OPSWAT、FileScan.IO の資産買収を発表. 詳細情報

CDR ベンダー選定時の質問事項

CDR(Content Disarm and Reconstruction: コンテンツの非武装化と再構築)は、既知・未知の脅威から組織を保護するためのゼロトラストセキュリティアプローチの一つとして、企業で採用が進んでいる高度な脅威防止テクノロジです。

マルウェアが進化し、攻撃手法が巧妙化するにつれ、ファイルや、ファイルの動作の異常を検知するマルウェア対策エンジンやサンドボックスなどの従来の防止方法では、手遅れになる前に、脅威を防ぐには十分ではありません。

すべてのファイルに潜在的な脅威があると考え、検知だけでなく予防・防御に重点を置くことで、企業はセキュリティ体制を改善することができます。OPSWAT の Deep CDR テクノロジは、次世代のマルウェア対策、動的分析ソリューションでは検出されないゼロデイサイバー脅威に対処するために開発されました。” すべてのファイルに悪意がある” と想定し、取り込んだファイルを再構築する際には、ユーザビリティを損なうことなく安全なファイルを生成します。

OPSWAT は2012年に MetaDefender Deep CDRを発表し、特に 米国国土安全保障省(US DHS)によって「重要インフラ」と見なされている業界のお客様に、当社のソリューションは幅広くグローバルに展開されています。

MetaDefender Deep CDR によって無効化される一般的な攻撃ベクトルには、次のものがあります。

1. 複雑なファイル形式: 攻撃者は、埋め込みオブジェクト、自動化マクロ、ハイパーリンク、スクリプトなどの複雑な機能を悪用して、悪意あるコンテンツの実行を誘発します。複雑なファイル形式の例には、Microsoft Office ドキュメント(Word、Excel、PowerPoint など)、Adobe PDF ファイル、AutoDesk CAD ファイルなど、さまざまなものがあります。

2. アプリケーションの脆弱性:形式が複雑か単純かに関係なく、一般的に使用されている生産性アプリケーション内の既存の脆弱性を悪用し、攻撃者はバッファオーバーフロー攻撃によってアプリケーションのメモリを上書きしたり、標的の OS で実行する悪質なコードの種類を調べたりします。悪用されるアプリケーションの例には、Adobe Reader、Microsoft Office などがあります。National Vulnerability Databaseによると、2021年12月8日時点で 18376 件の脆弱性が記録されており、2020年の記録 18351 件を上回っています。

過去 9 年間で、当社の Deep CDR の導入が大幅に増え、エンジニアリングチームが成し遂げたことを誇りに思っています。同時期に、多くのセキュリティベンダーがCDR市場に参入し、混乱を招くような主張を展開するようになりました。

以下は、どの CDR ソリューションがお客様の組織に最適かを判断するためのガイドラインとなる質問項目です。

基本質問項目

1. CDR はどのアーカイブ形式をサポートしていますか?ーカイブは、複数のファイル形式を 1 つのボリュームに統合して保存する方法として、ここ数年、ますます普及しています。CDR がサポートするアーカイブのリストを確認し、再帰性のレベルなど、関連機能を制御できることを確認してください。(例えば、PDF が PowerPoint ファイルに埋め込まれている場合、その技術は両方のファイルを分析・再構築できますか?)

2. 対応するファイル形式はいくつありますか?5,000種類を超える既知のファイル形式のうち、CDRベンダーがサポートするファイル形式の数を確認し、サポートされているファイル形式のリストと、お客様の組織で使用しているファイル形式と比較してください。こちらに関連情報無害化レポートの例があります。

3. ユーザビリティは維持されていますか?アニメーションが設定された PowerPoint や、マクロ機能を保持したい Excel ファイルを処理する場合、再構築されたファイルがこれらの機能を維持していることを確認する必要があります。このような場合、製品評価時にサンプルファイルを処理することが一つの方法です。

4. CDR は、ユースケースに適合する包括的な構成をサポートしていますか?? CDR は特定のファイル形式のハイパーリンクを削除しますか?埋め込まれたマクロを保持または削除しますか?

5. CDR は監査証跡を作成しますか?例えば、CDR はどのオブジェクトが削除され、どのオブジェクトが無害化されたかを記録してログに残しますか?どのようにしてアーカイブの整合性を検証できますか?

6. データチャネルごとに異なる CDR ポリシーを設定できますか?例えば、CDR は、内部メールでは Excel マクロを保持し、外部メール用では削除できますか?

7. CDR はどのオペレーティングシステムをサポートしていますか?各オペレーティングシステムで対応しているファイル形式はどれですか。組織のシステムが、Windows と Linux の両方をサポートしている場合、ベンダーは両方のオペレーティングシステムをサポートできますか?

8. ファイル形式ごとの CDR の性能はどうなっていますか?ファイル形式が異なれば、パフォーマンスも異なります。 CDR テクノロジを導入し、いくつかのサンプルファイルを実行して、ベンダーのパフォーマンスが組織の要件を満たしていることを検証してください。

研究開発に関する詳細な質問

9. 安全な設計がされていますか?セキュアデザインパターンが適用されていますか? CDR エンジンをどのように保護していますか?セキュア SDLC (ソフトウェア開発ライフサイクル)が実装されていますか? CDR 設計アーキテクチャを確認し、質問をしてください。

10. 持続可能ですか?何人のエンジニアがこのテクノロジを開発していますか?彼らのバックグラウンドや組織図を確認します。

エンジニアリングプロセスはどうでしょうか? QA はどのように行われますか?エンジニアリングの QA 手順を確認してください。構築プロセスは安全ですか?ビルドチェーンに埋め込まれたマルウェアを防ぐためのソリューションはありますか?ベンダーはどのようなセキュリティ認証を取得していますか?

11. どのようにテストしていますか?第三者による検証はありますか?(政府によるテストや、外部委託によるペンテストなど)結果を確認します。テストデータセットの大きさは?マルウェアの実サンプルやゼロデイ攻撃のサンプルを使用しているか確認します。膨大なテストデータで、どのようにユーザビリティを確実に維持していますか?テストデータセットを手動で検証.しているか確認します。最近の脅威でテストしているか、データセットを確認します。

12. 既存製品と容易に統合できますか? REST API は使えますか?ドキュメントを確認してください。

13. 製品は積極的に改良されていますか?リリース頻度はどれくらいですか?過去数か月分のリリースを確認してください。

14. 製品ベンダーは、どのくらいの期間で新しいファイル形式をサポートできますか?組織で使用しているもので確認します。

15. 製品ロードマップはどうでしょうか? 5,000 種類以上のファイル形式のうち、製品ベンダーはその多くに対応したり、お客様の組織にとって最も重要なファイル形式に対応できるでしょうか?

法的視点

16. テクノロジがサードパーティのライブラリを利用している場合、それらは合法的にライセンスされていますか?ソフトウェア利用許諾契約(EULA)や、その他のサポートドキュメントで、ライブラリの一覧を確認してください。

CDRテクノロジの選定は、単純なチェックマーク方式ではありません。当社では、無料のアカデミーで、トレーニングをご利用いただくことができます。

詳細については、こちらのガイドをダウンロードしてください。このガイドでは、CDR(コンテンツの非武装化と再構築)テクノロジの概要と、新たなサイバーセキュリティの脅威から、ビジネスやインフラを保護するための最適なCDRソリューションを選択する方法を説明しています。

詳細については、お気軽にお問い合わせください。

Sign up for Blog updates
Get information and insight from the leaders in advanced threat prevention.