境界防御だけでは防げない、はもはや常識。
当院も「侵入前提」の対策としてEDR導入を検討し、最終的にVMware Carbon Black Cloud
Workloadを選びました。
決め手はVDI環境、特にInstant Cloneとの親和性です。マルウェア感染を100%防げない以上、感染後の迅速な検知と封じ込め、そして影響範囲の特定が重要。Carbon Blackは脅威の振る舞いをスコアリングし可視化してくれるため、アラートの優先順位付けが容易になりました。以前は膨大なログからインシデントの兆候を探すのに苦労していましたが、今は管理コンソールで一目瞭然。
怪しい挙動があれば、その仮想マシンをネットワークから隔離したり、詳細調査を開始したりといったアクションを迅速に取れます。また、Instant Cloneのリフレッシュ機能と組み合わせることで、万が一侵入されてもログアウトで初期化されるため、ランサムウェア等の潜伏・発症リスクを大幅に低減できる点も運用上大きなメリットです。SaaS型である点も、管理サーバー構築の手間が省け、運用負荷軽減に繋がっています。
