非公開ユーザー
病院|社内情報システム(開発・運用管理)|300-1000人未満|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
ランサムウェア対策としては、EDR/XDR/MDRがありますが、『AppGuard』が感染しても発症させないことに特化しているのに対して、EDR/XDR/MDRは感染した後の挙動や監視・ログ分析など対処に重点を置いています。関係性としては補完しあう関係であり、EPP+AppGuard+(EDR/XDR/MDR)による多層防御として捉え併用するものと思います。
・パターンファイルのような概念がない
・セキュリティポリシーを明確にすることで職員の意識も変わった
・軽量のアプリなので負荷がかからない
・初期導入時を乗り越えれば、運用は簡単(都度ポリシーの見直しのみ)
・下手にアンチウィルスの検知機能がないのがむしろ良い
改善してほしいポイント
・2つのモードがあります。ディスカバリーモードとブロックモード。
ブロックモードが本番環境であり、ディスカバリーモードがテスト環境。
端末をどちらかに移行するかで、自由に端末環境を移動できるのは管理しやすいが、
環境の移動が瞬時には切り替わらない。数分の時間がかかる。
・適用できるポリシーには上限がある。
ディスカバリーモードとブロックモードともに、ポリシーの上限は255か256個まで。
・致し方ないが、最初はディスカバリーモード(テスト環境)に端末を配置して、
アプリの挙動などを情報収集させる。
その後、各端末の挙動をポリシーに置き換えて本番環境にポリシー適用させる。
このポリシーの適用は、サポートに依頼する必要がある(なかなか複雑なため自分で設定する自信がない)。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
昨今のマルウェアは、シグネチャ形式のウィルス対策ソフトパターンファイルをすり抜けます。NGAVでも完ぺきではありません。またEDRなどを導入して、感染後の痕跡を追ったとしても、発症後数分で暗号化を完了させてしまう、ランサムウェアには有効であるとは言えません。
ホワイトリスト的に、許可したアプリケーションとして制限することで、院内のセキュリティ意識の向上に貢献できました。
検討者へお勧めするポイント
最初は、概念が理解しづらいと思います。
・ウィルスを検知する機能はありません。
・EDR/XDR/MDRとも異なります。
・OSプロテクト型という概念を先に理解する必要があります。
・適切なポリシーを適用してさえいれば、あらゆるウィルスから対象のクライアント端末を防御してくれます。
