「定義ファイル頼み」だけでは守れない 新たなセキュリティ脅威から包括的に保護

　インターネットの普及に伴い、われわれの働き方は多様化している。オフィスの机の上だけでなく、自宅に、あるいは出張先や外出先にPCを持ち出し、インターネットVPN経由で社内ネットワークにリモートアクセスするワークスタイルはもはや珍しくない。

　生産性向上という側面では歓迎すべき傾向だが、情報セキュリティという観点ではいくつかの課題をはらんでいる。システムやデータを破壊しようとする攻撃だけでなく、不正な情報取得によって利益を得ようとする犯罪、社員一人一人のPCやインターネットアクセスの不適切な利用による情報漏えいといった新たなリスクに直面することになるからだ。

「ひそかに、ピンポイントで」――変わる脅威

　しかも近年、セキュリティ脅威はますます巧妙化してきた。背景には、攻撃者の目的が変化してきた事実がある。ただユーザーを困惑させることを狙った愉快犯の代わりに、不正に金銭や機密情報を得ることを目的とした、プロの犯罪者による攻撃が増えているのだ。

　数年前には、インターネットに接続しているユーザーを無差別に狙う、大規模感染型のウイルス／ワームが猛威を振るった。ただしこうした脅威は、仮に感染しても、自分自身で「何かおかしいな」と被害に気付くことができた。しかも広範囲に拡散したため、セキュリティベンダは比較的ウイルスやワームの検体を入手することが容易で、迅速に対処することが可能だった。

　ところが、今、企業を取り巻いている脅威は違う。

　犯罪者は、不特定多数のユーザーを無差別に狙うのではなく、利益を得るために特定の組織や企業などを狙い、ターゲットを絞ってひそかに攻撃を行う。その上、データなどを盗み、侵入の痕跡を消して立ち去る。あくまでひそかに重要な情報を抜き取り、外部に送信してしまうため、被害に気付いた頃には手遅れだ。

　こうした行為を短時間で容易に行えるテクニック「rootkit（ルートキット）」を応用して作成されたマルウェアなども増加している。rootkitのテクニックを用いて、システムの深い部分に埋め込まれたバックドア、キーロガーといった悪意あるコードの存在を隠ぺいする。従来型のセキュリティ対策ソフトを用いても検出は困難だ。さらに、セキュリティパッチの用意されていない脆弱性を攻撃する「ゼロデイ攻撃」も増加の一途にあり、対処を困難なものにしている。

定義ファイル頼りでは間に合わない

　感染拡大型の攻撃は被害が表面化することが多く、また被害が発生しなくても、ウイルス対策によるスキャンなどにより、脅威を検出することもできた。それに対し、rootkitのテクニックを応用したマルウェアなどは、システム深部に存在を組み込み、隠ぺいし、セキュリティの検出から逃れようとするため、情報漏えいなどの事実が発覚しないとなかなか把握できない。そのため、定義ファイルがないまったく未知の脅威やシステム内部に隠ぺいされているマルウェアを検出できる、より高度な技術が必要になってきている。

　このように、機動性の向上、セキュリティ脅威の変化を背景に、社員の過失などによる内部情報漏えいを防ぎ、ますます巧妙化する攻撃に適切に対処するために、シマンテックが10月に投入予定の製品が、企業向けセキュリティ対策ソフト「Symantec Endpoint Protection 11.0」である。

「Symantec Endpoint Protection 11.0」クライアントの画面

　Symantec Endpoint Protection 11.0は、同社が提供してきた企業向けアンチウイルスソフトウェア「Symantec AntiVirus Corporate Edition」と「Symantec Client Security」の後継製品だ。だが、アンチウイルス／アンチスパイウェアにとどまらず、未知の脅威や内部からの脅威に対し、エンドポイントを保護する、高度なプロテクションを実現する。

　具体的には、実績の高いアンチウイルスやアンチスパイウェア機能を提供する「ウイルス対策／スパイウェア対策」に加え、ネットワーク型の脅威やゼロデイ攻撃からPCを守る「ネットワーク脅威防止」、定義ファイルが提供される前の未知の脅威からPCを守る「プロアクティブな脅威防止」、そしてポリシー遵守を徹底させ、セキュリティの低いPCをセキュアな状態にし、ネットワークの安全性を守る「ネットワークアクセスコントロール」という4つの機能を1つに統合している。既知の脅威はもちろん、未知の脅威からエンドポイントを保護するとともに、コンプライアンスの徹底を支援する。

4つの機能を統合した「Symantec Endpoint Protection 11.0」

　Symantec Endpoint Protection 11.0の機能のいくつかは、シマンテックが買収したサイゲートやホール・セキュリティの技術を活用して実現されている。しかもこれは、単にモジュールを継ぎ足しているわけではない。共有できる部分はできる限り共有し、かつWindowsカーネルへの最適化を図ることにより、プログラム全体のサイズをコンパクト化した。

　この結果、メモリ使用量は前バージョンに比べ約70％節減された。新たな脅威に対処する機能を強化すると同時にパフォーマンスを向上させ、ユーザーにストレスを感じさせたり、通常業務に支障を生じさせることなく利用できる。

　また、各4つの機能は、必要に応じてオン／オフを切り替えることが可能だ。これらはすべて、管理者が定めるポリシーに基づいてコントロールできる。

「Symantec Endpoint Protection 11.0」管理コンソールの画面

　しかも、社内LANかVPN経由か、あるいは公衆無線LANサービスを利用しているのかなど、端末が置かれたネットワーク接続環境を判別し、それに応じたポリシーに自動的に切り替える「オート・ロケーション・スイッチング」機能により、管理者の手を過度に煩わせることなくポリシーを徹底させることが可能だ。

もはやrootkitのごまかしは効かない

　では、Symantec Endpoint Protection 11.0は、検出が困難な新たな脅威をどのように見つけ出し、対処するのだろうか。

　rootkitに対しては、アンチウイルス／アンチスパイウェア基本機能を強化し、新たに「Raw Disk Scan」という技術を搭載している。ストレージ企業として長年高いボリューム管理の技術を持つベリタスソフトウェアの技術を統合したものだ。

　Raw Disk Scanは、カーネルのI/Oをバイパスし、ディスク上のデータ構造を直接チェックする。rootkitはしばしば、カーネルモードのドライバを用いてカーネルの中に潜り込み、マルウェアの存在を隠ぺいしようとする。これに対しRaw Disk Scanでは、VxMS（ベリタスマッピングサービス）のダイレクトボリュームアクセスを活用することで、この偽装工作を見破る仕組みだ。

rootkit検出のアーキテクチャ

　もう1つ、rootkit対策で頭を悩ませるのは、検出された後のシステム修復作業だ。rootkit／マルウェアはカーネルの中に潜り込んで偽装工作を行うため、その削除は困難だ。最近ではいくつかのセキュリティ対策ソフトが検出に対応しているが、修復となるとお手上げで、OSの再インストールを余儀なくされる場合もある。これに対しRaw Disk Scanではアンチウイルス機能と連携し、rootkitやその手法を用いたマルウェアを安全に削除し、システムを修復することが可能だ。

定義ファイルがなくとも新たな脅威を検出

　もう1つ、シグニチャや定義ファイルがまだ作成されていない未知の脅威に対しては、プロアクティブな脅威防止機能の1つとして、ビヘイビア（振る舞い）ベースのスキャンにより対処する。定義ファイルが準備できない段階でも、登場したばかりの未知の脅威を検出する技術だ。

　このビヘイビア分析では、プログラムのバックグラウンドの動きを観察して脅威かどうかを判断する。独自のアルゴリズムに基づき、「キーストロークの情報がどこに送信されるか」「アクセス先はどこか」など、120種類以上の項目にわたって分析を加える。

　シマンテックでもこれまで、仮想マシン上で動作を分析してウイルス亜種を検出する「Bloodhound」技術を提供してきた。しかし、これも基本は定義ファイルに基づいて判断を下すテクノロジだ。これに対しビヘイビア分析は、完全に挙動のみを判断材料とするため、スピア型攻撃などにより検体の入手が困難な状況であっても、未知の脅威を確実に検出し、対処することが可能だ。

　ポイントは、「マルウェアらしさ」だけでなく、「正しいアプリケーションらしさ」についても測定する点だ。両方の結果を照らし合わせて分析することにより、ビヘイビア分析につきものの誤検出を減らし、非常に高い精度で新たなマルウェアを検出する。

　さらに、攻撃ではなく脆弱性そのものに着目し、文字通り穴を塞ぐように動作する「Generic Exploit Blocking」（GEB）も実装している。最近では、新たな攻撃が1つ登場すると、それを元にした亜種が次々と登場してくる。GEBを活用すれば、亜種ごとに個別に定義ファイルを用意せずとも、1つのシグネチャで対応が可能だ。

各端末のコンプライアンスを強制し内部リスクに対処

　企業を取り巻くリスクは、ウイルスやスパイウェアのように外からやってくるものだけではない。内側からの情報流出も、大きなダメージを与える。

　Symantec Endpoint Protection 11.0はこうした内側からのリスクにも対処するため、「外部デバイスコントロール」や「アプリケーションコントロール」といった機能を搭載する。しばしば情報流出の源となるUSBメモリなどの外部デバイスの接続をクラスIDに基づいて制御したり、P2PソフトやIMなどの通信を禁止することにより、データの流出を未然に防ぐ仕組みだ。

　同様に、ネットワークアクセスコントロール機能もあらかじめビルトインされている。クライアント側に追加モジュールを加えることなしに、ネットワークアクセスコントロールによる検疫システムを実現することが可能だ。管理者が定めたセキュリティ基準を満たさないエンドポイントにはネットワーク接続を許可せず、矯正を行ってからアクセスを許可するといった対処を行うことができる。

　こうした機能により、新たなセキュリティ脅威から端末を保護するだけでなく、ポリシーに基づいてエンドポイントを制御し、コンプライアンスを隅々まで行き渡らせることができる。

　シマンテックではSymantec Endpoint Protectionのこうした新機能を通じて、エンドポイントを包括的に保護し、将来的には、ネットワークにつながるあらゆる情報端末を保護していくというビジョンを描いている。こうした機能と構想の一部は、9月に開催される「Symantec Endpoint Security Day」で紹介される予定だ。