他社製ホワイトリスト型セキュリティ製品を導入し、製品を出荷する製造業。顧客企業はオフライン運用であるため感染はしないと考えていた。保守の際に接続したパソコンから、Windows内部コマンドとスクリプトのみで暗号化する「ファイルレスランサムウェア」に感染する事象が顧客企業に発生した。
他社製ホワイトリスト型セキュリティ製品は、善良と判断されているWindows内部コマンドとスクリプトの活動は許可しているため、このような暗号化ウイルスに対処できないことは聞いておらず、このような事態は想定していなかった。
このため、代替製品の選定が急務であった。
PC Matic PROは、ホワイトリスト型セキュリティ製品に分類されるが、Application Whitelisting(NIST SP 800-167)という新しいアメリカ政府基準の仕組みであり、バイナリー形式のみならず、スクリプトに関しても「default deny」ポリシーであるため、ファイルレスランサムウェアによる影響がないと聞きき導入検証を行った。
PC Matic PROが優れている点は、製品出荷後にファイルレスランサムウェアのような新たな脅威が開発された際にも、OSがもつ全ての活動をバイナリー形式およびスクリプト形式で標準ロックされているため、非常に強固なマルウェア耐性を持つ点にあると検証を通じて感じた。
大勢のエンジニア集団である私たちも、「PC Matic PROを突破する仕組み」を社内会議で想定できる者はいなかった。
またこの方式であるが故に、マイクロソフトのサポートが切れたOS (Windows Embedded Standard 7)に導入できたことも決め手のひとつになった。現在は、Windows 10 IoT にも導入しているが、製品ライフサイクルが長い組込型用途においては、OSのサポートが切れても製品自体を私たちがサポートする必要があり、古いOSにも対応してくれるのは頼もしい点となった。
製品製造時に調達部材としてPC Matic PRO組込ライセンスを調達し、後からライセンスの追加費用が発生しないことも決め手となった。
従来の他社製品では、組込プログラムを差し替える際に、ホワイトリストも差し替える必要があった。
しかし、PC Matic PROは、デジタル署名やファイルパス指定を製品出荷時に指定しておく事により、製品出荷後の組込プログラムの差し替えのみで対処でき、別途ホワイトリストを作成・更新しなくても運用できる点が、社内で評価された。
PC Matic PROは、sysprepのマスターイメージのみで端末イメージを展開できない点が課題となった。イントール時に端末固有IDを割り振る必要があるからだそうだ。これは、PC Matic PRO以外のマスターイメージを作成し、SIDを除外した状態で展開。WiFi接続をしPC Matic PROのみ手作業で導入作業する事とした。sysprepに完全対処してくれると嬉しいのだが、SIDをサーバに登録した後、PC Matic PROのホワイトリスト暗号化などに利用されているらしいので現状は困難だそうだ。
緊急時にはオンライン接続し、本社から管理者用リモートデスクトップ接続やEDRなどを活用し、問題点の洗い出しが可能な点も、迅速な顧客対応に役立っている。
将来的には顧客により、オンライン環境への移行を促し、自社の統合運用オペレーションシステムとPC Matic PROのAPI統合を行い、Security Operation Centerも兼ねた統合運用支援システムを社内構築する計画だ。現在、当社のDX戦略の柱となっている。
法人版 TOP