一口にエンドポイントセキュリティと言っても、その手法は製品ごとにさまざまだ。各ベンダーのセッションでは、それぞれの製品の特徴について説明が行われた。
EMCの「RSA ECAT」では、各端末に導入した「エージェント」から上がってくる情報を基に、企業にやってくる脅威をあぶり出し、可視化して止めるというアプローチをとっている。
EMCジャパン RSA事業本部 事業推進部 ビジネスディベロップメントマネージャーの能村文武氏は、同製品の動作について「エージェントを介して各PCのライブメモリ監視を行い、起動しているPCのメモリ上に展開されたプロセスの中に“変なもの”がないかをチェックすることなどにより、脅威を可視化する」と説明した。この“変なもの”であるかどうかを判定するのにこれまではシグネチャを使ってファイルを分析する方法を用いていたが、この手法には限界があるため、現在はサンドボックス上での動作チェックやメモリ監視も行うという。
RSA ECATではこうした情報を基に各エンドポイントの不正な振る舞いをスコアリングし、管理する。「他のPCや初期状態のPCと比べたときに、スコアが高いかどうかといった点を見ることで、脅威を浮き彫りにできる」(能村氏)。
これとはまた異なるアプローチをとっているのが、未知の脅威を「複数のエンジン」でチェックするソリトンシステムズの「Zerona」だ。
この“複数のエンジン”には、脆弱性攻撃対策を行う「ZDP」、ファイルの静的/動的解析のための「Static」「Sandbox」、挙動監視の「HIPS」「Machine Learning」の5つが含まれる。これらのエンジンは、FFRIの「FFR yarai」のOEM提供を受け、ソリトンシステムズが独自実装を加えたものだ。Zeronaでは、これらのエンジンを用いて脆弱性を突く攻撃やマルウェアを検知、ブロックする。
これに対して、「未知のプロセスは一切実行させない」というアプローチをとるのがハミングヘッズの「DefensePlatform」だ。同製品は「WindowsAPI」を介したプログラムの挙動を監視するもので、不審な動きが見られた場合、アラートを表示し、利用者もしくは管理者がその動作の可否を判断するのが基本的な仕組みだ。
石津氏はこの考え方を「インテリジェントホワイトリスト」と表現する。同氏は、「人の行為は“許容”し、プログラムによる自動動作を“疑う”というのが基本コンセプトだ。振る舞い検知ではなく、WindowsAPIだけを見ている点に特徴があり、新種や亜種のマルウェアに対しても効果を発揮する」と述べ、「例えば本製品では、遠隔操作マルウェアであるEmdiviや、ランサムウェアであるTeslaCryptの動作も止めることができた。メールなどに添付されたマルウェアを“開く”ことは止められないが、その後の“悪事”は止められる」と説明した。
Copyright © ITmedia, Inc. All Rights Reserved.