// シス担のミカタ
セキュリティ製品 - エンドポイント

Carbon Black かーぼん ぶらっく

EDRエンドポイントセキュリティVMware振る舞い検知マルウェア対策脅威ハンティング
Carbon Blackについて教えて

簡単に言うとこんな感じ!

パソコンやサーバーの中で「不審な動き」を監視してサイバー攻撃を検知・阻止するセキュリティツールだよ!ウイルス対策ソフトが「知ってる悪者リスト」で防ぐのに対して、Carbon Blackは「怪しい行動パターン」を見て未知の攻撃も捕まえられるんだ!

Carbon Blackとは

Carbon Black(カーボン ブラック)は、PCやサーバーといったエンドポイント(端末)上での脅威を検知・対応するセキュリティ製品群の名称です。もともとは2002年設立のセキュリティ専業企業「Carbon Black社」が開発した製品ブランドでしたが、2019年にVMwareに買収され、現在はVMware Carbon Blackとして提供されています(2023年以降はBroadcomによるVMware買収にともない事業継続中)。

従来のウイルス対策ソフト(アンチウイルス)は、既知のマルウェアのシグネチャ(特徴コード)と照合する方式が主流でした。しかしCyber攻撃が高度化した現代では、シグネチャが存在しないゼロデイ攻撃やファイルレス攻撃が増加しています。Carbon Blackは振る舞い検知(behavioral detection)と継続的なエンドポイント監視によって、こうした未知の脅威にも対応できる点が大きな特徴です。

製品ラインナップはCB Defense(クラウドネイティブ型)CB Response(オンプレミス型EDR)・**CB Protection(アプリケーション制御)など複数存在し、組織の規模や要件に応じて選択できます。特にEDR(Endpoint Detection and Response)**カテゴリの先駆者的存在として業界に広く知られています。

Carbon Blackの主な製品ラインと機能

製品名現在の名称特徴
CB DefenseCarbon Black Cloud Endpoint Standardクラウド型EPP(次世代アンチウイルス)+基本EDR
CB ResponseCarbon Black Cloud Enterprise EDRフルレコーディング型EDR。過去に遡った調査が可能
CB ProtectionCarbon Black Cloud Workloadアプリケーション許可リスト制御。サーバー向け
CB ThreatHunterCarbon Black Cloud Enterprise EDR脅威ハンティング機能強化版
CB Audit & RemediationCarbon Black Cloud Audit & Remediation端末状態の一括監査・修復

EDR(エンドポイント検知と対応)とは?

EDR(Endpoint Detection and Response) は端末上の全操作ログを記録し続け、攻撃が疑われるイベントを検知・調査・対応する仕組みです。Carbon Blackはこのカテゴリの代表格で、次の4つの動作サイクルで機能します。

┌────────────────────────────────────────────┐
│  EDR の4サイクル(Carbon Black の動作原理)  │
│                                            │
│  1. Record(記録)                          │
│     端末の全プロセス・通信・ファイル操作を    │
│     継続的にクラウドへ送信                   │
│        ↓                                   │
│  2. Detect(検知)                          │
│     振る舞い分析・機械学習・脅威インテリジェ  │
│     ンスでアラートを生成                     │
│        ↓                                   │
│  3. Investigate(調査)                     │
│     過去に遡って攻撃の起点・経路・影響範囲を  │
│     タイムラインで可視化                     │
│        ↓                                   │
│  4. Respond(対応)                         │
│     端末の隔離・プロセス強制終了・修復        │
└────────────────────────────────────────────┘

従来のアンチウイルスとの違い

比較項目従来のアンチウイルスCarbon Black(EDR)
検知方式シグネチャ照合振る舞い検知+機械学習
未知の攻撃✕ 苦手◎ 対応可能
ファイルレス攻撃✕ 検知困難◎ プロセス監視で検知
過去の調査(フォレンジック✕ ログなし◎ 全履歴を保存
リアルタイム対応△ 隔離のみ◎ 遠隔で細かく操作可能
管理コスト中〜高(専門知識が必要)

歴史と背景

  • 2002年 — Carbon Black社(当初社名「Bit9」)設立。アプリケーション許可リスト制御から事業を開始
  • 2014年 — Bit9がCarbon Black社を買収し社名を「Carbon Black」に変更。EDR製品「CB Response」をリリース
  • 2016年 — 次世代アンチウイルス「CB Defense」を発表。クラウド型EPPへ製品を拡張
  • 2018年 — NASDAQ上場(ティッカー: CBLK)。EDR市場のリーダーとして評価される
  • 2019年VMwareが約21億ドルで買収。セキュリティ事業の柱として統合
  • 2020年 — 「VMware Carbon Black Cloud」としてブランドを統一・製品を再編
  • 2023年 — BroadcomがVMwareを買収完了。Carbon Black製品はBroadcomのポートフォリオに移行
  • 現在 — Broadcom主導のもとでエンタープライズ向けEDR・XDR製品として継続提供

Carbon Blackが注目されるようになった背景には、標的型攻撃(APT)の増加があります。既知マルウェアを使わない高度な攻撃手法が企業に被害を与え続けたことで、「事後検知・対応」まで含めたEDRの必要性が業界全体で認識されるようになりました。

EPP・EDR・XDRとの関係

Carbon Blackが属するエンドポイントセキュリティの分類を整理します。

EPP Endpoint Protection Platform 次世代AV(NGAV) 振る舞い検知 アプリ制御 EDR Endpoint Detection & Response 全操作ログ記録 フォレンジック調査 遠隔対応・隔離 XDR Extended Detection & Response EDR+ネットワーク クラウド・メール統合 横断的な相関分析 Carbon Black は EPP と EDR の両方をカバーし、XDR へも拡張中 含む 含む

Carbon BlackとCrowdStrike・SentinelOneとの比較

Carbon Blackは同じEDR市場の主要プレイヤーであるCrowdStrike FalconSentinelOneと競合します。

比較項目Carbon BlackCrowdStrikeSentinelOne
親会社Broadcom(旧VMware)独立(上場)独立(上場)
導入形態クラウド/オンプレ両対応クラウドネイティブクラウドネイティブ
強みVMware環境との統合脅威インテリジェンス自律対応(AI自動修復)
オンプレ対応◎(CB Response)
価格帯中〜高中〜高
日本での普及

関連用語

  • EDR — エンドポイント検知と対応。Carbon Blackが属する製品カテゴリ
  • EPP — エンドポイント保護プラットフォーム。次世代アンチウイルスを含む広義の端末防御
  • XDR — EDRをネットワーク・クラウドなど複数領域に拡張したセキュリティ概念
  • CrowdStrike — EDR市場における最大のライバル製品・企業
  • SIEM — ログを集約して横断分析するセキュリティ管理基盤。Carbon Blackと連携可能
  • ゼロデイ攻撃 — パッチ未提供の脆弱性を突く攻撃。シグネチャ型では防げない
  • 振る舞い検知 — 動作パターンで脅威を識別する技術。Carbon Blackの中核機能
  • SOC — セキュリティ運用センター。Carbon Blackの管理コンソールを使って監視業務を行う組織