pr

Symantec Endpoint Protection 企業内クライアントを包括的に保護

		ウイルス対策から包括的なエンドポイントの保護に進化

　「Symantec Endpoint Protection（SEP）11.0」は、企業向けウイルス対策製品、Symantec AntiVirus Corporate Edition 10.2の後継製品に当たる。名称の変更からも分かるとおり、ウイルス対策のみではなく、スパイウェア対策、ファイアウォール機能、侵入防止、デバイス制御、アプリケーション制御といったさまざまな防御技術をシームレスに統合し、企業内のクライアントPC（エンドポイント）を包括的に保護する製品となっている。また、別途ライセンスが必要となるが、ネットワーク検疫製品である「Symantec Network Access Control」のエージェント機能も統合されている。こうしたさまざまなセキュリティ対策は、クライアントPCに1つのエージェントをインストールするだけで一度に実現できるよう配慮されている。

Symantec Endpoint Protection 11.0のクライアント画面（クリックで拡大）。セキュリティ関連機能がすべて1つのエージェントに統合されている

　セキュリティ・ソフトウェアとしてのSEP 11.0の特徴は、その強力な保護機能にある。例えば、従来のウイルス対策ソフトウェアでは、検出や削除が困難とされているrootkit（ルートキット）の検出がある。rootkitは元々は対象システム上の管理者権限（root権限）を奪取する目的で開発されたソフトウェア群だ。対象システムの管理者に気づかれずにroot権限を行使するため、自分自身の存在を隠蔽して通常の手法では発見しづらいという特徴がある。こうした隠蔽技術がスパイウェアなどにも応用され、発見が困難なマルウェアが作られるようになった。主な手法は、OSがファイルにアクセスする際に使用するAPIなどを乗っ取るというもので、OSの機能を使用してファイルやプロセスを探すセキュリティ・ソフトウェアからは発見できなくなる。SEP 11.0では、2005年に合併したベリタス社が持っていたストレージ管理の技術を応用した「ダイレクト・ボリューム・スキャン」を搭載し、OSを介さずに直接ストレージ上に記録されている情報をチェックするので、rootkitの偽装テクニックを回避し、隠蔽されているマルウェアを見つけ出し、システムの完全性を損なうことなく、安全に削除することができる。

		未知の脅威や攻撃に対する高い防御力

　また、未知の脅威や、脆弱性が公表されると同時に攻撃に使われる「ゼロデイ攻撃」など、従来の定義ファイル配布による防御では対応できない脅威に対する防御能力も強化された。「ビヘイビア（挙動）分析型スキャン」は、定義ファイルに頼らず、ソフトウェアの挙動を監視し、疑わしい動作を検出するビヘイビア（振る舞い）ベースのスキャン機能だ。同社がTruScanと呼ぶ技術で、動作の正当性も同時に評価し、1つの動作を両面から分析することで検出精度を高めている（誤検知率0.004％）。

　クライアントPC上で実行されるマルウェアだけではなく、ネットワークを介した脅威も増加している。これに対してSEP 11.0では、クライアント・ファイアウォール機能を搭載し、ゲートウェイファイアウォールをすり抜けてきた攻撃や、LAN内部の他のクライアントPCからの攻撃など、許可されていないアプリケーションの通信を遮断する。さらに、ネットワーク・ベースの侵入防止（IPS：Intrusion Prevention System）では、脆弱性ベースで攻撃を検知する「Generic Exploit Blocking」が実装されている。これは、攻撃パターンを識別する手法とは異なり、攻撃対象となる脆弱性自体を特定したシグネチャを使用するものだ。これにより、従来知られていない新種の攻撃手法が発生した場合でも、攻撃対象が既知の脆弱性であれば保護できるというものだ。

　このほか、デバイス制御機能では、例えばクライアントPCでのUSBメモリの使用を禁止するといった制御が可能になるため、情報漏えい対策としても有効だ。単にデバイスを使用禁止にするだけならほかにも多くのソフトウェアで可能だが、SEP 11.0では、デバイスのベンダIDなど、詳細情報をチェックし、それに応じて動作を切り替えることができるのが特徴だ。例えば、企業が標準で配布したUSBメモリは使用できるが、それ以外の製品は禁止する、といった設定が可能だ。SEP 11.0ではより柔軟な設定が可能なため、PCの使い勝手とセキュリティのバランスをきめ細かく制御できる。

		運用コスト低減と多機能化を両立させた集中管理機能

　前述のとおり、SEP 11.0ではクライアントPCにインストールするエージェント・モジュールが単一化され、運用管理の効率は向上している。多様化する脅威に対応してさまざまなソフトウェアを多数のPCにインストールする作業は繁雑だし、それぞれバラバラなタイミングでアップデートするとなると、それだけで大変な作業となってしまう。しかし、SEP 11.0ではこうした“数に起因する問題”が大幅に軽減できる。

運用管理のためのSymantec Endpoint Protection Managerの画面（クリックで拡大）。ポリシーベースで運用ができる

管理コンソールからログを閲覧中に、直接クライアントPCに対してウイルススキャンなどの操作を行える（クリックで拡大）

　運用管理のための管理マネージャー Symantec Endpoint Protection Managerから多数のクライアントPCを一元管理できることも、効率化に繋がる重要な部分だ。管理者がポリシーに基づく管理が可能なのは当然として、クライアントPCをグループ化してそれぞれ異なるポリシーを適用したり、クライアントPCが移動した際に自動的にポリシーを切り替えたりする機能もある。

　強力な保護機能によってセキュリティ問題発生のリスクを軽減でき、さらに一元化による運用効率の向上が期待できる。Symantec Endpoint Protectionを導入すれば、クライアントPCの管理に伴う負担を大きく軽減できるといえそうだ。

ホワイトペーパー ダウンロード 今日の手強いセキュリティ脅威への対処 　オンライン上の脅威をみると、不正なリモートアクセスや情報の盗み出しなど「目立たない攻撃」が依然として主流となっている。企業の知的財産や個人情報の安全を脅かす不正なアクセスにどのように対処すればよいのか？　主な脅威の分析と対処方法を解説する。

提供：株式会社シマンテック
企画：アイティメディア 営業本部
制作：＠IT 編集部
掲載内容有効期限：2008年09月30日