弊社では2018年に弊社プラットフォームにデバイスコントロールを導入しました。管理者やセキュリティチームはこれを用いて、ネットワーク上のUSBやその他の周辺機器の使用を管理できるようになりました。弊社では本日この機能の最新アップデートを発表しました。これにより、USB、Bluetooth、およびBluetooth LowEnergyデバイスをきめ細かく管理できるようになります。この最新のデバイスコントロール機能は、外部デバイスを使用するエンドユーザーの生産性を損なうことなく、攻撃対象を最小限に抑えます。
USBやその他の周辺機器のセキュリティリスク
USBやBluetoothを使って接続する周辺機器はいたるところに存在します。ラップトップからワークステーション、さらにはIoTスマートデバイスまで、仕事で使うデバイスには欠かせない機能です。企業内のエンドポイントに接続された周辺機器は攻撃者の格好の標的となります。例えば最近のレポートによると、操作技術システムへの、USBリムーバブルメディアを使ったサイバー攻撃は、過去12か月で倍増しています。リムーバブルメディアに仕込まれるマルウェアは、バックドア、持続的リモートアクセス、悪意あるペイロードの配信などを行います。
攻撃者はユーザーを騙して誰のものかわからないUSBサムドライブを会社のデバイスに接続させる手法をいくつも編み出しています。あるインシデントでは、医療関係者に偽のBestBuy(米国の家電量販店)ギフトカードとマルウェアが仕込まれたUSBサムドライブが送られました。USBドライブはまた、機密データや重要なビジネスデータの主な流出経路でもあります。さらに最近は「在宅勤務」(またはオフィス以外の場所での勤務)への移行が進み、仕事の効率を上げるために個人所有の周辺機器を使うことが増えてリスクが高まってきています。
弊社では、システムの安定性、相互運用性、クロスプラットフォーム対応(WindowsおよびmacOS)などを重視してこの機能を設計しました。
デバイスコントロール: デバイスを追加、ブロック、制限するシンプルなポリシー管理
この機能は企業のデバイスコントロールポリシーをより細かくより柔軟に定義できるよう設計されており、これにより実装が容易になります。
デバイスコントロールポリシーは会社全体に、特定のサイトに、または特定のデバイスグループに対して設定可能です。ポリシーは一連のデバイスコントロールルールから構成されます。
ルールの定義では、まずインターフェイスタイプ(USBかBluetooth)を選び、次にルールタイプとアクションを選択します。例えば、USBデバイスを以下の属性に基づいて制御します。
- ベンダーID
- クラス
- シリアル番号
- 製品ID
そしてアクションを選択します。
- 読み取りおよび書き込みを許可
- 読み取りのみを許可
- ブロック
これにより、管理者は詳細なポリシーを設定できます。例えば、あるユーザーには特定のタイプのUSBデバイスへのアクセスを許可し、あるユーザーにはUSBリムーバブルメディアでのファイルの読み取りのみを許可し、他のすべてのユーザーには外部USBデバイスの使用を完全に禁止するといったルールを作成できます。
Bluetoothセキュリティ – ギャップを埋める
Bluetoothプロトコルには多くの脆弱性があります。こういった脆弱性のほとんどは古いBluetoothバージョンに存在します。そのためセキュリティ要件の厳しい企業では、ユーザーがこれらを会社のエンドポイントとネットワークに接続しないよう防御しなければなりません。
SentinelOneデバイスコントロールを使用すれば、すべてのBluetoothデバイスの使用を許可または制限したり、Bluetoothデバイスのタイプ(キーボード、マウス、ヘッドセットなど)によって許可または制限したり、またはサポートしているBluetoothプロトコルバージョンによって許可(古いBluetoothバージョンの脆弱性によるリスクを軽減するため)したりすることができます。
すべてのデバイスでの柔軟性と制御
SentinelOneデバイスコントロールでポリシーを簡単に定義できますが、企業では日々新しいデバイスが増えていきます。そこで管理者には、「絶えず」対応でき、システム上に新しいデバイスが出現する(またはブロックされる)たびに承認できるような柔軟性が必要になります。
この機能を用いれば、管理者はブロックされたデバイスを管理コンソールのアクティビティログで確認し、必要に応じて同じ管理コンソールから承認できます。
まとめ
SentinelOneファイアウォールコントロールとデバイスコントロールを併用することで、従来のアンチウイルス(AV)ソリューションを次世代製品でリプレースする際に不足していた機能を補うことができます。プラットフォームの他の機能と同様、これらの機能はどのプラットフォームでもSentinelOneの単一エージェントから提供されます。管理コンソールも同じものを利用できます。