TOP > FAQ> アプリケーションについて
インストール時にインターネット回線を必要とするのは、端末固有の暗号化されたホワイトリストを端末内に格納するためです。また端末からPC Maticの各種サービスを無効化できない端末固有のロックをサーバより実施します。オフライン導入では、端末固有のキーで暗号化することができず、セキュリティ製品を回避するハッキングが理論上可能であるため、このような仕様としています。
PC Maticは、バイナリー形式だけでなく、スクリプト形式もホワイト運用しているため、ファイルレス・ランサムウェアによる影響を一切受けません。この点は他社ホワイトリスト製品とは異なります。
グローバル・ホワイトリストかローカル・ホワイトリストに登録されているファイルを日常的に利用している際は、端末内にホワイトリストがキャッシュされるため、交通機関での移動中などオフラインの際も、日常的にご利用頂いているアプリケーションを通常通りご利用頂けます。
ホワイトリストは端末固有の暗号化がなされており、法人版は端末に接触可能な状態でもホワイトリストを他端末から複写するなどして起動許可を与えることはできません。これは、従来のホワイトリスト運用における脆弱な点として指摘されており、ゼロトラトセキュリティモデル準拠製品であるPC Maticでは対処されています。
オフライン運用中にオンラインを促すポップアップ通知などは行いません。また端末を再起動しても問題なく保護は継続されます。
個人版は、グローバル・ホワイトリストとローカル・ホワイトリストを利用した起動許可が可能です。
法人版は、4つのアプリケーション・ホワイトリスティング方式で、厳格なホワイト運用が可能です。サイバー攻撃に対し攻撃面を極小化させることができます。
【工業用途】
Windows 10 IoT等を利用した産業機器への組込用として、PC Matic PROの組込用ライセンスを別途ご用意しています。生産時に調達部材として支払うことで、産業機器の寿命までご利用いただけます。
製品への組込の際は製品の生産が終わり、最終的な製品稼働試験時にインターネット回線を用意し、PC Maticを組み込んでいただくことをお勧めしています。
業務アプリケーションをデジタル署名していただくことで、改定した業務アプリケーションをオフラインで差し替えても、ホワイトリストを更新することなくご利用頂けます。デジタル署名がない場合は、ファイルパスにて包括的なホワイトリストを生産時に指定可能です。
EUサイバーレジリエンス法を始め、デジタル機器への組込用途であっても脆弱性更新が義務化されてきています。製品のソフトウェアアップデートへ遠隔対応できる運用管理機能や、様々なホワイトリスト指定が可能なゼロトラスト・セキュリティモデルのPC Maticを検討ください。
PC Matic PRO Embedded 紹介ページ
無接触パソコンは、ほぼない
保守作業のため保守PCからシリアルやクロスケーブルによる接続や、工場内閉域のLANであっても、何らかの接触がある端末への脅威は存在しています。スタクスネットなどオフライン環境でのサイバー攻撃に関する脅威情報もご参照ください。いまは完全なるエアギャップは存在しません。
OSやアプリケーションの脆弱性
最近は、一般公開された脆弱性を即座に悪用し、端末へのサイバー攻撃が試みられます。セキュリティソフトを回避する脆弱性も発生しています。これらへの対処はOSやセキュリティソフトへの迅速な更新適用が必須です。
USBメモリがキーボード?
ファームウェアが改変されたUSBメモリをオフライン端末に接続すると、標準キーボードとして端末に識別される攻撃手法があります。そして過去の脆弱性を悪用するスクリプトをキー入力によって実施し、ランサムウェアなどを実施します。必要なデータや分析結果などをUSBメモリに戻し、そのUSBメモリがオンライン端末に接続された際に、外部送信します。
アプリケーション層制御が可能な次世代ファイアーウォール装置の実装を
閉域網の考えを保持しながら、OSやセキュリティソフトが必要とする「特定IPアドレス+利用プロトコル」のみ通信可能とし、閉域網内も横への接続を限定し、可能な限りマイクロセグメンテーションを推進します。
ゼロトラストセキュリティモデルへの移行を
アメリカおよび同盟国政府主導の新たなセキュリティモデルである、ゼロトラト・ネットワークアクセスと、ゼロトラト・エンドポイントからなる、ゼロトラストセキュリティモデル(NIST SP 800シリーズ)の策定が終盤となり、ほぼ仕様が確定致しました。「閉域網を信用しない」「マイクロセグメンテーション」「ホワイトリスト運用」「脆弱性対策」「利用者毎のきめ細かい情報アクセス制限」「多要素認証」が主要素となっています。