaCryによって一般社会にも広く認知される存在に。左の画面はWannaCry感染時に表示される脅迫文。身代金支払いは、ビットコインを利用。

5


ポート445で接続を試みる

Windowsの脆弱性

「MS17-010」の確認

「DoublePulsar」の

存在確認

脆弱性は有り、「DoublePulsar」が無しの場合、

脆弱性を利用して「DoublePulsar」を

感染

「DoublePulsar」が[WannaCry」を感染

他の対象にも感染を試みる

どちらも無い場合、活動を停止

WannaCryの高度な拡散手法

1. Windows OS（SMB）の脆弱性を利用し、コンピューターへ侵入「EternalBlue」という脆弱性攻撃（エクスプロイト）を利用し、不正コードを実行

2. 侵入できたらバックドアを仕掛ける「DoublePulsar」というファイルレスマルウェア（バックドア）が稼働

3. バックドアを通じ、ランサムウェアが実行 WannaCryがバックドアを通じコンピューターに侵入し実行される

6


なぜ、脆弱性攻撃（エクスプロイト）を利用するのか？

• 脆弱性を使わないマルウェア感染手法は、例えばメールにマルウェアを添付し、ユーザーがそれを実行しなければ攻撃が成立しなかった。

• ところが、脆弱性攻撃は、ソフトウェアのバグ（不具合）を突くことで、ユーザーが何のアクションを起こすことなく感染させることが可能。 ⇒ 条件さえ整えば、自動で感染するため、攻撃者にとってお手軽で確実な手法

7

こうした脅威は仮想デスクトップ（VDI）でも例外ではない。脆弱性攻撃防御機能を持つセキュリティ製品の導入が必要。


ファイルレス型マルウェア検知が困難な理由

• アンチウイルスのベース技術であるパターンマッチング方式はファイル実体のハッシュ値と定義データベースと突合せ、マルウェアかどうかの判定を行う。

• 今回WannaCryで利用されたDoublePulsarはファイル実体がなく、メモリ上のみで生存するファイルレス型マルウェアのため、ファイル実体を検査することが不可能。

8

ファイル実体を検査できなくても、マルウェアの挙動を監視して攻撃を検知できる「振る舞い検知」機能が必要


仮想デスクトップ（VDI）の運用課題

• 仮想環境へのアンチウイルス導入は、運用面を考慮する必要がある。 • きちんとした設計をせずに、従来型アンチウイルス製品を導入すると、以下のような運用課題に遭遇する。

スケジュールスキャン時のシステム負荷問題

9

定義ファイル更新時のネットワーク負荷問題

WEB、メール対策

ファイルレスマルウェア対策

シンクライアントなどのデバイス制御

脆弱性攻撃


仮想環境へ従来型アンチウイルスを導入した場合

VDI環境に従来の物理PCで利用していたセキュリティ対策製品を入れた場合、以下の問題が発生します。

ゲストOSが、同時にスキャンを開始することで、ピーク時のリソース使用率が増大（特にCPU、ディスクI/O）

同じタイミングで定義データベース（パターンファイル）を取得に行くため、ネットワーク帯域を想定以上に消費

結果

仮想マシンの動作遅延、さらには最悪、システム停止につながる場合も…。

10

スキャンストームアップデートストーム


1 アップデートストームによる過剰なネットワーク帯域消費

2 スキャンストームによる CPU、メモリ、ディスク消費 ⇒ パフォーマンスダウン

3 停止中VMの定義未更新 ⇒ 定義DBが古く、起動直後にマルウェア感染リスクが高い

4 実装可能な VM 数の低下（サーバー集約率低下）

同じ環境

それぞれのVMが全ての定義データベース更新プログラムスキャンエンジンをローカルに保持し、そこで処理を実行同じ環境同じ環境同じ環境同じ環境

管理サーバーで負荷を考慮した設定が困難

問題点 VM：仮想マシン

11

瞬間的なホストの負荷増大など非効率なリソース消費が課題負荷アップ負荷アップ負荷アップ負荷アップ負荷アップ

スキャンストーム、アップデートストームの発生


Kaspersky Security for Virtualization（KSV）による課題解決 KSV Light Agent型の特徴

12

Copyright © 2017 Kaspersky Lab. All rights reserved. 13

カスペルスキーの仮想環境向けアンチウイルス Kaspersky Security for Virtualization（KSV） • KSVは、お客様要件に応じて２種類の仮想向け製品から選択可能（ライセンスは共通）

1. VMware NSX連携機能を持つエージェントレス型 - VMware NSXと連携した拡散防止セキュリティの実装。 - システムパフォーマンスを最大限まで活かすデータセンターやサービス事業者向け。

2. 仮想デスクトップ（VDI）環境に最適なライトエージェント型 - 未知の脅威対策に効果的な振る舞い検知など、高度なセキュリティ機能を網羅。 - セキュリティ機能とパフォーマンスを両立し、仮想デスクトップ（VDI）にオススメ。


仮想デスクトップ（VDI）環境に最適なKSV Light Agent

• ライトエージェント型は、VDI用途に耐えうる高度なセキュリティ機能を備える。

• 他社のアンチウイルス製品にはない「振る舞い検知」を標準搭載。 • 仮想デスクトップ（VDI）環境は、WEB閲覧やメール経由で、不正プログラムを実行するケースが多く、実行時のプログラムの不正な振る舞いを判断できる機能が必須。

14

× 仮想デスクトップに最適

本資料では、KSV Light Agentをご紹介します。


Security Virtual Machine(SVM)

• ファイルスキャンエンジン • 定義データベース • スキャンタスクのコントロール • 冗長性と耐障害性

KSV Light Agentの保護形式

15

ライトエージェント（LA） • パファーマンス影響が非常に低い動作が軽いエージェントを実装

• 振る舞い検知 • メモリーとプロセス保護 • アプリ、デバイスとウェブコントロール • 脆弱性攻撃ブロック

1 主要なハイパーバイザーのサポート

2 すべてのVMに最適化された高度な保護

3 HIPSと脆弱性攻撃ブロック

4 VMのためのマルチレイヤーコントロール

5 VDIに最適化されたセキュリティ強化

6 耐障害性と最適化の実装

7 リソース使用量の軽量化

負荷の大きな定時スキャンを VMに代わってSVMが一括して検索処理を実行。負荷のかからないリアルタイム保護をLAが補います。

メリット：

保護の仕組みが従来製品と全く違います。


• SVMが定義DBを一括ダウンロードし、各VM定義の一元管理を実施。

• 各VM自体が直接定義DBアップデートすることを避けることで、定義DBアップデートのトラフィックの最小化を実現。

①

VM Hypervisor

VM

LA

SVM VM

LA

① KSCがインターネット上にあるKaspersky サーバーより定義DBをダウンロード

② KSCがSVMに定義DBを配布(SVMが大半の定義DBを所持) ③ SVMが各VMのLAに、一部の定義DBを配布

定義データベース更新の集約（配布方法）

16

②

③

LA

管理サーバー（KSC）


Hypervisor Hypervisor Hypervisor Hypervisor

SVM SVM SVM SVM

SVMがダウンしても、自動的に他ホストのSVMに接続 SVMが単一障害点にならず、セキュリティ保護を継続

Light Agentのファイルスキャン用仮想マシン（SVM）は自動冗長化に対応。

SVMの障害発生

KSV Light Agent製品でのSVMの冗長化テクノロジー

17


• KSV導入時に展開されるファイルアンチウイルス機能を提供する仮想アプライアンス

• 保護対象全VMのスキャンを代理で一括実施（スキャン時のVM負荷をSVMが肩代わり）

• 最新の定義データベース保持

• 共有キャッシュによるスキャン対象ファイルの重複排除

Security Virtual Machine (SVM)

18


• ファイルキャッシュとその判定結果をSVMに保持

• 一度スキャンしたオブジェクトをスキップすることで、ファイルスキャンタスクの大幅な効率化が可能（スキャンの高速化、リソース消費低減）

SVMの共有キャッシュ機能

SVMがスキャンファイルとその結果を保持することで、ファイルスキャンの重複排除を実現。

19


Kaspersky Security for Virtualization（KSV）による課題解決 VDI向けの高度なセキュリティ機能（未知の脅威対策）

20


未知の脅威対策

• パターンマッチング方式によるスキャンは早く正確な方式として、現代においても重要な保護テクノロジーです。しかし、パターンマッチングだけでは残念ながら、すべての脅威を検知し、防御することはできません。

• カスペルスキー製品は、不正プログラムや脆弱性を突く攻撃の「振舞い」を監視して検知する技術を標準搭載しています。

• また、リアルタイムで発見されているマルウェア情報は即座にクラウド上の緊急検知データベース(レピュテーション)に登録されます。カスペルスキー製品はこの緊急検知データベースに問い合わせを行い、最新の脅威にも対応します。

21


ファイル・レジストリの改ざん

動作ログ

外部ネットワークへの不正接続

ぜい弱性を狙った攻撃

①アプリケーション動作ログをリアルタイムで記録

BSS データベース

不正プログラム ④不正プログラムの動作をブロック駆除・削除を行う

⑤ファイルやレジストリの改ざんなど、不正アクションをロールバック（修復動作）

③不正プログラムと判定！

②収集したアプリ動作ログを BSSデータベースと比較

正常なシステム状態に自動修復するのが特徴！

• カスペルスキーの振る舞い検知（挙動検知）は、マルウェア特有の挙動をとらえて、不正プログラムと判定し、ブロック・隔離・駆除・削除を実行。

• また、防御するまでに変更されてしまったレジストリやシステムファイルを修正（ロールバック）し、正常なシステム状態まで修復。 ⇒ 単に検知とブロックするだけの他社製品と大きな違いがあります。

システムウォッチャー（振る舞い検知）


■ システムウォッチャーの流れ１．Kaspersky Endpoint Securityはリアルタイムでプログラムの実行を記録。（アプリケーション動作ログ）

２．システムウォッチャー機能により、振る舞い検知専用データベース（BSS）とマッチングを行い、不正な挙動と判断したタイミングで、即時プログラム動作をブロック。

３．そして、記録されたログ情報に従い、不正に変更されたファイル修正などを行い、処理をロールバックし、正常な状態に修復。

未知のマルウェア

レジストリへの不正なアクセス改竄

メモリへの不正なアクセス

他プロセスへのインジェクション

脆弱性攻撃

未知のマルウェアが操作したファイルレジストリなどの自動修復（ロールバック）機能

他社振る舞い検知製品やサンドボックスとの違い

近年のマルウェアは、仮想の実行環境（サンドボックス）回避型の仕組みを持っています。システムウォッチャーは、実環境で動作していますので、サンドボックスをすり抜けてきたマルウェアに対しても大きな効果を発揮します。カスペルスキーシステムウォッチャーの機能はますます重要度が高まってきています。

システムウォッチャー（振る舞い検知）


ドキュメントの表示

• アプリケーションの意図しない動作 • 不正コードの実行

Automatic Exploit Prevention（AEP）機能でも、アプリケーションの挙動を監視。ぜい弱性を突かれて不正コードが実行されようとした際にブロック。ファイルのシグネチャベースではマルウェアか判断がつかない場合に特に有効。

脆弱性攻撃ブロック (AEP)


アプリケーションの権限コントロール

許可

弱い制限付き

ブロック

安全なアプリ

フルアクセス

アクセス不可危険なアプリ

少し疑わしいアプリ

OS設定ファイル／レジストリ

ブラウザーデータ

例

読取りのみ

強い制限付き

疑わしいアプリ

25

不正プログラムによっては、その良し悪しを白黒判定するのが困難なケースが存在。白黒判定が困難なグレーなプログラムに関しては、完全にブロックするのではなく、他アプリへ影響を与える動作でなければ、実行可能など、細かな自動権限制御を実施。 ⇒ 他社にはないカスペルスキー特有の技術で、誤検知低減に非常に効果的。

特長 • アンチウイルスがアプリケーションの信頼性を

評価し、自動で制限付きグループに割り当てられます。例えば、そのアプリ単体で動くこと自体は問題ないが、他プロセスへコードを埋め込むことで悪用される可能性があるアプリと判断した場合などに制限付きグループに割り当てられます。

• 完全に動作をブロックするわけではないため、セキュリティレベルを維持しつつ、誤検知を低下させることを実現します。他社製品の多くはこうしたグレーアプリを白・黒いずれかで判断してしまうため、誤検知が多くなってしまう製品もあります。

アプリケーション権限コントロール（HIPS）


KSNは世界中のユーザーから収集された最新の脅威情報データベース。

カスペルスキー製品によって保護された仮想マシンは、この脅威情報データベースを

参照することで、ゼロデイ攻撃のような最新の脅威にも対応することが可能。 ■Kaspersky Security Network（KSN）の仕組み

① カスペルスキーが導入されたコンピューターは不審な挙動を見せる脅威に関する情報をリアルタイムでKSNに送信

② カスペルスキーのAutomatic Analysis Systemにて、悪意のある脅威は即座に「緊急検知DB」に追加される

③ ユーザーコンピューターはリアルタイムでKSN上の

緊急検知DBやホワイトリスト情報を都度参照し、最新の情報で端末を保護

④ KSNへ登録された脅威情報はカスペルスキーのアナリストが正確に解析・評価し、定義DBへ反映

クラウドプロテクション（レピュテーション） Kaspersky Security Network（KSN）

26


Kaspersky Security for Virtualization（KSV）による課題解決デバイスやアプリケーション制御（コントロール機能）

27


マルウェア検知機能だけではない！ VDI環境に最適なセキュリティ管理機能

• マルウェアの感染源はネットワーク経由だけではありません。 VDI環境においても、USBメモリや外付けハードディスクなど、物理外部デバイスのアクセスコントロール機能が重要です。

• また特定のアプリケーション実行を禁止したり、逆に許可されたアプリケーションのみを実行させるといったアプリケーション起動コントロール機能を組み合わせることで、より一層のセキュリティ強化が可能です。

28


デバイスコントロール

USBメモリや外付けHDDなど、外部デバイスの接続を制御。許可デバイス、シリアルの登録や、Windowsログインユーザー単位の制御など、細かいコントロールが可能。

29

USBなど

プリンター

ハードディスク DVD/CDドライブ

許可デバイス禁止デバイス

ログインユーザー毎のポリシー設定

管理者としてログイン

外部ドライブの読み書きを許可

一般ユーザーとしてログイン

外部ドライブの書き込みを禁止

特長 • 外部デバイスの接続を制御 • 書き込み/読み込みの制御も可能 • ログインユーザー毎の制御が可能例管理者：すべての外付けデバイスの利用が可能一般ユーザー：USBメモリの利用が不可能

シンクライアントのデバイス制御にご利用いただけます。


許可されたアプリ禁止されたアプリ

[ホワイトリスト方式] 起動を許可するアプリケーションのみを登録デフォルトではOSとOS付随のアプリケーションのみ起動が許可

[ブラックリスト方式] 起動を禁止するアプリケーションを登録

ログインユーザー毎の制御が可能例管理者：すべてのアプリケーションの

起動が可能

一般：制限されたアプリケーション

アプリケーション起動コントロール

起動可否をアプリケーションごとに制御できる機能。ブラックリスト形式・ホワイトリスト形式の両方に対応。


ウェブコントロール

ウェブアクセスをコンテンツ毎に制御 (コンテンツフィルタ機能)

スケジュール設定、ホワイトリストの登録、ログインユーザー毎の制御も可能

31

特長 • ウェブコンテンツによるフィルタリングが可能 • コンテンツのカテゴリは

-アダルトサイト -ギャンブルサイト -SNS -チャット、フォーラム(掲示板) -ウェブメール -クレジットカード決済

など・・・ • ホワイトリストの登録も可能。 • ポリシーの適用時間帯を設定することが可能。

(例：業務時間帯→適用、時間外→非適用) • ログインユーザー毎のポリシー設定が可能。

アダルトサイト SNS

ギャンブルゲーム

フィルタリングルール

Point! ・ルールのスケジュール設定が可能です。例：業務時間帯→ルール適用業務時間外→ルール非適用


ウェブコントロール - バナー広告ブロック - 「バナーブロック」をオンにすることにより、バナー広告が表示されなくなる。

32


ハイパーバイザー

VDIアプリケーション

サーバー仮想化

デスクトップ仮想化

KSV Light Agentの対応仮想プラットフォーム

MS Hyper-V対応

Linux ゲストOS対応


KSVと競合他社製品の機能比較

34


KSV Light Agentと競合他社製品Agent/Combine比較機能 KSV

Light Agent Ｔ社

Agent/Combine

ファイルアンチウイルス ○ ○

メールアンチウイルス ○ ×

ウェブアンチウイルス ○ △（URL）

メッセンジャーアンチウイルス ○ ×

ファイアウォール ○ ×

クラウドレピュテーション ○ ○

ネットワーク攻撃防御 ○ △追加オプション（Virtual Patch）

振る舞い検知（HIPS以外） ○

○ （挙動監視、

ロールバック機能なし）

脆弱性攻撃ブロック ○ ×

アプリケーション権限コントロール ○ ×

アプリケーション起動コントロール ○ ×

デバイスコントロール ○ ×

ウェブコントロール ○ ×

オフラインVMスキャン × ×

Linux対応 ○ ○

• KSV Light Agentは、Kaspersky Endpoint Security製品をベースに設計されており、競合製品と比較し、セキュリティ機能が豊富。

• 実環境で動作する振る舞い検知機能を標準搭載しており、マルウェアによる不正なファイルやレジストリ変更を自動でロールバックする高度な機能も実装。

※ Combine方式は、他社製品の保護方式で、 Light Agent類似のAgentless型とAgent型の混合方式です。


機能 KSV Light Agent

KSV Agentless

Ｔ社 Agent/Combine

Ｔ社 Agentless Ｍ社

ファイルアンチウイルス ○ ○ ○ ○ ○

メールアンチウイルス ○ × × × ×

ウェブアンチウイルス ○ △（URL） △（URL） △（URL） ×

メッセンジャーアンチウイルス ○ × × × ×

ファイアウォール ○ × × × ×

クラウドレピュテーション ○ ○ ○ ○ ×

ネットワーク攻撃防御 ○ ○ △追加オプション（Virtual Patch）

△追加オプション（Virtual Patch） ×

振る舞い検知（HIPS以外） ○ ×

○ （挙動監視、

ロールバック機能なし）

× ×

脆弱性攻撃ブロック ○ × × × ×

アプリケーション権限コントロール ○ × × × ×

アプリケーション起動コントロール ○ × × × ×

デバイスコントロール ○ × × × ×

ウェブコントロール ○ × × × ×

オフラインVMスキャン × ○ × × ○

Linux対応 ○ ○ ○ × ○

※ Windows クライアントOS保護機能で比較した結果です。（カスペルスキー調べ）

KSVと競合他社機能比較


付録：競合他社製品価格比較

37


競合他社製品価格比較

他社製品のフル機能ライセンスと比較した製品価格（物理サーバー1台あたりのモデルケース）

38

単価¥630,000 x 2（CPU) =

¥1,260,000

Ｔ社製品 KSV LA

Kaspersky Security for Virtualization単価¥160,000 x 2（CPU) =

¥320,000

サーバー機種 2Uの標準的なラックマウントサーバー Intel® Xeon® Processor E5-2650 v4 (30M Cache, 2.20 GHz)

搭載物理CPU数 2個（1CPUあたりの物理コア数12）

他社製品からの乗り換えはここからさらに半額でご提供


他社製品の価格表 - 非常に複雑なライセンス体系 - • お客様要件に応じて、必要オプションを適切に選択することが必要。

• 製品に精通していないと、どのオプションにどの機能が含まれているかの判断が困難。

39


KSV製品の価格表 - シンプルなライセンス体系 - • ライセンスにフル機能が含まれるため、別途オプション考慮は不要。 • また、AgentlessとLight Agentライセンスは共通のため、購入後の選択も自由。

40

Copyright © 2017 Kaspersky Lab. All rights reserved. ※ 12コアまでを1物理CPUと算出します。詳しくはお問い合わせください。

• 物理CPU数で計算する。図のように2CPU搭載の物理サーバーであれば、ライセンス数は、「２」となる。(※) 物理サーバー上で稼働する仮想マシン（VM）は何台使っていただいてもライセンス上は問題なし。

物理CPU数で計算

CPU数が2なので、必要ライセンス数は「 2」となる。 VM数に依存しない点がメリット。ハードウェア（物理サーバー）追加ごとにライセンスが必要なイメージなので管理しやすい。

① ②

物理CPU単位でのライセンス体系 VM数は関係なし

41

参考：ライセンス数の計算


付録：プレミアサポートのご案内


Maintenance Service Agreement（MSA）メニュー

プレミアサポート（有償）

• 通常サポートはライセンス費用に含まれます。 • プレミアサポート（MSA）は、24時間365日サポートなど、上位サポートニーズに対応します。

43

kaspersky security for virtualization ksv 4.0 light agent ご紹介 ·...

Documents