なぜ、ブラックリスト型は限界なのか? いま「ホワイトリスト型」が必要なワケ(1) 定義ファイルベースのウイルス対策がなぜ“限界”に来ているのか？

定義ファイルベースのウイルス対策がなぜ“限界”に来ているのか？

ここ数年、国内外そして組織の規模を問わず情報セキュリティ侵害事件が相次いでおり、一向に減る傾向にない。そして厄介なことに、標的型攻撃に代表されるようにサイバー攻撃の手法はますます高度化／複雑化が進んでおり、企業は常に新たな脅威に合わせた対策が迫られているのである。もしそうした対策を怠れば、深刻な情報漏えい事件などを引き起こし、信頼の失墜や莫大な補償コストの発生といった、企業にとって致命的なダメージを被りかねない。

こうしたなか、多くの企業で行われている一般的な対策としては、アンチウイルスやIDS、IPS、UTMなどの活用が挙げられる。しかし、これらの対策は確かに必要ではあるが、最新の脅威を完全に防ぐことはできないという事実を忘れてはならない。

株式会社アクト・ツー代表取締役社長加藤幹也氏

ITソリューションの販売やサポートを手がけるアクト・ツーの代表取締役社長、加藤幹也氏は、「特にアンチウイルスに関しては、時代を追うごとに最新のウイルス／マルウェアの侵入を防ぐことが難しくなっています」と警鐘を鳴らす。

その最大の理由として挙げられるのが、ゼロデイ攻撃（発見されたばかりで対策が行われていないOSやシステム等の脆弱性を突く攻撃）やステルス化（アンチウイルスソフトなどで検知されないよう一定の環境でしか動作しないようにすること）が進んでいることだ。なぜならば、これまでのほとんどのセキュリティソフトの場合、すでに発見されたウイルスに対する防御は可能であっても、どこにも発見されていない未知のウイルスが動き出した場合には、無防備といってもいい状態になっているからである。

その理由は、従来のアンチウイルス／アンチマルウェア製品のほとんどすべてが、定義ファイル（既知のマルウェアの情報が集約されたリスト）をベースとした「パターンマッチング方式」を採用しているからだ。リストを元にウイルスを検知するというこの方式では、リストにはないウイルスの場合は何もせずに通してしまうのである。しかも現在、ウイルスやマルウェアの総数は5億個を超えていると言われている。そうなると、アンチウイルスソフトは定義ファイルに記された5億個ものリストと都度照合しなければならなくなり、CPUへの負荷も年々増大する一方となっているのだ。

「近年では、こうした定義ファイルの更新が追いつかないほどに、ウイルスやマルウェアの発生速度が速く亜種も次々とつくられています。セキュリティベンダーがゼロデイ攻撃を認識し、その内容が定義ファイルに反映されるまでの期間も、感染リスクが非常に高まっていることを十分認識していただきたい」（加藤氏）

パターンマッチング方式によるセキュリティ対策では、リストにないウイルスやマルウェアの感染を招く可能性がある

「ホワイトリスト」＋「API監視」という最適解

定義ファイルをベースにその都度照合するという従来のセキュリティソフトの手法は「ブラックリスト型」と呼ぶことができるだろう。これに対して、先述したようなブラックリスト型の欠点をすべて克服し、既知はもちろんのこと未知のウイルス／マルウェアであっても100%検知してブロックできる手法となるのが、「ホワイトリスト型」なのである。

ホワイトリストとはどのようなものか、加藤氏は次のように説明する。「会社の受付をイメージしていただくとわかりやすいでしょう。多くの会社では、あらかじめその日の来訪者が決まっていて、来訪予定者が記載されたリストを受付に渡し、リストに名前があれば『どうぞ』と通すのではないでしょうか。そしてもしリストにない来訪者であれば、訪問先に確認しますよね。この来訪者リストこそが、ホワイトリストなんです。対してブラックリストは、過去の犯罪者リストと言っていいでしょう。来訪者が来る度にいちいちそのようなものと照らしあわせていたのでは、とても仕事はまわりませんよね。それに、犯罪歴はないけれども何か悪意を持った訪問者がいても通してしまうので、すべての犯罪を防ぐことはできないでしょう」

あらかじめ許可されたものだけを通し、それ以外は一旦拒否して確認する。このホワイトリスト型の手法を、ウイルス／マルウェア対策、さらにはハッキング対策にまで応用したソリューションが、ハミングヘッズが開発しアクト・ツーが販売・サポートを手がける「Defense Platform」である。

Defense Platformは、定義ファイルと比較するブラックリスト型のセキュリティ方式ではなく、「API」監視によるホワイトリスト型方式を採用している点が最大の特徴となっている。ウイルスやマルウェアを含めて、あらゆるプログラムはOSのAPIを利用するが、Defense PlatformではウイルスがこのAPIを利用した際に割り込み、被害が出る直前にブロックするのである。ブロックするのは、ホワイトリスト（＝許可されたプログラムや挙動のリスト）にはないすべてであるため、ウイルスやハッキング行為を100％捕捉することができるのだ。

「どんなマルウェアやハッキングの手口もすべてAPIをコールします。つまりAPIとは、善人も悪人も必ず通らねばならない関所のようなところです。Defense Platformは常にそこを監視し、リストに存在しない場合は通しませんので、誤検知はあり得ません」と、加藤氏は強調する。

Defense PlatformはAPIを監視し、割り込むことで被害を直前で防ぐことができる

ホワイトリスト型のセキュリティ製品はDefense Platform以外にも存在するものの、APIを監視するわけではない。そのため、どうしても「裏口」や「抜け道」が発生してしまうのである。

いまなぜホワイトリスト型のセキュリティ対策が必要なのか、そしてホワイトリストとAPI監視を組み合わせたDefense Platformの特徴についておわかりいただけただろうか。次回では、Defense Platformの生い立ちや詳細な機能と、アクト・ツーがこの画期的な製品に着目し販売サポートを引き受けるに至った経緯などについて紹介する。