検索
連載

多様化する「エンドポイントセキュリティ」、正解はどこにあるのか製品ごとに全く異なるアプローチ(2/3 ページ)

本稿では、@IT編集部が2016年3月11日に開催した「失敗しないエンドポイントセキュリティ製品の選び方」勉強会のレポートをお届けする。

Share
Tweet
LINE
Hatena

各社各様のエンドポイント保護手法

 一口にエンドポイントセキュリティと言っても、その手法は製品ごとにさまざまだ。各ベンダーのセッションでは、それぞれの製品の特徴について説明が行われた。

プロセス監視で組織内の脅威を可視化する


EMCジャパン RSA事業本部 事業推進部 ビジネスディベロップメントマネージャー 能村文武氏

 EMCの「RSA ECAT」では、各端末に導入した「エージェント」から上がってくる情報を基に、企業にやってくる脅威をあぶり出し、可視化して止めるというアプローチをとっている。

 EMCジャパン RSA事業本部 事業推進部 ビジネスディベロップメントマネージャーの能村文武氏は、同製品の動作について「エージェントを介して各PCのライブメモリ監視を行い、起動しているPCのメモリ上に展開されたプロセスの中に“変なもの”がないかをチェックすることなどにより、脅威を可視化する」と説明した。この“変なもの”であるかどうかを判定するのにこれまではシグネチャを使ってファイルを分析する方法を用いていたが、この手法には限界があるため、現在はサンドボックス上での動作チェックやメモリ監視も行うという。

 RSA ECATではこうした情報を基に各エンドポイントの不正な振る舞いをスコアリングし、管理する。「他のPCや初期状態のPCと比べたときに、スコアが高いかどうかといった点を見ることで、脅威を浮き彫りにできる」(能村氏)。


RSA ECATの基本技術。ファイルシステムでの検知だけでなく「メモリ上」での挙動も基に、エンドポイントの怪しい挙動を監視する

複数エンジンを組み合わせて“多層防御”を実現する

 これとはまた異なるアプローチをとっているのが、未知の脅威を「複数のエンジン」でチェックするソリトンシステムズの「Zerona」だ。

 この“複数のエンジン”には、脆弱性攻撃対策を行う「ZDP」、ファイルの静的/動的解析のための「Static」「Sandbox」、挙動監視の「HIPS」「Machine Learning」の5つが含まれる。これらのエンジンは、FFRIの「FFR yarai」のOEM提供を受け、ソリトンシステムズが独自実装を加えたものだ。Zeronaでは、これらのエンジンを用いて脆弱性を突く攻撃やマルウェアを検知、ブロックする。


ソリトンシステムズの「Zerona」が持つ5つのエンジン。脆弱性防御/ファイル検知/プロセス検知でそれぞれ異なる性格の解析を行い、クライアント内部での多層防御を行う

WindowsAPIに着目した「ホワイトリスト」アプローチ

 これに対して、「未知のプロセスは一切実行させない」というアプローチをとるのがハミングヘッズの「DefensePlatform」だ。同製品は「WindowsAPI」を介したプログラムの挙動を監視するもので、不審な動きが見られた場合、アラートを表示し、利用者もしくは管理者がその動作の可否を判断するのが基本的な仕組みだ。

 石津氏はこの考え方を「インテリジェントホワイトリスト」と表現する。同氏は、「人の行為は“許容”し、プログラムによる自動動作を“疑う”というのが基本コンセプトだ。振る舞い検知ではなく、WindowsAPIだけを見ている点に特徴があり、新種や亜種のマルウェアに対しても効果を発揮する」と述べ、「例えば本製品では、遠隔操作マルウェアであるEmdiviや、ランサムウェアであるTeslaCryptの動作も止めることができた。メールなどに添付されたマルウェアを“開く”ことは止められないが、その後の“悪事”は止められる」と説明した。


ハミングヘッズの「DefensePlatform」の監視レイヤーのイメージ。アプリケーションがWindows APIやドライバへのアクセスを行うときにアラートを行う。通常利用するようなアプリケーションはホワイトリストに登録しておくことで、未登録のアプリケーションのみ動作可否の判断を行うことが可能

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  9. 「ランサムウェアに一度感染したら、身代金を払ってもまた攻撃される」のはほぼ確実? ウィズセキュア調査
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る