 |
|
クラウドを使った最新のセキュリティソリューション、トレンドマイクロのTrend Micro Smart Protection Network™。最新技術といっても、それを支えるのはやはり“人”。本記事では@ITでも人気連載を持つサポートエンジニアの飯田氏に、 現在の脅威動向とクラウドでの対策の有効性、それを裏側で支えるエンジニアの仕事を聞く。
| ウイルス対策は機械的作業? いいえ、違います。 | ||
 |
||
インストールしたあとは「ブラックボックス」として、何もせずとも機械的に、当たり前のように働いてもらう――ウイルス対策ソフトとは、そのような宿命を持ったものかもしれない。しかしその裏では、自動化された仕組みだけでなく、“人”が動いている。本記事ではトレンドマイクロのセキュリティ製品・サービスの基盤である「Trend Micro Smart Protection Network™」(以下、SPN)の、その裏で働くエンジニアにフォーカスを合わせ、さらに深く仕組みを知っていただこう。
| 【関連記事】 ネットの脅威はネットで防げ クラウド時代の新しいセキュリティ対策 トレンドマイクロの「SPN」 http://www.atmarkit.co.jp/ad/trendmicro/spn0906/spn.html |
| ウイルス対策ソフトの裏で働くエンジニアたち | ||
|
||
 |
トレンドマイクロ サポートサービス本部 コアテクノロジーサポートグループ Threat Monitoring Center 課長 飯田朝洋氏 |
「スレットモニタリングセンターは未知のウイルス解析のプロ集団。人の目で見て、人の手でレポートします。それが一番、お客様に喜ばれているんです」と語るのは、@IT Security&Trustフォーラムでも人気の連載「セキュリティTips for Today!」を執筆する、トレンドマイクロ サポートサービス本部 Threat Monitoring Center 課長の飯田朝洋氏だ。
彼がマネージャを務めるスレットモニタリングセンターは、ハニーポット(おとりサーバ)をはじめとするさまざまな方法で未知の脅威、ウイルス、不正プログラムを捕獲、収集し、解析することで、利用者の環境に合わせた「脅威に感染した場合の復旧方法」や「脅威が侵入しない方法」を提案する部隊だ。彼らは最新の脅威に積極的に接し、的確な対応を検討することが仕事といえる。その飯田氏に、現在の脅威を語ってもらおう。
現在の脅威、それはWebからやってくる。飯田氏は、「従来はファイルを単体で検知するだけで事足りていました。しかし攻撃手法も複雑化しています。弊社の調査では、2.5秒に1つの新種ウイルスが登場しています。そのため、パターンファイルだけでの対応では、スピード面や配信に使う帯域の面でも、現実とギャップが発生しているといえます」と述べる。
| 本丸のウイルスを見分け、適切に対処するには | ||
|
||
ここで1つ、最近のウイルス事情を解説しよう。下図は近年みられる「ドライブバイダウンロード」というウイルス感染手法だ。
 |
| 図1 ドライブバイダウンロードの例 ウイルスa,b,cはダウンローダと呼ばれるウイルスで、特定のURLから特定の不正ファイルをダウンロードさせる目的のもの。最終的にウイルスdを感染させることが目的だが、サーバは世界各地に散らばり、さらに経路も自由に変更できるため解析が困難で、ウイルス感染の“延命効果”が高いことが特長。 |
利用者は迷惑メールやクライアントの脆弱性、USBメモリなどの経路で、不正プログラムaに感染する。不正プログラムaは不正なサーバBにアクセスする。するとウイルスbをダウンロード/実行させられるが、このウイルスbは「サーバCからウイルスcをダウンロードし、実行せよ」と命令するといったように、感染PCは次々とサーバを渡り歩くことになる。最終的に不正プログラムdという「本丸」――つまり、クライアントがボット化したり、カード情報などが盗まれてしまう。
「従来は、1つのウイルスだけを解析・対策すればよかったのです――」と飯田氏は語る。このような最新の手法では、a、b、cのウイルスはあくまで目くらましであり、解析の重要度は低いともいえる。「このように図式化されていると『dだけを駆除すればいいじゃないか』と思いがちですが、感染が分かった段階では1つのPCに複数の不正プログラムが同居しているので、いったいどのウイルスが本当に有害で駆除すべきウイルスなのか、またどのような順序、経路でその状態に至ったかが分かりません」(飯田氏)。複雑になった攻撃の目的や一連の流れを見極めるのがスレットモニタリングセンターの仕事なのだ。
このように、1つの不正プログラムに感染してしまうと、多重感染を引き起こしてしまうのが現状なのだ。従来の対策では、実際にウイルスがPCに届いたあとに行うことになり、復旧にも時間がかかる。いわば「従来の対策はサッカーにおける“PK戦”なんです」(飯田氏)という。守る側にとって、これ以上不利なものはない。ならばそこまで持ち込ませず、攻撃者をできる限りゴールから遠ざけ、その間にいくつものディフェンス、壁を構える――それこそが、トレンドマイクロの提唱するSPN™だ。
| 「不正なサイトにアクセスさせない」という壁を作る | ||
|
||
SPNとは、Webレピュテーション、E-mailレピュテーション、ファイルレピュテーションから構成されるクラウド型のセキュリティ基盤で、“脅威のナレッジ”を全世界規模で蓄積し、リアルタイムで更新している。
 |
| 図2 Trend Micro Smart Protection Network(SPN)の仕組み |
いまの脅威は前述のようにWebからやってくる。つまり、不正なサイトに接続しないということが対策の1つとなる。「不正プログラムが仕掛けられているサイトを収集、監視する業務において、1時間に1回の間隔で、新種の不正プログラムに入れ替えられ続けているようなWebサイトも数多く確認しています。従来の手法ですと、1時間に1回、パターンファイルを更新しないと検出できないわけです。ならば、そもそも不正なサイトにはアクセスさせない、という対策の方が効率的です」(飯田氏)。攻撃者の立場から見ても、ファイルを入れ替えるより、サイトを別に立ち上げ続ける方が面倒である。このような観点から、Webサイトへのアクセス自体をストップし、「予防」することが重要なのだ。
同様のことは電子メールについてもいえる。E-mailレピュテーションではスパムや迷惑メールの送信元などの情報から、攻撃のきっかけとなるメールを受信させないという対策がとれる。これにより企業のメールサーバで受け取るメールの流量も削減でき、インフラ設備にかかわるコスト面での副次的なメリットもあるという。
このような話を聞くと、いわゆる「URLフィルタリング製品」との違いが気になるかもしれない。飯田氏は「URLフィルタリング製品は、ギャンブルサイトやポルノサイトなど、基本的には業務に不必要なサイトへの接続を防ぐことが目的です。SPNのWebレピュテーションは危険性の高いサイトから不正なファイルをダウンロードさせないことが目的なので、この2つはむしろ補完関係にあると考えています」と述べた。
| 認められる功績、グラフの数字の意味 | ||
|
||
従来の「検知」ではなく「予防」という方向性は正しいのだろうか。それを証明するデータが米国NSS Labsより報告された。その結果は、トレンドマイクロのアプローチの正しさを示すものだった。
その前にNSS Labsの評価方法について解説しておこう。従来、ウイルス対策ソフト製品では「ウイルス検出率90%!」というような数値が1つの指針になっていたかと思う。これはインターネットに接続していない状態で、既存のウイルスをウイルス対策ソフトに処理させた結果、検知できる割合がどの程度だったかというデータだ。しかし、いまやこれはあまり意味のない数値であることにお気付きだろう。これはあくまで「既知のファイル検出」の割合であり、インターネットに接続していることが当たり前になり、2.5秒に1つ新しいウイルスが発生する現状に即していないからだ。
いまや、ウイルス対策には単なる「検出率」だけではなく、総合的な「防御力」が求められている。ファイルを見つけ出す性能は1つの機能にすぎず、利用者の環境を守ることがセキュリティ対策の目的であることは自明だ。そのために必要な予防、クオリティが今の製品には求められる。
NSS Labsは、ウイルスによる脅威の変化を踏まえ、インターネットに接続した状態でどれだけ最新の脅威を防御できたか、という実際の運用に即したテストとなっている。この結果、トレンドマイクロの製品は1位を獲得している(出典:NSS Labs製品評価レポート 2009年9月)。
| 【関連リンク】 “検出率”の比較はもう古い?(NSS Labsによる製品比較) http://jp.trendmicro.com/jp/threat/technique/nss/index.html NSS Labs http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009 |
 |
| グラフ1 NSS Labsの調査による“ブロックまでの平均時間”(出典:NSS Labs製品評価レポート2009年9月) 新しい不正サイトが出現した際に、いかに早くブロックできるかの尺度を時間で表している |
そして注目すべきはそのテストのうち「ブロックまでの平均時間」というものだ。これはある時点で未ブロックの不正URLに対応した速度を計測したもので、トレンドマイクロはここでも1位であった。しかし問題はその順位よりも、「36.3時間」という時間だろう。この時間が表すもの、それこそがスレットモニタリングセンターで働くエンジニア活動のたまものだ。
 |
「これは、1エンジニアとして素直にうれしい結果です」と飯田氏も笑顔で答える。なぜ1位を取れたのか、それはトレンドマイクロがこの方式を選択した歴史にあるという。
「実はこのSPNはいまに始まったものではありません。E-mailレピュテーションは2005年、Webレピュテーションも2007年から続けてきたもので、当時から先を見据えた設計になっていました。これまでの積み重ねが評価された結果なのです」(飯田氏)。トレンドマイクロはそのころから、パターンファイルだけでは限界がくることを見越していた。パターンファイルとは「ファイルを検知する」というものだ。それ自体の仕組みはいまもこれからも必要だが、それを補うためのテクノロジーが必要になる。その答えがSPNなのだ。
| 今日もPCの安全を守るために | ||
|
||
飯田氏はサポートエンジニアとして、常に利用者の目線で問題をとらえ、最良のソリューションを提供してきた。トレンドマイクロにおいて、現場が何に困っているのかを最も把握している人間の1人だ。彼はセキュリティ対策について「テクノロジー、製品だけでは不十分で、どのように運用するか、さらには人が重要」と述べる。
「セキュリティはテクノロジー、運用、人の“掛け算”なんです。足し算ではないという点がポイントで、いずれかがゼロだとすべてがゼロになってしまいます。運用はテクノロジー、製品の効果を最大化するために必要な要素です。よいテクノロジー、製品を利用していたとしても、的確に運用していなければ意味を成しません。そして、的確に運用されたとしても、最後はインフラを利用する人、一般の社員次第でセキュリティレベルは変わります」(飯田氏)
正しい「運用」とは、難しいものだ。環境や使用製品、テクノロジーによって異なるので、一概にこれが正しいといえるものではない。自社のビジネス環境はもちろん、脅威が変化すれば、運用も変える必要も出てくる。いかにPDCA(Plan、Do、Check、Act)サイクルを運用に組み込み、定期的に改善していくかが重要だ。そして、「人」に対するアプローチがこの中で一番難しい。コンピュータに対する知識レベルは、人によって千差万別。これを、一定レベルに保つことはとても難しいものだ。
「テクノロジーはトレンドマイクロが提供する製品・サービスであり、運用は専門家であるエンジニアがご相談にのります。また社員の教育についても、弊社のWebを通じた情報提供や、講演、研修などで私たちがお手伝いできることがあります。教育においては、コンピュータ犯罪や昨今のインターネットを取り巻く脅威を、いかに自分ごととして実感していただけるかがポイントになると考えています」(飯田氏)
一方、ユーザーの視点からセキュリティベンダを評価する場合、どんなに素晴らしいテクノロジーでも、そのベンダの人を信じられるか、が大切なのではないだろうか。トレンドマイクロのテクノロジー、そしてそのテクノロジーを支える人、それぞれを信頼できて初めて安心のレベルが1つ上がる。クラウドでセキュリティを実現するといってしまうのは簡単だ。しかし、もう一歩進んで、それを支える“人”に注目すれば、これからの環境に最適な新しい時代のセキュリティに向けて、その一歩を踏み出すきっかけになるはずだ。
|
ホワイトペーパーダウンロード
|
提供:トレンドマイクロ株式会社
アイティメディア営業企画
制作:@IT 編集部
掲載内容有効期限:2009年12月23日
|
関連リンク |
|
関連記事 |
 有害サイトをブロック、トレンドマイクロがPSP向けサービス(@ITNews) |
| トレンドマイクロ、iPhone向けセキュリティサービスを開始(@ITNews) |
| マルウェア検査をクラウド上で、トレンドマイクロ(@ITNews) |
| セキュリティTips for Today 連載インデックス(@IT Security&Trust) |
