• 身近になったサイバー攻撃と急増するセキュリティ対策の負担
• そもそも ”検疫ソリューション” ってどんなソリューション？
• 「Ivanti」と「Cybereason」はどのような製品か
• 「CybereasonとIvantiを用いた検疫ソリューション」の挙動について
• この連携ツールのメリットは？

身近になったサイバー攻撃と急増するセキュリティ対策の負担

最近、テレビやSNSのニュースを眺めているとセキュリティ関連のニュースを

目にする機会が増えました。実際に昨年は日本国内でも重大なセキュリティ

インシデントが何件も発生しており、警察庁のレポートによると令和6年に

おけるランサムウェアの被害報告件数は、222件と引き続き高水準で

推移しているとのことです。

出典：警察庁,"令和6年におけるサイバー空間をめぐる脅威の情勢等について"

 

出版社や医療機関等が被害を受けたニュースも記憶に新しいところです。

そんな背景を受けて、各企業のIT担当者もセキュリティ対策に日夜奔走

されているのではないでしょうか？

 

今回の記事ではそんな皆様のセキュリティ対策の負担を減らせないかと

当社で検証した「CybereasonとIvantiを用いた検疫ソリューション」

実現への取り組みについて紹介をさせていただきます。

そもそも ”検疫ソリューション” ってどんなソリューション？

一般的に検疫ソリューションとは社内ネットワークに接続しようとしている

端末を検査用ネットワークに誘導し、様々な観点でセキュリティリスクが

ないか検査を行い、安全性を確認できた場合のみ社内ネットワークへの

接続を許可します。

 

何らかの問題点があると判断された端末の場合は、問題が解消されるまで

社内ネットワークへの接続ができないように隔離用ネットワークへと

接続先を切り替える検疫機能を持つソリューションのことを指します。

 

 

この検疫ソリューションを導入することで以下に代表される様々な

セキュリティ対策を実現させることが可能となります。

--------------------------------------------------------------------

・外部持ち込み端末や不正アクセスの検知・ブロック

・マルウェア感染済み端末からの拡散防止

・社内ネットワークを通じた情報漏洩の防止

--------------------------------------------------------------------

しかし、セキュリティ対策として魅力的な一方で、　 

　「検疫ソリューション導入には高額な費用がかかる」

　「検疫対象の確認や検疫作業に工数やスキルを要する 」

などの検疫ソリューション導入のハードルが高いことも事実です。 

 

そこで我々も企業のセキュリティ強化をご支援すべく、

当社で取り扱いのある製品を組み合わせることにより、

お手軽な検疫ソリューションを実現できないかと試してみました。

 

「Ivanti」と「Cybereason」はどのような製品か

 

まず初めに今回、検疫ソリューションに用いた「Ivanti」と「Cybereason」

という2つの製品について簡単にご紹介いたします。

 

「Ivanti」は企業のIT資産を一元的に管理することができるソリューション

であり、主にインベントリ収集、脆弱性の検知、パッチ配信などの機能を

用いることで、IT資産に対するセキュリティを向上させることに長けた製品です。

 

一方、「Cybereason」はクラウドでサービスを提供するEDR製品であり、

保有しているPCやサーバなどエンドポイント全体の状態をリアルタイムで

遠隔から監視・分析することで、 攻撃や脆弱性を検知した際に迅速に対応

することが可能です。 

 

そこで、今回当社では取り扱いのあるこの2つの製品の特長に着目して、

「Ivanti」で管理端末から脆弱性のある端末を検知した際に

「Cybereason」の端末隔離機能を連動させる検疫ソリューションを

作れないかと考えました。

「CybereasonとIvantiを用いた検疫ソリューション」の挙動について

それではこの検疫ソリューションがどのようなものなのか、実行される

各プロセスの流れを追いながら、順番に見ていきたいと思います。 

 

この検疫ソリューションは「Ivanti」の標準機能であるレポート出力機能を

用いて、定期的に実施される管理端末のインベントリ収集の結果から必要な

パッチが適用されていない端末（=脆弱性）を抽出し、パッチ未適用端末の

一覧をCSV形式でファイル出力します。

 

この時出力されるCSVファイルには、「ホスト名」、「IPアドレス」といった

端末識別情報が記載されるように事前に設定をしておきます。

以下は抽出したパッチ未適用端末のインベントリ情報から連携に必要な

項目を出力したCSVファイルになります。

 

 

事前にIvantiサーバから各管理端末上に配信されるツールによって、

各管理端末上ではスクリプトが実行され、定期的に「Ivanti」の機能を用いた

セルフセキュリティスキャンを実施します。

 

その後、ツールはセキュリティスキャンの実行によって出力されるログを

参照し、管理端末のパッチ適用状況を確認します。

確認の結果、管理端末に必要なパッチが適用されていない場合、

ツールは同端末上にパッチ適用を促すポップアップ通知を表示させます。

 

以下の画像がポップアップ通知です。パッチの未適用状態が続く場合には、

社内ネットワークから隔離される旨も事前に警告しています。

 

 

 

検疫ソリューションはプロセス①で出力されたCSVファイル（パッチ未適用

端末情報）を読み込んだ後、「Cybereason」のAPIによって、CSVファイル

記載の対象パッチ未適用端末に対してネットワーク隔離を実行します。

 

パッチ未適用端末のネットワーク隔離が実行されると、以下のような

ポップアップ通知がパッチ未適用端末上で表示されるようになります。

 

 

ただし、隔離端末はネットワークが隔離された後もIvantiサーバへの

アクセスは可能となっており、隔離端末の利用者は適宜パッチ適用を

行うことができます。

 

 

この検疫ソリューションは定期的に「Cybereason」のAPIを使って、

ステータス情報から隔離端末一覧を抽出します。確認した結果として、

隔離状態が解除されていない端末がある場合には、現在も隔離中である端末を

通知するメールをヘルプデスク宛てに送信します。 

 

以下は実際に届く通知メールになります。

 

 

利用者は隔離端末へのパッチ適用対応を完了させた後にヘルプデスク等の

システム管理者へ隔離解除を依頼することでシステム管理者確認後、

端末を社内ネットワークに接続することができるようになります。 

 

また、隔離解除が実行された端末では隔離実行時と同様に以下のような

ポップアップ通知が表示されるようになります。

 

 

この連携ツールのメリットは？

 

今回開発した「CybereasonとIvantiを用いた検疫ソリューション」の

メリットはどんなところにあるのでしょうか。

 

他の検疫ソリューションと異なる点としては上図のようにパッチ未適用

端末の「検知」から、メールでの「通知」までのフローを自動で行う為、 

システム管理者は受信メールの隔離端末一覧に基づいて、 隔離端末の

利用者に向けた個別対応のみに注力することができる点が挙げられます。 

 

仮に「Ivanti」や「Cybereason」のどちらか一方でも既に導入済みの

企業であれば、 安価なコストでの構築を実現できる可能性がある点も

この連携ツールの強みと言えます。 

 

このように当社では、皆様のセキュリティ対策をご支援するために既存の

製品を組み合わせることで、セキュリティソリューションを実現させよう

とする取り組みを日々行っております。対策をご検討の際は是非お気軽に

ご相談ください。

 

それでは今回の記事はここまでとなります。次回の更新もお楽しみに！