適用対象:WatchGuard EPDRおよび WatchGuard Advanced EPDR
WatchGuard Endpoint リスク アセスメントを使用すると、サードパーティのエンドポイント セキュリティ ソリューションを使用する管理対象アカウントのサイバーセキュリティ体制を評価することができます。Endpoint リスク アセスメントは非侵入型で、脅威や脆弱性、その他のセキュリティ リスクを特定することができます。評価期間の後、アカウントのリスク プロファイル、攻撃対象領域を減らす方法に関する推奨事項、全体的なセキュリティ体制の改善に関する知見を提供する詳細なレポートをスケジュールすることができます。
Endpoint リスク アセスメント レポートには、以下の概要のグラフが含まれています。
- リスク
- Endpoint のリスク ステータス
- Zero-Trust Application Service の評価
- Threat Hunting サービスの評価
評価の詳細と推奨事項セクションには、以下のセキュリティ リスクに関する詳細情報が含まれています。
- マルウェア、PUP、エクスプロイト、ネットワーク攻撃、検出された攻撃の指標
- 積極的に悪用された脆弱性が検出されました
- 重大かつ重要な脆弱性が検出されました
- サポートが終了したソフトウェアが検出されました
- ダウンロードとアップロード ボリュームが多いアプリケーション
- 環境寄生型アプリケーションが実行されました
Endpoint リスク アセスメントをアクティブ化する理由
Endpoint リスク アセスメントは、Service Provider が顧客ネットワークのサイバーセキュリティを評価することにより顧客に付加価値を提供するためのツールです。このリスク アセスメントを使用すれば、セキュリティ脅威から完全に保護されていることの確認を求める顧客に対し、WatchGuard Endpoint Security テクノロジーと製品の利点を示すことができます。
Endpoint リスク アセスメントは、顧客が信頼できる IT 環境を構築できるようにするため、ゼロトラストのアプローチに焦点を当てています。顧客の環境にインストールされているアプリケーションと、どのアプリケーションがより多くの帯域幅を使用しているかについて可視性を提供します。また、悪質な攻撃者がネットワークにマルウェアを導入するためによく使用する環境寄生型アプリケーションについての可視性も提供します。
リスク アセスメントは顧客に透明性を提供します。Endpoint では、顧客にはローカル アラートが表示されず、Windows システム トレイには WatchGuard Endpoint Security アイコンも表示されません。顧客が保護をアップグレードするために Endpoint を再起動しなくて済むように、自動保護のアップデートは無効にされます。
顧客が WatchGuard Endpoint Security のライセンスをアクティブ化していない場合でも、レポートのほとんどの推奨事項を適用することができます。追加のハードウェアやテスト ツールは必要ありません。
要件および制限
Endpoint リスク アセスメントは、WatchGuard EPDR または WatchGuard Advanced EPDR のトライアルを使用中の Partners および顧客が WatchGuard Cloud で利用できます。既存の Endpoint Security 製品または EDR Core ライセンスを持つ Partners または顧客は利用できません。また、可視性を強化するために WatchGuard Advanced Reporting Tool のトライアルを同時に開始することをお勧めします。Advanced Reporting Tool は、使用されているすべてのアプリケーションの概要、検索機能、現在アクティブな Microsoft Office ライセンスの追跡可能性など、評価で使用される詳細情報を提供します。
Endpoint リスク アセスメントは、Windows、Linux および macOS プラットフォームの Endpoint 飲みに適用されます。Android と iOS の Endpointはレポートの対象外です。
開始する前に
リスク アセスメントを開始する際には、新しい設定が自動的に すべて グループに適用されます。ただし、マルチテナント Endpoint Security 管理 UI からの設定を含むアカウント グループは、リスク アセスメントの設定を受け取りません。マルチテナント管理 UI の設定については、設定プロファイルのマルチテナント Endpoint Security 管理 を参照してください。
設定の割り当てにマルチテナント管理 UI を使用する場合は、評価に含めるアカウントに構成設定が適用されていないことを確認してください。評価に使用する、リスク アセスメントというアカウント グループを作成し、このグループにはマルチテナント管理 UI からの設定を割り当てないことをお勧めします。アカウント グループの詳細については、アカウント グループを管理する を参照してください。評価に含める新しいアカウントを追加する場合は、それらをそのリスク アセスメント グループに含めるようにしてください。
WatchGuard Endpoint リスク アセスメントの使用を開始する
以下の手順を実行します:
2. Endpoint に Endpoint Security をインストールする
3. Endpoint Security リスク アセスメント レポートをレビューする
1. アカウントでリスク アセスメントをアクティブ化する
- WatchGuard Cloud にログインする。
- アカウント マネージャー で 概要 を選択します。
- Advanced EPDR または EPDR のトライアルを開始します。
- 管理 > トライアル の順に選択します。
- Endpoint タブを選択します。
- アカウント名 列の評価を開始するアカウントの横で、トライアルのトグルを有効にします。
トライアルを追加する ダイアログ ボックスが開きます。 - 製品 リストで Advanced EPDR またはEPDR を選択します。
- (任意) モジュールのリストからAdvanced Reporting Tool チェックボックスを選択します。
Advanced Reporting Tool は、使用されているすべてのアプリケーションの概要、検索機能、現在アクティブな Microsoft Office ライセンスの追跡可能性など、評価で使用される詳細情報を提供します。 - 追加 をクリックします。
WatchGuard Cloud でトライアルが使用可能になるまで最大 2 分かかる場合があります。
- モニタ > Endpoint の順に選択します。
設定ページでセキュリティ ダッシュボードが開きます。
- アクティブ化 をクリックします。
確認ダイアログ ボックスが開きます。
- アクティブ化 をクリックします。
2. Endpoint に Endpoint Security をインストールする
トライアルを開始してリスク アセスメントをアクティブ化したら、WatchGuard Endpoint Security 製品を Endpoint に配備します。Endpoint Security をインストールする Endpoint が多いほど、リスク アセスメントも広範囲になります。Endpoint Securityは、ノート PC などの脅威に対しより脆弱な Endpoint にインストールすることをお勧めします。配備を計画する方法については、Endpoint Security インストール プラン を参照してください。
WatchGuard Endpoint Security に追加された最初の Windows コンピュータが、自動的に検出コンピュータとして指定されます。ディスカバリー コンピュータは、WatchGuard Endpoint Agent がインストールされていないネットワーク上の他のコンピュータを検索します。検出された未管理のコンピュータ リストを使用して、WatchGuard Endpoint Agent を配備するネットワーク上のコンピュータを検索します。詳細については、検出された未管理のコンピュータ リスト を参照してください。
すると、Windows コンピュータでは Endpoint ソフトウェアをリモートでインストールすることができます。詳細については、Endpoint ソフトウェアをリモートでインストールする (Windows コンピュータ) を参照してください。
インストールには数分しかかかりません。Endpoint にソフトウェアをインストールすると、Endpoint Security アイコンは通知トレイに表示されず、ローカル アラートが無効になります。これは、Endpoint リスク アセスメント設定が すべて グループに適用され、Endpoint に配備されたためです。
サードパーティのアンチウイルスおよび EDR 製品
WatchGuard Endpoint Security は、サードパーティのアンチウイルスおよび EDR 製品と互換性があります。これらの製品は、WatchGuard Endpoint Agent をインストールしてもアンインストールされません。WatchGuard Endpoint Security をサードパーティのソフトウェアと併用する予定の場合は、サードパーティの製品と WatchGuard Endpoint Security 製品の両方に除外を追加し、重複や誤検出が発生しないようにする必要があります。
アンチウイルスまたは EDR ソリューションで以下のディレクトリを除外します:
%programfiles%\Panda Security
%programfiles(x86)%\Panda Security
%allusersprofile%\Panda Security
詳細については、WatchGuard Endpoint Security で例外を作成する を参照してください。
WatchGuard Endpoint Security 製品は、EDR と XDR の機能により既存のソリューションを補完します。しかし、エクスプロイト対策技術は通常、フックを使って配備されます。複数のソリューションがエクスプロイト対策技術を使用すると、互換性がなくなる可能性があります。エクスプロイト対策技術は 1 つだけ有効にすることをお勧めします。詳細については、以下のナレッジ ベースの記事を参照してください: Endpoint Security 製品は、サードパーティのアンチウイルスおよび EDR ソリューションと互換性がありますか?
3. Endpoint Security リスク アセスメント レポートをレビューする
Endpoint Security リスク アセスメント レポートはいつでもレビューすることができます。または、評価期間の終了時にレポートが送信されるようにスケジュールすることもできます。レポートは、評価期間中に検出されたさまざまな種類のセキュリティ リスクに焦点を当てています。レポートは、以下の重大度に基づいてリスクを分類します:
- 重大 — 確認済みのマルウェアが実行されたことを示すか、サイバー攻撃に対する露出が危険なレベルであることを示します。
- 高い — いつでも実行される可能性のある潜在的なマルウェアが見つかったか、攻撃対象領域を減らす緊急な必要性があることを示します。
- 中程度 — 事前に対処する必要がある追加のリスク因子が見つかったことを示します。
レポートには、アクティブな WatchGuard Advanced EPDR または EPDR トライアル ライセンスがある Windows、Linux および Mac の Endpoint のみが含まれます。
Endpoint Security が脅威を検出するたびに電子メール アラートを受信せずに最終評価レポートのみを受信するには、リスク アセスメント グループの電子メール アラートを無効にすることができます。詳細については、アラートについて を参照してください。
レポートをプレビューする
レポートをプレビューするには、WatchGuard Cloud で以下の手順を実行します。
- アカウント マネージャーから、リスク アセスメントをアクティブ化したアカウントを選択します。
- モニタ > Endpoint の順に選択します。
- ステータス ページで スケジュール レポート を選択します。
- スケジュール レポートの追加 をクリックします。
- レポート タイプ を指定するには、既存のレポート タイプをクリックし、リスク アセスメント レポート を選択します。
- レポートのプレビュー をクリックします。
レポートが新しいブラウザ タブで開きます。
レポートをスケジュールする
リスク アセスメント レポートを毎日、毎週または毎月の特定の日時に電子メールで受信する場合は、それをスケジュールします。より小規模なネットワーク (1 ~ 50 の Endpoint) の場合は、評価の開始から 2 週間後にレポートを実行するようにスケジュールすることをお勧めします。より大規模なネットワークの場合は、評価の開始から 4 週間後にレポートを実行するようにスケジュールすることをお勧めします。Endpoint Security のトライアル期間は 30 日ですが、これは 1 回だけ最大 60 日まで延長できます。大規模のネットワークでは、より長い評価期間が必要になる場合があります。WatchGuard の担当者にお問い合わせください。
リスク アセスメント レポートをスケジュールするには、WatchGuard Cloud で以下の手順を実行します:
- アカウント マネージャーから、リスク アセスメントをアクティブ化したアカウントを選択します。
- モニタ > Endpoint の順に選択します。
- ステータス ページで スケジュール レポート を選択します。
- スケジュール レポートの追加 をクリックします。
- 名前 テキスト ボックスに、スケジュール レポートの名前を入力します。
- 自動的に送信 セクションで、スケジュール レポートを送信する頻度と時間を選択します。
既定では、自動的に送信トグルが有効化されています。 - レポート タイプ を指定するには、既存のレポート タイプをクリックし、リスク アセスメント レポート を選択します。
- 宛先 テキスト ボックスに、レポートの送信先の電子メール アドレスをカンマ区切りで入力します。
- CC と BCC テキスト ボックスに、コピーの送信先の電子メール アドレスをカンマ区切りで入力します。
- 件名 テキスト ボックスに、電子メールの件名 (Endpoint リスク アセスメント レポートなど) を入力します。
- レポートの 形式 を指定するには、ドロップダウン リストから、PDF または Word を選択します。
- 追加 をクリックします。
リスク アセスメントを非アクティブ化する
リスク アセスメントはいつでも非アクティブ化することができます。評価をアクティブ化すると、マルウェアやその他のセキュリティのギャップを検出するために監査モードが有効になります。監査モードでは、Endpoint Security は脅威をブロックしたり削除したりしません。リスク アセスメントを非アクティブ化して監査モードを無効にすると、Endpoint Security が見つかった脅威をブロックしたり削除したりできるようになります。また、デフォルトのコンピュータごとの設定を有効にして自動アップデートを有効にし、Endpoint Security アイコンが Windows のシステム トレイに表示されるようにする必要もあります。
リスク アセスメントを非アクティブ化して監査モードを無効にするには、以下の手順を実行します:
- WatchGuard Cloud にログインする。
- アカウント マネージャーから、トライアルとリスク アセスメントを開始したアカウントを選択します。
- モニタ > Endpoint の順に選択します。
- 非アクテブ化 をクリックします。
確認 ダイアログ ボックスが開きます。
- 非アクテブ化 をクリックします。
- 設定 > ワークステーションとサーバー の順に選択します。
- ワークステーションとサーバーのデフォルトの設定を すべて グループに割り当てます。
- コンピュータごとの設定 を選択します。
- コンピュータごとの設定のデフォルト プロファイルを すべて グループに割り当てます。
Endpoint で検出された脅威を修正する
いつでも修正ポリシーを適用してアカウントのセキュリティ体制を向上させることができます。
リスク アセスメントが有効になっている場合は、ネットワーク上のコンピュータやデバイスで悪意のあるプログラムやウイルスのスキャンをしないでください。
Endpoint Security を使用して脆弱性を修正するには、以下を行うことをお勧めします:
- Endpoint リスク アセスメントを非アクティブ化します。
- デフォルトのワークステーションとサーバー設定を、脅威の修正を行うアカウントに割り当てます。これにより監査モードが無効になり、Endpoint Security がマルウェアや PUP、その他のエクスプロイトをブロックし、削除するようになります。詳細については、ワークステーションとサーバーのセキュリティ設定を構成する および 設定プロファイルを割り当てる を参照してください。
- すべての Endpoint デバイスで重要な領域をスキャンします。詳細については、コンピュータとデバイスをスキャンする を参照してください。
- Patch Management のトライアルを開始して、利用可能なパッチを Endpoint で自動的に適用します。詳細については、Patch Management Best Practices を参照してください。
- Endpoint リスク アセスメント レポートの推奨事項を確認してそれに従い、攻撃対象領域を減らし、セキュリティ体制を強化します。これにはデバイスの隔離、追加のマルウェア スキャン タスク、およびアプリケーション コントロール (プログラム ブロック) が含まれる場合があります。