この質問はよく寄せられます。「すでにディープフリーズを使っていますが、アンチ・エグゼキュータブルも必要ですか?それはやりすぎではありませんか?」
もっともな質問です。どちらの製品もエンドポイントを保護します。どちらもマルウェアによる永続的な損害を防ぎます。ディープフリーズは再起動時にすべてを消去するのに、なぜそもそも実行可能ファイルをブロックする必要があるのでしょうか?
簡単な答えは、それぞれ異なるタイミングで異なるものから保護するということです。ディープフリーズは再起動後に起こることを処理します。アンチ・エグゼキュータブルはセッション中に起こることを処理します。これらを組み合わせることで、どちらか一方だけでは対処できないギャップを埋めることができます。
それが「やりすぎ」かどうかは、お客様の環境によります。このガイドでは、各製品が何を保護するのか、なぜ互いを補完するのか、そしてどのような場合に組み合わせが有効であり、ディープフリーズ単独で十分な場合があるのかを説明します。
各製品が実際に保護するもの
なぜこれらが重複ではなく補完的なのかを理解するために、各ツールが何をするのかを正確に見てみましょう。
ディープフリーズ:永続性保護。
ディープフリーズは、フリーズされたドライブに加えられた変更が再起動時にすべて消去されることを保証します。セッション中にインストールされたマルウェア?再起動後に消去されます。構成変更?消去されます。破損したファイル?消去されます。システムは毎回、ベースライン状態に戻ります。
ディープフリーズができないこと:セッション中に何も起こるのを防ぐわけではありません。マルウェアは、次の再起動まで、実行され、ファイルを暗号化し、データを外部に送信し、ネットワーク全体に拡散し、損害を与える可能性があります。ディープフリーズは後でローカルマシンを修復しますが、アクティブな脅威を防ぐわけではありません。
アンチ・エグゼキュータブル:実行保護。
アンチ・エグゼキュータブルは、不正なソフトウェアがそもそも実行されるのを防ぎます。システムに到達したマルウェアは実行できません。ランサムウェアは起動できません。不正なアプリケーションは実行できません。脅威は損害を与える前に停止されます。
アンチ・エグゼキュータブルができないこと:新しい実行可能ファイルが関与しない脅威(既存のツールを使用したドキュメントのマクロベースの攻撃など)によって引き起こされた損害を元に戻したり、何かがうまくいかなかった場合にシステム状態を復元したりしません。ホワイトリストに登録されたアプリケーションが悪用された場合や、正規のツールを使用して構成が変更された場合、アンチ・エグゼキュータブルはそれを修正しません。
それぞれが残すギャップ:
• ディープフリーズ単独:セッション中に脅威が自由に動作する可能性があります
• アンチ・エグゼキュータブル単独:何かがすり抜けた場合や、承認されたソフトウェアが侵害された場合の回復手段がありません
なぜこれらは互いを補完するのか:ライブ保護+再起動リカバリ
異なる瞬間に動作する2つの防御線と考えてください。
セッション中(アンチ・エグゼキュータブル)。ユーザーが悪意のあるメールの添付ファイルをクリックします。添付ファイルはランサムウェア実行可能ファイルを起動しようとします。アンチ・エグゼキュータブルがそれをブロックします。実行可能ファイルはホワイトリストにありません。脅威は無力化されます。暗号化は発生しません。データ流出はありません。損害は発生しません。
セッション後(ディープフリーズ)。マシンが再起動します。セッション中に何かが起こったとしても(構成変更、ファイル変更、すり抜けたもの)、ディープフリーズがそれを消去します。システムはベースラインに戻ります。次のユーザーのためにクリーンな状態になります。
組み合わせが重要な実際のシナリオ:
シナリオ1:ゼロデイランサムウェア。ディープフリーズのみの場合、ランサムウェアが実行され、ローカルおよびネットワークドライブ上のファイルを暗号化し、他のマシンに拡散します。ローカルのフリーズされたドライブは再起動時に回復しますが、ネットワーク共有が暗号化されたり、他のマシンが感染したりする可能性があります。アンチ・エグゼキュータブルを追加すると、ランサムウェアは実行されません。暗号化なし。拡散なし。損害なし。
シナリオ2:データ流出。マルウェアが実行され、機密データを外部サーバーにアップロードし始めます。ディープフリーズのみの場合、アップロードは次の再起動前に完了します。データは失われます。ディープフリーズはデータ流出を元に戻せません。アンチ・エグゼキュータブルを使用すると、マルウェアは実行されません。データ流出は発生しません。
シナリオ3:クリプトマイニング。不正なマイニングソフトウェアがセッション中に継続的に実行され、リソースと電力を消費します。ディープフリーズは再起動時にそれを削除しますが、各セッションで再インストールされる(または再ダウンロードされる)可能性があります。アンチ・エグゼキュータブルを使用すると、システムに繰り返し到達しても、まったく実行できません。
シナリオ4:ラテラルムーブメント。あるマシン上のマルウェアが、ネットワーク上の他のマシンを攻撃するための出発点としてそれを使用します。ディープフリーズは再起動時に元のマシンを保護しますが、他のシステムへの攻撃を防ぐわけではありません。アンチ・エグゼキュータブルは、マルウェアがそもそも実行されるのを防ぎ、ローカルマシンとネットワークの両方を保護します。
シナリオ5:構成ドリフト。承認されたアプリケーションの設定が誤っているか、ユーザーが正規のWindowsツールを使用して設定を変更します。アンチ・エグゼキュータブルはこれを防ぎません(新しい実行可能ファイルは関与しません)。ディープフリーズは再起動時に適切な構成を復元します。各ツールは、もう一方ではできないことを処理します。
両方を実行するのに理想的な環境
この組み合わせが最も適しているのは、次のような環境です。
公共アクセスコンピューター。図書館、ホテルのビジネスセンター、空港のワークステーション、政府サービスセンター。未知のユーザーが未知の意図で、一日中マシンにアクセスします。脅威の実行を防ぎ(アンチ・エグゼキュータブル)、ユーザー間の完全な復元を保証したい(ディープフリーズ)。最大の危険に対する最大の保護。
学校のコンピューターラボ。生徒はゲームをインストールしたり、ダウンロードしたソフトウェアを実行したり、何でも試そうとします。アンチ・エグゼキュータブルは実験をブロックします。ディープフリーズは、すべてのクラスがクリーンなマシンで始まることを保証します。教師は「このコンピューターがおかしい」という問題に対処する必要がありません。予防と回復の両方が自動化されます。
高セキュリティ環境。金融サービス、ヘルスケア、政府、重要インフラ。侵害のコストは高くなります。多層防御が必要です。両方のツールを使用することで、セキュリティ要件を満たし、実際のリスクを低減するレイヤード保護を提供します。
コンプライアンス主導の環境。セキュリティフレームワークは、アプリケーションのホワイトリスト登録とシステム回復機能の両方を推奨することがよくあります。両方を実行することで、監査に対して複数の補償的管理策を示すことができます。
キオスクおよび単一目的のマシン。これらは特定のソフトウェアのみを実行すべきであり、逸脱はすべて疑わしいです。アンチ・エグゼキュータブルは、承認されたアプリケーションのみが実行されることを保証します。ディープフリーズは、異常が発生した後もキオスクが構成された状態に戻ることを保証します。
再起動間のセッションが長い環境。マシンが再起動せずに長期間実行される場合(たとえば、丸一日または一勤務シフト)、ディープフリーズの保護は遅延します。アンチ・エグゼキュータブルは、それらの長いセッション中に継続的な保護を提供します。
ディープフリーズ単独で十分な場合
誰もが両方を必要とすると主張するつもりはありません。次のような場合は、ディープフリーズ単独で十分な場合があります。
• マシンが非常に頻繁に再起動する場合(各セッション後または数時間ごと)
• セッションが短く、ユーザーアクティビティが限定的である場合
• ネットワーク分離により、脅威が他のシステムに拡散するのを防ぐ場合
• フリーズされたマシンから機密データにアクセスできない場合
• 強力な境界セキュリティ(Webフィルタリング、メールフィルタリング)により、脅威の量が削減される場合
• 予算の制約により優先順位付けが必要な場合
これらの環境では、損害のウィンドウは小さく、影響範囲は限定的であり、ディープフリーズの再起動リカバリがほとんどの懸念に対処します。アンチ・エグゼキュータブルは価値を追加しますが、必須ではないかもしれません。
正直な評価:ディープフリーズ単独で、多くの環境に優れた保護を提供します。アンチ・エグゼキュータブルは、セッションタイムの脅威が大きな懸念事項である環境に別のレイヤーを追加します。高リスク環境ではやりすぎではありません。低リスク環境では不要かもしれません。
両方を実行すると管理作業が増えますか?
もっともな懸念です。現実は次のとおりです。
統合管理。単一のインターフェースから両方を管理します。構成を一緒に展開します。両方のツールを1か所で監視します。管理オーバーヘッドは倍増しません。2つの機能を管理する単一のコンソールです。
連携したメンテナンス。メンテナンスウィンドウ中に、両方のツールを一緒に管理できます。ディープフリーズを解凍し、アンチ・エグゼキュータブルをメンテナンスモードにし、アップデートを適用し、新しいソフトウェアをホワイトリストに登録してから、両方を再度有効にします。1回のメンテナンスウィンドウで両方のツールを処理できます。
トラブルシューティングの削減。逆説的ですが、両方を実行することで管理作業が削減される可能性があります。アンチ・エグゼキュータブルは、ユーザーが問題のあるソフトウェアを実行するのを防ぎます(ディープフリーズが再起動時に修正しても)。そもそも問題が発生することが少ないため、「このコンピューターがおかしい」というチケットが少なくなります。
安定した環境は低メンテナンスです。一度構成すれば、静的な環境では両方のツールはほとんど継続的な注意を必要としません。ホワイトリストはほとんど変更されません。フリーズされたベースラインはほとんど変更されません。日常の管理は軽いです。
よくある質問
この組み合わせはユーザーにとって制限が厳しすぎますか?
適切な環境(共有PC、ラボ、キオスク)では、制限こそがポイントです。ユーザーは承認されたソフトウェアのみを実行すべきであり、変更が永続することを期待すべきではありません。ユーザーが柔軟性を必要とする個人用ワークステーションの場合、通常はどちらのツールも適切な選択肢ではありません。制限が許容される環境にツールを適合させてください。
両方のツールを実行するとシステムパフォーマンスに影響しますか?
どちらのツールもパフォーマンスへのオーバーヘッドは最小限です。ディープフリーズはディスクレベルで動作し、影響は無視できます。アンチ・エグゼキュータブルは起動時に実行可能ファイルをチェックします。これは高速な操作です。両方を実行しても、どちらか一方のツールを実行した場合と比較して、目立った遅延は発生しません。ユーザーは違いを感じないでしょう。
コストはどうですか?両方のライセンス料は正当化されますか?
リスクプロファイルによります。公共アクセス環境や高セキュリティ環境では、追加の保護がコストを正当化します。ランサムウェアインシデントやデータ侵害を1件防ぐことは、通常、両方のツールのライセンス料よりもはるかに高くつきます。リスクの低い環境では、ディープフリーズ単独で十分な場合があります。必要のない保護にお金を払うよりも、必要なものを購入していただきたいと考えています。
決定する前に両方を一緒に試すことはできますか?
はい。どちらの製品も30日間の無料トライアルを提供しています。代表的なマシンに両方を一緒に展開し、お客様の環境でどのように機能するかを確認し、組み合わせが価値を追加するかどうかを評価してください。実際のテストが決定の最善の方法です。
互いに競合することはありますか?
いいえ。これらは連携するように設計されており、異なるレベルで動作します。ディープフリーズはディスクの状態を管理し、アンチ・エグゼキュータブルは実行権限を管理します。操作に競合や重複はありません。Faronicsはこれらの製品を補完的なものとして特別に設計しています。
アンチウイルスも追加すべきですか、それとも間違いなくやりすぎですか?
アンチウイルスを維持することをお勧めします。アンチ・エグゼキュータブルは未知の実行可能ファイルをブロックし、アンチウイルスは既知の脅威を実行しようとする前に捕捉し、実行可能ファイル以外の脅威(悪意のあるドキュメント、ブラウザの脆弱性)から保護します。ディープフリーズは、すり抜けたものから回復します。3つのレイヤー、3つの異なる保護メカニズム、包括的なカバレッジ。
結論:重複ではなく補完的
ディープフリーズとアンチ・エグゼキュータブルは、異なる脅威から異なるタイミングで保護します。ディープフリーズは再起動後の回復を保証します。アンチ・エグゼキュータブルはセッション中の損害を防ぎます。これらを組み合わせることで、どちらか一方では提供できない継続的な保護を提供します。
やりすぎですか?個人のワークステーションにとっては、おそらくそうでしょう。どちらのツールもその環境には適していません。公共アクセスコンピューター、高セキュリティシステム、コンプライアンス主導の環境では、この組み合わせはまさに多層防御が実現するものです。
問題は、この組み合わせが価値を提供するかどうかではありません。それは明らかに提供します。問題は、お客様の環境のリスクプロファイルが追加レイヤーを正当化するかどうかです。多くの共有アクセス環境では、そう言えます。
どのように連携するか見てみませんか?
ディープフリーズとアンチ・エグゼキュータブルを30日間無料でお試しください。レイヤードエンドポイント保護を実際に体験してください。
