F-Secure PSB Server Protectionの「データガード機能」を検証してみた。

2020.07.13

はじめに

こんにちは。大阪オフィスの林です。

F-Secure Protection Service for Business (以下 F-Secure PSB)とAmazon WorkSpacesを使って「データガード」という機能を試してみました!

データガードとは?

ひと言で言うと『特定のフォルダを監視して危険性のあるシステム変更を検出する機能』といったところでしょうか。

信頼できないアプリケーションが管理対象ホスト上のファイルを変更しないように、特定のフォルダを監視することによりディープガードを強化する機能です。また、保護されたフォルダに対してアクセス許可およびフォルダ内のファイル変更の許可を信頼できるアプリケーションに設定できます。

詳しくはこちらを参照ください。

ディープガードとの違い

F-Secure PSBでは似たような名称で「ディープガード」という機能も提供されています。「ディープガード」もザックリ言うと危険性のあるシステム変更を検出する機能なのですが「データガード」は「ディープガード」よりもより高度で細やかな設定・制御が出来るようです。

「F-Secure データガード」は、高度な動作ルールを活用して、システムに影響を与えようとするマルウェア (ランサムウェアなど) の試みを認識することでディープガード(「リアルタイム スキャン」タブを参照) を強化するプレミアム機能です。

今回やること

  • Amazon WorkSpaces内のDドライブ配下に「test」フォルダを作成する。
  • F-Secure PSBにて上記で作成した「test」フォルダを監視対象に設定する。
  • 「test」フォルダ内のファイルに変更を加えて「データガード」の挙動を確認する。

準備

「F-Secure PSB とは?」だったりAmazon WorkSpacesへの初期セットアップに関しては下記のブログを参照頂ければと思います。

補足

Server Protection Premiumの機能

今回ご紹介する「データガード」は、F-Secure製品の種類の中でもServer Protection Premiumから提供されている機能となります。Server Protection Premiumでは「データガード」の他に「アプリケーション制御」という機能も提供されていますが今回は「データガード」の方の検証をやっていきたいと思います。詳細はこちらから
「アプリケーション制御」に関しての簡単な検証はこちらの記事を参照頂ければと思います。

検証した環境

  • Amazon WorkSpaces
    • Standard with Windows 10 (PCoIP) Japanese (日本語)
  • F-Secure
    • F-Secure PSB Server Protection Premium v20.3

やってみた

F-Secure PSBのポータルへのログインと、Amazon WorkSpacesのセットアップが完了している状態から進めていきます。 まずは、アプリケーション制御用の設定プロフィールを作っていきます。ポータル画面左メニューの「プロフィール」-「Server Protection」を選択します。

デフォルトのプロフィールからクローンしていきますので「F-Secure Server」の「アクション」から「プロフィールをクローンする」を選択します。

「プロフィール名」と「説明」に任意の内容を入力します。今回は「data-guard」としました。

同じ画面の左下に「データガード」という項目があるので選択します。

データガードの高度な動作ブロックを有効(緑色が有効になっている状態)にします。

「手動で含まれるフォルダ」にDドライブ配下の「test」フォルダを指定します。

「パスを追加」から「D:\test」と入力します。

「保存済みのアプリケーションを自動的に検出する」を無効(灰色が無効になっている状態)にします。今回は検証のため、すべてのアプリケーションを信頼しない状態として動作を見ていきます。

作成が完了した旨のメッセージが表示されます。

右下の「OK」を選択します。

プロフィールが追加されました。ただプロフィールに紐づいているデバイスがまだ「0台」なのでデバイスを作成したプロフィールに紐づけて行きます。

ポータル画面の左メニューから「デバイス」を選択します。デバイスに紐づいているプロフィールが「F-Secure Server」(※デフォルト)であることが分かります。

デバイスの左のチェックボックスにチェックを入れ選択します。デバイスをチェックする画面下にメニューが表示されます。

画面下に表示されたメニューの「指定」から「プロフィールを指定する」を選択します。

先ほど作成したプロフィール(data-guard)を選択し、「指定」を選択します。

完了した旨のメッセージが表示されます。

デバイスに紐づいているプロフィールが「data-guard」に変更されたとが分かります。

Amazon WorkSpacesにログインして「D:\test」配下のファイルを開きます。

現在test1という文字が保存されています。

test2という文字に変えて上書き保存してみます。

上書き保存をしてみると「名前を付けて保存」のダイアログが表示されます。(上書き保存できない挙動となります)

名前を変えて(test→test-after)に変えて「保存」してみます。

名前を変えても保存が出来ない動きとなりました。

上記動作とほぼ同時にAmazon WorkSpaces内の画面右下に通知メッセージも表示されます。

F-Secure PSBのポータル左メニューの「セキュリティイベント」を確認すると検証した時刻で、ソースがデータガードのログが確認できます。

まとめ

先日書いた「アプリケーション制御」の検証記事と同じようにある程度直感的に設定ができたので操作し易そうだなといった印象でした。今回の検証では動作の確認までにとどまっているため、実際に「データガード」を使ううえでどういう設定が有効なのかなどは検討して設計しておく必要があると思っています。動作検証の記事に加えてそういった設計の視点でも今後記事を書ければと思います。

以上、大阪オフィスの林がお送りしました!