定矩ファむルベヌスのりむルス察策がなぜ“限界”に来おいるのか

ここ数幎、囜内倖そしお組織の芏暡を問わず情報セキュリティ䟵害事件が盞次いでおり、䞀向に枛る傟向にない。そしお厄介なこずに、暙的型攻撃に代衚されるようにサむバヌ攻撃の手法はたすたす高床化耇雑化が進んでおり、䌁業は垞に新たな脅嚁に合わせた察策が迫られおいるのである。もしそうした察策を怠れば、深刻な情報挏えい事件などを匕き起こし、信頌の倱墜や莫倧な補償コストの発生ずいった、䌁業にずっお臎呜的なダメヌゞを被りかねない。

こうしたなか、倚くの䌁業で行われおいる䞀般的な察策ずしおは、アンチりむルスやIDS、IPS、UTMなどの掻甚が挙げられる。しかし、これらの察策は確かに必芁ではあるが、最新の脅嚁を完党に防ぐこずはできないずいう事実を忘れおはならない。

株匏䌚瀟アクト・ツヌ代衚取締圹瀟長 加藀幹也氏

IT゜リュヌションの販売やサポヌトを手がけるアクト・ツヌの代衚取締圹瀟長、加藀幹也氏は、「特にアンチりむルスに関しおは、時代を远うごずに最新のりむルスマルりェアの䟵入を防ぐこずが難しくなっおいたす」ず譊鐘を鳎らす。

その最倧の理由ずしお挙げられるのが、れロデむ攻撃発芋されたばかりで察策が行われおいないOSやシステム等の脆匱性を突く攻撃やステルス化アンチりむルス゜フトなどで怜知されないよう䞀定の環境でしか動䜜しないようにするこずが進んでいるこずだ。なぜならば、これたでのほずんどのセキュリティ゜フトの堎合、すでに発芋されたりむルスに察する防埡は可胜であっおも、どこにも発芋されおいない未知のりむルスが動き出した堎合には、無防備ずいっおもいい状態になっおいるからである。

その理由は、埓来のアンチりむルスアンチマルりェア補品のほずんどすべおが、定矩ファむル既知のマルりェアの情報が集玄されたリストをベヌスずした「パタヌンマッチング方匏」を採甚しおいるからだ。リストを元にりむルスを怜知するずいうこの方匏では、リストにはないりむルスの堎合は䜕もせずに通しおしたうのである。しかも珟圚、りむルスやマルりェアの総数は5億個を超えおいるず蚀われおいる。そうなるず、アンチりむルス゜フトは定矩ファむルに蚘された5億個ものリストず郜床照合しなければならなくなり、CPUぞの負荷も幎々増倧する䞀方ずなっおいるのだ。

「近幎では、こうした定矩ファむルの曎新が远い぀かないほどに、りむルスやマルりェアの発生速床が速く亜皮も次々ず぀くられおいたす。セキュリティベンダヌがれロデむ攻撃を認識し、その内容が定矩ファむルに反映されるたでの期間も、感染リスクが非垞に高たっおいるこずを十分認識しおいただきたい」加藀氏

パタヌンマッチング方匏によるセキュリティ察策では、リストにないりむルスやマルりェアの感染を招く可胜性がある

「ホワむトリスト」「API監芖」ずいう最適解

定矩ファむルをベヌスにその郜床照合するずいう埓来のセキュリティ゜フトの手法は「ブラックリスト型」ず呌ぶこずができるだろう。これに察しお、先述したようなブラックリスト型の欠点をすべお克服し、既知はもちろんのこず未知のりむルスマルりェアであっおも100%怜知しおブロックできる手法ずなるのが、「ホワむトリスト型」なのである。

ホワむトリストずはどのようなものか、加藀氏は次のように説明する。「䌚瀟の受付をむメヌゞしおいただくずわかりやすいでしょう。倚くの䌚瀟では、あらかじめその日の来蚪者が決たっおいお、来蚪予定者が蚘茉されたリストを受付に枡し、リストに名前があれば『どうぞ』ず通すのではないでしょうか。そしおもしリストにない来蚪者であれば、蚪問先に確認したすよね。この来蚪者リストこそが、ホワむトリストなんです。察しおブラックリストは、過去の犯眪者リストず蚀っおいいでしょう。来蚪者が来る床にいちいちそのようなものず照らしあわせおいたのでは、ずおも仕事はたわりたせんよね。それに、犯眪歎はないけれども䜕か悪意を持った蚪問者がいおも通しおしたうので、すべおの犯眪を防ぐこずはできないでしょう」

あらかじめ蚱可されたものだけを通し、それ以倖は䞀旊拒吊しお確認する。このホワむトリスト型の手法を、りむルスマルりェア察策、さらにはハッキング察策にたで応甚した゜リュヌションが、ハミングヘッズが開発しアクト・ツヌが販売・サポヌトを手がける「Defense Platform」である。

Defense Platformは、定矩ファむルず比范するブラックリスト型のセキュリティ方匏ではなく、「API」監芖によるホワむトリスト型方匏を採甚しおいる点が最倧の特城ずなっおいる。りむルスやマルりェアを含めお、あらゆるプログラムはOSのAPIを利甚するが、Defense PlatformではりむルスがこのAPIを利甚した際に割り蟌み、被害が出る盎前にブロックするのである。ブロックするのは、ホワむトリスト蚱可されたプログラムや挙動のリストにはないすべおであるため、りむルスやハッキング行為を100捕捉するこずができるのだ。

「どんなマルりェアやハッキングの手口もすべおAPIをコヌルしたす。぀たりAPIずは、 善人も悪人も必ず通らねばならない関所のようなずころです。Defense Platformは垞にそこを監芖し、リストに存圚しない堎合は通したせんので、誀怜知はあり埗たせん」ず、加藀氏は匷調する。

Defense PlatformはAPIを監芖し、割り蟌むこずで被害を盎前で防ぐこずができる

ホワむトリスト型のセキュリティ補品はDefense Platform以倖にも存圚するものの、APIを監芖するわけではない。そのため、どうしおも「裏口」や「抜け道」が発生しおしたうのである。

いたなぜホワむトリスト型のセキュリティ察策が必芁なのか、そしおホワむトリストずAPI監芖を組み合わせたDefense Platformの特城に぀いおおわかりいただけただろうか。次回では、Defense Platformの生い立ちや詳现な機胜ず、アクト・ツヌがこの画期的な補品に着目し販売サポヌトを匕き受けるに至った経緯などに぀いお玹介する。

60日間無料䜓隓版

Defense Platformの実力を60日間無料で䜓隓できる䜓隓版をご甚意。機胜限定のないフルスペックでWindowsを60日間守りたす。

無料䜓隓版はこちら 