率直に申し上げますと、アンチウイルスは依然として必要です。ディープフリーズはアンチウイルスソフトウェアの代替にはならず、そのように主張したこともありません。
しかし、なぜ人々がそう尋ねるのかは理解できます。ディープフリーズは再起動時にマルウェアを消去するのですよね?ランサムウェアがドライブを暗号化した場合、再起動すれば消えるのですよね?では、なぜ他に何かが必要なのでしょうか?
その混乱は理解できます。そして公平に言えば、ディープフリーズは確かに強力な保護を提供しますが、それはアンチウイルスが提供するものとは異なる種類の保護です。それぞれ異なる問題を解決し、異なるタイミングで機能します。適切に保護された環境には、両方が必要です。
ディープフリーズが具体的に何から保護し、何から保護しないのか、そして実際に機能するセキュリティスタックを構築する方法について詳しく見ていきましょう。
ディープフリーズが実際に保護するもの
ディープフリーズの中核的な価値提案はシンプルです。フリーズされたシステムに加えられた変更(マルウェアのインストールを含む)は、再起動時に消去されます。システムは何もなかったかのようにベースライン状態に戻ります。
これにより、ディープフリーズはいくつかのカテゴリの脅威に対して非常に効果的です。
永続的なマルウェア。ほとんどのマルウェアは永続性を確立しようとします。つまり、再起動を生き延び、スタートアッププロセスに埋め込み、長期的にアクティブであり続けようとします。ディープフリーズは永続性を不可能にします。レジストリの変更、ドロップされたファイル、変更されたスタートアップエントリ、マスターブートレコードを変更しようとするルートキットなど、すべてがマシンの再起動時に消去されます。マルウェアは再起動を生き延びることができません。
ランサムウェア(注意点あり)。フリーズされたシステムドライブを暗号化するランサムウェアは、再起動によって無力化されます。暗号化されたファイルは一時的な割り当てテーブルにのみ存在し、それは破棄されます。元の暗号化されていないベースラインが再表示されます。お客様の中には、ランサムウェアからの復旧に数時間または数日ではなく数秒で済んだという方もいらっしゃいます。
設定のドリフトと不要な変更。マルウェアがシステム設定を変更した場合でも、ユーザーが誤って何かを壊した場合でも、ディープフリーズはマシンが既知の良い状態に戻ることを保証します。削除されたシステムファイル?復元されます。変更されたセキュリティ設定?元に戻されます。インストールされたブロートウェア?消去されます。
ゼロデイ脅威(再起動後)。ここで人々を驚かせることの一つがあります。ディープフリーズはゼロデイ保護の一形態を提供します。従来のアンチウイルスは、シグネチャまたは行動パターンに依存しています。特定の脅威を初めて見た場合、それを検出できない可能性があります。ディープフリーズはマルウェアが何であるか、または以前に見られたことがあるかどうかを気にしません。フリーズされたシステムに変更を加えた場合、その変更は再起動時に消去されます。以上。
これは本物の、価値のある保護です。ディープフリーズを使用している組織が、マルウェアの修復時間を劇的に短縮し、再イメージングが必要なマシンを減らしたと報告しているのはこのためです。「コンピューターを再起動する」ことが実際に問題を解決する場合、ITの作業ははるかに簡単になります。
しかし、上記のすべてで繰り返されるフレーズに注目してください。「再起動時に」。それが重要な制限です。
ディープフリーズが保護しないもの
ここで、あたかも自社製品に反対しているかのように聞こえるかもしれませんが、絶対に明確にする必要があります。そうではありません。正しく使用する方法を理解するお手伝いをしています。
ディープフリーズは、アクティブなセッション中の保護はしません。
ユーザーが午前9時にマルウェアをダウンロードした場合、そのマルウェアは実行されます。実行され、マルウェアが行うことをすべて行います。誰かがマシンを再起動するまで。セッションタイムアウトがある場合は午前9時5分、ユーザーが退社する午後5時、またはマシンが夜間稼働したままの場合は翌朝かもしれません。
その間、マルウェアはアクティブです。アクティブなマルウェアは、ディープフリーズが元に戻せない損害を与える可能性があります。
データの盗難と流出。マルウェアがファイルにアクセスして外部サーバーに送信した場合、そのデータは失われます。ディープフリーズはローカルマシンを以前の状態に復元できますが、盗まれたデータを元に戻すことはできません。セッション中にパスワードを入力したり、ドキュメントにアクセスしたり、ブラウザに保存された認証情報などがマルウェアによってキャプチャされ送信された場合、再起動しても役立ちません。
ネットワークベースの攻撃。侵害されたマシンは、ネットワーク上の他のシステムを攻撃するために使用される可能性があります。脆弱性をスキャンしたり、横方向の移動を試みたり、保護されていないマシンに拡散したり、DDoS攻撃に参加したりできます。感染したマシンは再起動後に問題なくなるかもしれませんが、より広範なネットワークへの損害はすでに発生しています。
仮想通貨マイニング。クリプトマイナーは、実行中にハードウェアリソースを消費します。再起動でそれらは削除されますが、すでに電気とCPUサイクルを消費しています。セッションが数時間実行されると、それは積み重なります。
フリーズされていない場所を攻撃するランサムウェア。重要なニュアンスがあります。ThawedパーティションまたはThawSpacesをユーザーデータ用に持っている場合、ランサムウェアはそれらを暗号化できます。そして、その損害は再起動後も持続します。フリーズされたシステムドライブは保護されますが、解凍されたストレージ上のユーザーファイルは保護されません。
メモリ常駐型脅威。一部の高度なマルウェアは、ディスクに書き込まずに完全にメモリ内で動作します。実行され、そのジョブを実行し、痕跡を残しません。ディープフリーズはディスクを保護しますが、セッション中のRAMで何が起こっているかを監視しません。
感染中のユーザーエクスペリエンス。マルウェアがアクティブな間、ユーザーはマルウェアが行うこと(ポップアップ、ブラウザのリダイレクト、パフォーマンスの低下、偽のセキュリティ警告など)を経験します。ディープフリーズは再起動後にクリーンなマシンになることを意味しますが、現在のセッションはまだ中断されます。
根本的なポイント:ディープフリーズは受動的であり、能動的ではありません。再起動後にクリーンアップします。そもそも脅威の実行を防ぐものではありません。
なぜレイヤードセキュリティが重要なのか:再起動保護 vs リアルタイム保護
セキュリティ専門家は、「多層防御」または「レイヤードセキュリティ」について話します。これは、単一のツールではすべての問題を解決できず、複数の重複する保護が全体的に強力なセキュリティを作成するという原則です。
ディープフリーズとアンチウイルスは、補完的なレイヤーの典型的な例です。脅威のタイムラインの異なるポイントで機能します。
アンチウイルスはリアルタイム保護を提供します。プロセスを監視し、アクセス時にファイルをスキャンし、既知のマルウェアシグネチャをブロックし、疑わしい動作を検出し、脅威の実行をそもそも防ぎます。セッション中に動作し、ユーザーが作業中に積極的に保護します。
ディープフリーズは再起動保護を提供します。セッション中に何が起こったとしても(アンチウイルスが見逃したものを含む)、マシンが再起動したときに消去されることを保証します。これはあなたのセーフティネットであり、保証された復旧であり、他のすべてが失敗した場合の保険証券です。
建物の火災安全対策と考えてください。アンチウイルスは煙探知機とスプリンクラーシステムです。火災を防ぎ、発生時に迅速に鎮火しようとします。ディープフリーズは耐火金庫です。建物が全焼しても、金庫の中身は無傷で残ります。
耐火金庫があるからといって、煙探知機をスキップすることはありません。両方が欲しいのです。
現実的な話:最高のアンチウイルスでさえ、すべてを検出できるわけではありません。新しい脅威、ゼロデイ、高度な攻撃など、常に何かが見逃されています。ディープフリーズマシンでそれが起こった場合、再起動して復旧します。アンチウイルスのみのマシンでそれが起こった場合、数時間の修復、潜在的な再イメージング、またはそれ以上の事態に直面することになります。
逆に、ディープフリーズのみに依存することは、次の再起動まで脅威が自由に実行されることを受け入れることを意味します。15分間のセッションとユーザー間の自動再起動がある図書館のコンピューターの場合、そのウィンドウは小さくなります。一日中稼働しているトレーニングルームのPCの場合、そのウィンドウは危険なほど大きくなります。
ディープフリーズが適切なセキュリティスタックに組み込まれる方法
では、ディープフリーズが組み込まれた、適切に設計されたセキュリティ設定はどのようになりますか?組織が最良の結果を得る方法は次のとおりです。
リアルタイム保護のためのアンチウイルス/アンチマルウェア。信頼できるエンドポイント保護ソリューションを各マシンで実行してください。これにより、ほとんどの脅威が実行前に検出されます。Microsoft Defender、CrowdStrike、Sophos、またはその他のソリューションを選択するかどうかに関わらず、重要なのはリアルタイムで監視するものが存在することです。
保証された復旧のためのディープフリーズ。ベースライン構成をフリーズすることで、アンチウイルスが見逃したものはすべて再起動時に消去されます。これにより、最悪のシナリオが問題なくなります。ゼロデイがマシンを襲った?再起動。未知のマルウェアバリアント?再起動。ユーザーが何らかの方法で保護をバイパスした?再起動。
露出を減らすためのWebフィルタリング。既知の悪意のあるサイト、フィッシングドメイン、および高リスクカテゴリへのアクセスをブロックします。ユーザーが脅威に到達できなければ、ダウンロードできません。これにより、他の保護機能の負担が軽減されます。
高セキュリティ環境のためのアプリケーション制御。さらに進みたい場合は、アプリケーションホワイトリスティングにより、承認されたソフトウェアのみが実行されるようになります。Faronics Cloud Deep Freezeはこの機能を含んでいます。フリーズ保護と組み合わせることで、防止と復旧の両方が得られます。
露出ウィンドウを最小限に抑えるための定期的な再起動。再起動間の時間が短いほど、脅威が動作できる時間は短くなります。ユーザーセッション間、夜間、または定期的な間隔で自動再起動をスケジュールします。セッション管理ソフトウェアを使用する図書館は、多くの場合、各利用者の間で再起動します。これは非常に小さな攻撃ウィンドウです。
横方向の移動を制限するためのネットワークセグメンテーション。セッション中にパブリックアクセスのあるマシンが侵害された場合でも、適切なネットワークセグメンテーションにより、機密システムに到達できなくなります。これはディープフリーズ固有ではありませんが、重要なコンテキストです。
ユーザー教育(該当する場合)。繰り返し利用者がいる環境(学校、企業のトレーニングルームなど)では、基本的なセキュリティ意識が役立ちます。フィッシング詐欺や疑わしいダウンロードを認識しているユーザーは、そもそもインシデントを引き起こす可能性が低くなります。
最も強力なセキュリティ体制を持つ組織は、単一のツールに依存しません。それらは保護をレイヤー化するため、1つが失敗した場合でも、他のものが補償します。ディープフリーズは非常に強力なレイヤーですが、それでも複数のレイヤーの1つです。
実践的な考慮事項:フリーズされたマシンでのアンチウイルスの実行
ディープフリーズとアンチウイルスを併用している場合、考慮すべき実践的な点がいくつかあります。
定義の更新は永続する必要があります。アンチウイルスソフトウェアは、マルウェア定義を頻繁に更新します。時には1日に複数回更新されます。フリーズされたマシンでは、これらの更新は通常、再起動時に失われます。解決策:定義をThawedパーティションまたはThawSpaceに保存する、メンテナンスウィンドウ中に定義の更新をスケジュールする、またはローカル定義にあまり依存しないクラウドベースのAVを使用する。
スキャンスケジュールを調整する。フルシステムスキャンには時間とリソースがかかります。フリーズされた操作中にアクティブなユーザーがいる場合ではなく、マシンがメンテナンスを受けているThaw期間中にスケジュールします。
互換性を確認する。ほとんどの主要なアンチウイルスソリューションはディープフリーズで問題なく動作しますが、環境でテストする価値はあります。一部の行動監視機能は、競合を避けるために構成が必要になる場合があります。
クラウドベースのエンドポイント保護を検討する。最新のクラウド管理AVソリューションは、従来のシグネチャベースの製品よりもディープフリーズとうまく連携することがよくあります。ローカル定義ファイルにそれほど依存せず、ローカルマシンの状態に関係なく管理/レポート作成がクラウドで行われます。
よくある質問
ディープフリーズはセキュリティツールですか?
はい、ただし特定のタイプです。ディープフリーズは、大きなセキュリティ上の利点を持つ回復および一貫性ツールです。再起動でソフトウェアベースの攻撃から回復できることを保証します。しかし、それは防止ツールではありません。セッション中に脅威が実行されるのを防ぐものではありません。完全なセキュリティ戦略の1つのコンポーネントとして考えてください。戦略全体ではありません。
マシンが再起動する前にマルウェアを実行できますか?
はい、もちろんです。ディープフリーズはマルウェアの実行を防ぐものではありません。マルウェアの永続性を防ぐものです。マルウェアが午前9時にダウンロードされて実行された場合、マシンが再起動するまで自由に動作します。そのため、リアルタイムのアンチウイルス保護が不可欠であり続けます。
最も安全なセットアップは何ですか?
共有アクセス環境の場合、次のものをお勧めします。リアルタイム防御のための信頼できるエンドポイント保護、保証された復旧のためのディープフリーズ、露出を減らすためのWebフィルタリング、攻撃ウィンドウを最小限に抑えるための頻繁な再起動、および最大限のロックダウンが必要な場合はアプリケーション制御。単一のツールでは完全な保護は提供されません。連携するレイヤーが真のセキュリティを作成します。
フリーズされたマシンでアンチウイルスが何かを検出した場合はどうなりますか?
アンチウイルスにそのジョブを実行させます。脅威を検疫または削除します。これにより、セッション中のアクティブな脅威が停止します。次に、再起動時にAVが見逃した可能性のある残骸がすべて消去されます。即時の保護と保証されたクリーンアップの両方が得られます。
お金を節約するために、フリーズされたマシンでアンチウイルスをスキップできますか?
これは本当に推奨しません。はい、ディープフリーズは強力な回復機能を提供します。しかし、アクティブなセッション中(数時間続く可能性があります)は、アンチウイルスなしで脅威が自由に実行されます。データ流出、ネットワーク攻撃、ユーザーの混乱はすべて、クリーンアップする再起動前に発生します。エンドポイント保護のコストは、それなしで運用するリスクと比較するとわずかです。
ディープフリーズはMicrosoft Defenderと連携しますか?
はい。DefenderはWindowsに含まれており、ディープフリーズと連携します。定義の更新は、Thaw期間中にスケジュールするか、クラウド配信保護を使用するように構成する必要があります。多くの組織は、問題なくフリーズされたマシンでDefenderをエンドポイント保護として使用しています。
ランサムウェアについてはどうですか?
ディープフリーズは、フリーズされたドライブに対して優れたランサムウェア回復機能を提供します。再起動すれば暗号化は消えます。ただし、ThawedパーティションまたはThawSpaces上のファイルは引き続き永続的に暗号化される可能性があり、再起動前にランサムウェアがデータを流出させる可能性もあります。ランサムウェア固有の保護を備えたアンチウイルスは、重要な防止レイヤーを追加します。
結論:両方を使用する、それらは互いを補完します
はっきりと申し上げます。ディープフリーズを実行しているからといって、アンチウイルスをスキップしないでください。それらは異なるタイミングで異なる問題を解決します。
アンチウイルスは脅威の実行を防ぎます。ディープフリーズは、脅威がそれでもすり抜けた場合に回復を保証します。これらを組み合わせることで、真に堅牢なセキュリティ体制が構築されます。セッション中に保護され、すべての再起動後にクリーンなマシンが保証されます。
ディープフリーズを完全なセキュリティソリューションとしてマーケティングすることも可能です。短期的には、おそらくより多くのライセンスが売れるでしょう。しかし、それは不誠実であり、顧客は最終的に苦労してギャップを発見することになります。ディープフリーズが何をするか、何をしなかったかを正確に理解し、適切に展開し、真に良い結果を得ていただく方が良いと考えています。
ディープフリーズは、共有アクセス環境向けの非常に強力なツールです。適切なエンドポイント保護と組み合わせることで、リアルタイムで保護され、回復が保証されるマシンが作成されます。それが私たちが推奨するセットアップであり、それが機能するものです。
無料トライアルを開始する
実際の環境でディープフリーズをテストしてください。ご自身で結果をご確認ください。
