スワットカメラ -blog-

スワットカメラにようこそ!!
スワットカメラは、弊社の営業や技術スタッフが、販売店の皆さまやお客様とお仕事させていただいたときの"こぼれ話"を中心に、弊社がある京都での話題などをブログ形式で掲載していきます。
どうぞ、末長くご愛読いただけますようお願いします。

FFR yarai は、遅いし、重いのか?

2016年4月18日

標的型攻撃に関する話題で、弊社は、FFR yaraiをご紹介しています。

 

10名規模の導入検討案件から、3,000名、4,000名と、いう規模の検討案件もいただいております。

 

また、パートナー各社様からも、FFR yaraiを提案していただくためにあれこれとご質問を良くいただいております。

 

そしてもちろん、弊社自身も導入を検討されているお客様先へ良く伺います。

 

そんな中で、良く質問されるのが

  • FFR yarai を導入したら パソコンの動きが悪くなるの?
  • FFR yarai を導入したら ExcelとかPPTの動きが悪くなるの?
  • FFR yarai を導入したら 業務が出来なくなるの?

などです。

 

これ、全部 デマ です。
そう 嘘 です。

 

現実に、検証導入や、動作テストの名目で、お客様の実際の端末にインストールしていただき、その後、結果を伺ってみますと…

  • 導入してることを忘れる位に、通常業務に影響は無かった。
  • 試しに、試験的なマルウエアを入れた時だけ、アラート表示などが画面に出たが、それ以外は、導入していることを忘れるくらいだった。

と、感想をいただいております。

 

もちろん、弊社の業務で使用しているWindows端末(7,8.1,10)にも導入し稼働していますが、FFR yarai導入前後に差があるようには感じません。

 

非常に残念なことではありますが、弊社のお客様先で実際に聞いた話として他社の提案者さんが、ネガティブな話を説明されていると聞きました。

 

自分の提案製品を採用してもらうために、FFR yaraiに対しNGという印象を与えたい気持ちは判りますが、堂々と検知実績や、製品の仕組みの提案でお客様にご判断をいただくようにしましょうよ。

 

アンチウイルスソフト等、FFR yaraiのように、保護したい端末に適用して稼働させるソフトウエアの導入に対しては、導入されるお客様も導入後に業務に影響が出ることへの心配を持たれます。

 

当然です。

 

良く言われる、”導入したら、端末のCPUの負荷は○%程度(以下)ですので影響は無いと思います”ですが、もしこれをFFR yaraiで言うとしたら1%以下とご紹介しています。

 

端末(エンドポイント)の中で、CPU負荷が高くなる理由は、HDD(ハードディスク)へのアクセス処理時間(I/O時間) です。
FFR yaraiの場合、シグネチャを持たないため、シグネチャ比較などを行う意味での HDD(ハードディスク)への繰り返しのアクセスがありません。

 

もちろん、”疑わしいファイル”と思った場合は、FFR yaraiが持つエンジンで徹底的に調べる動作が実行されますので、CPU負荷は上がると思います。
しかし、”疑わしい”を調べる間の、僅かな負荷の上昇が…

  • FFR yarai は、動作が重くて処理が遅くなる。

という製品自体にマイナスな印象を与える理由になるとは思えません。

 

むしろ、軽さだけを差別点にして、”疑わしいファイル”を、疑わしいと判断せず「問題無し」と判断する方が、首を傾げます。

その点では、

  • FFR yarai は、誤検知が多い! (たぶん、過検知の意味だと…)

というネガティブ説明も、それに近いと思います。

 

“疑わしいファイル・疑わしい動作プロセス”を、「疑いあり!」とアラートで知らせることは、万が一「問題無し」とすり抜けた後のインシデント対応が発生したこと、と比較して考えるとリスク管理の観点では、どちらが望ましい動きになるでしょうか。

 

過検知(か・けんち)は、あって当然だと思います。
そして、過検知位の方が、重大なセキュリティ事故の事後対応を考えると問題は小さいと思います。

 

誤検知は、意味合いが異なります。
“問題の無いプロセス”として、FFR yaraiに定義したにも関わらず、同じことを検知し続けるような動作は、誤検知かもしれませんが。

  • 実際には、たいした検知も出来ないし、役には立たないですよ。

…と言ってるアナタ。

 

アナタのご提案されている製品は、ちゃんと役に立つのですか?
話題の、マルウエアやランサムウエアは、その発見された時期においてちゃんと検知して動作を抑止できたのでしょうか?
開発元さんは、それを公開公式情報として、開示されていますか?

 

いずれにしても、弊社ではお客様に説明して、またお願いをしています。

 

もし他社の方が…
FFR yaraiを入れたら、端末が遅くなり業務に支障が出る」と
説明された場合は、その方に…
FFR yaraiを自分で使ったことがあるの?」と、
聞いてみてください。と。

 

それで、NO! と返事をされたら「デマやウソを言ってはダメですよ」と諭してあげてください。と。

 

それでも納得されない場合は、弊社にご連絡をいただき、検証ライセンス版をお貸しするようにします…と。

 

FFR yaraiは、スタンドアロンの状態でも検証できます。
管理サーバや、アクティブディレクトリ(AD)等の認証サーバも不要です。
1台でも、動作します。

 

ちゃんと使ってみて、検知される実力も試し(その方法すら判らないなら無理ですが…)、それから、正しい話をお客様にご説明ください。

 

良く受ける質問であり、また、他社の方が繰り返し説明されている話題でしたが、それを概要としてまとめると、

 

FFR yaraiは、過検知があります。しかし、検知する側に振った許容範囲内と考えています。また、導入した端末の動作が遅くなり、従来の業務を遅延するような負荷は、全くありません。

 

FFR yarai は、遅いし、重いのか?は、ウソとデタラメです。
遅くないし、重くないです。

 

※お客様の端末環境によっては、FFR yaraiの導入が適さない場合もあります。
導入前の時点で、必ず試験導入にて動作確認をお願いしています。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.102)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2016、スワットブレインズ 掲載記事の無断転載を禁じます。

標的型攻撃対策のあれこれ

2016年4月4日

情報セキュリティ対策の話題として、良く耳にする言葉。
「標的型攻撃の対策」ですね。

 

ただ、弊社や弊社スタッフがお客様やお取引先担当者様と会話している中で感じているのは、相手の方によって観点が違う。です。

 

同じ”標的型攻撃の対策しないと!”と言う言葉があっても

 

“どんな事が必要だと思ってるのですか?”と質問したら、返答してもらえる内容は、色んな内容があります。

  • 外からの不正侵入があるでしょ。それを止めないとね。
  • 添付ファイルの開封でマルウエア感染するでしょ。教育で改善しないと。
  • WEBサイトを閲覧したら、それだけで感染するんでしょ?
  • どんなマルウエアが侵入したのか、その検体を保存しないとダメらしいね。
  • 上流の取引先から、「標的型攻撃の対策実施したか?」とヒヤリングがある。

などなど、色んな内容が出てくる。

 

でも整理すると、

  • 変なメールを開かない。変なWEBサイトはアクセスしない。それを意識してもらうために、演習教育を実施する
  • ネットワークの入口対策を行う
  • ネットワークの出口対策を行う
  • エンドポイントでゼロディ攻撃を検知し遮断する
  • ネットワークを流れた情報を証跡記録する
  • OSやアプリのアップデートを管理し忘れないようにする
  • データのバックアップについて強化対策する
  • 受信メールの無害化を行う
  • データファイルの無害化処理を行う

などでしょうか?

 

たくさん出来ることがありますね。

 

弊社では、これらの対応の中のいくつかについて、ご提案を行っております。

 

ご検討の中の気になる点が合致するようでしたら、是非お問合せください。

 

  1. OnePointWall

    JSOCで運用されている「C&Cサーバ情報」と連携し、内部端末がC&Cサーバへの通信を行った場合、それを検知して通信を遮断します。

  2. FFR yarai(専用管理サーバ付)

    標的型攻撃を受けた後、脆弱性を狙った動きや、ゼロディ狙いの動きを検知し、その動作を阻止します。WindowsXP や、Windows Server2003 もサポートしています。

  3. Active! zone

    受信した電子メールを無害化する処理を行います。添付ファイル処理、HTMLメール形式の処理など、受信メールの無害化対策に対応します。

  4. PacketBlackHole/Counter SSL Proxy

    ネットワークを流れた通信の全てを記録します。HTTP/HTTPS通信であっても、その内容を再現できるデータとして記録し後から、検索・証拠データ出力を可能とします。

  5. Secure Back

    Windows端末、Windows Serverで運用するデータファイルを、リアルタイムにバックアップすることが出来ます。差分では無く、実態を効率的にバックアップするので復旧時が簡単です。端末のメーラによっては、メールデータのバックアップも可能です。

  6. VOTIRO SDS

    ファイルの中に埋め込まれている不正コードを除去(サニタイズ)してクリーンなファイルとして運用することが出来ます。ファイルサーバと連携する動作のため、運用は簡単に実現できます。

 

色んな方法がありますが、お客様の導入方針に沿った形でのご提案についてご相談いただけましたら幸いです。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.101)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2016、スワットブレインズ 掲載記事の無断転載を禁じます。