従来のEDRをすり抜ける正規ツール悪用攻撃
見出し
現代のサイバー攻撃では、マルウェアを使用せず、OSに標準搭載されているPowerShell、WMI、PsExecなどの正規ツールを悪用するLotL型攻撃が急増しています。これらの攻撃は、正規ツールや正規アカウントを利用するため、従来のシグネチャ型対策やEDR(Endpoint Detection and Response)では検知が困難なケースがあるという課題がありました。
また、企業運用においてもこれらの管理ツールは不可欠であるため、単純なブロックが難しいという実情もあります。Heimdalアプリケーションコントロールは、こうした状況に対し、「疑わしいものを検知する」のではなく、「許可されたものだけ実行する」というゼロトラストの原則に基づいた防御アプローチを提供します。
Heimdalアプリケーションコントロールの主な特徴
Heimdalアプリケーションコントロールは、Heimdal Agent上で動作するProcessLockサービスにより、エンドポイントで起動されるプロセスをリアルタイムで監視し、ポリシーに基づいた実行制御を行います。
実行制御と柔軟なルール設定
本製品は、プロセスの実行を許可(Allow)、遮断(Block)、または管理者権限での実行(Auto Elevation)を制御します。ソフトウェア名、ファイルパス、パブリッシャー、MD5、電子署名といった複数の条件を組み合わせて実行制御ルールを設定できるため、未承認ツールの禁止やPowerShellの実行制御、業務アプリケーションのみの許可といったゼロトラスト型運用が実現可能です。
PEDM連携による最小権限運用
Heimdal特権昇格・委任管理(PEDM)との連携により、必要なアプリケーションのみの権限昇格、承認ベースでの実行、実行ログ監査などが可能となります。これにより、ローカル管理者権限を排除しつつ、業務継続性を維持する最小権限運用をサポートします。
正規ツール悪用対策と統合運用
企業運用で利用されるPowerShellやWMIなどの管理ツールに対し、実行制御ベースで対策を講じ、”正常に見える攻撃”に対する防御レイヤーを提供します。
また、HeimdalはDNS防御、パッチ管理、NGAV(次世代アンチウイルス)、ランサムウェア対策、特権管理などを統合した多層防御プラットフォームであり、アプリケーションコントロールも単一エージェントで運用可能です。管理ポリシーやログはクラウド上で一元管理され、導入・運用負荷の最小化に貢献します。
システム要件と価格
Heimdalアプリケーションコントロールはクラウドベースのサブスクリプション形式で提供され、新たな機材は不要です。契約期間は1年単位となっています。
システム要件
-
Windows 11およびそれ以降
-
Windows Server 2016およびそれ以降
価格例(定価)
-
クライアント版 Heimdal アプリケーションコントロール:サブスクリプション1年 104,700円/25台
-
サーバー版 Heimdal サーバーアプリケーションコントロール:サブスクリプション1年 25,100円/5台
詳細については、ジュピターテクノロジーまで問い合わせるよう呼びかけています。
ジュピターテクノロジーについて
ジュピターテクノロジー株式会社は2001年の創業以来、海外のログ管理、ネットワーク管理、セキュリティ製品の輸入・販売、およびシステム構築に特化した事業を展開しています。製品のローカライズやマニュアルの日本語化も数多く手がけ、優れた海外製品を国内の顧客に提供している企業です。
-
Heimdal アプリケーションコントロールの詳細: https://www.jtc-i.co.jp/product/heimdal/ac.html
-
ジュピターテクノロジー Webサイト: https://www.jtc-i.co.jp/
情報源
ジュピターテクノロジー、ゼロトラスト型エンドポイント防御「Heimdal アプリケーションコントロール」を正式リリース