多様化する「エンドポイントセキュリティ」、正解はどこにあるのか：製品ごとに全く異なるアプローチ（2/3 ページ）

本稿では、＠IT編集部が2016年3月11日に開催した「失敗しないエンドポイントセキュリティ製品の選び方」勉強会のレポートをお届けする。

[宮田健，＠IT]

各社各様のエンドポイント保護手法

　一口にエンドポイントセキュリティと言っても、その手法は製品ごとにさまざまだ。各ベンダーのセッションでは、それぞれの製品の特徴について説明が行われた。

プロセス監視で組織内の脅威を可視化する

EMCジャパン RSA事業本部 事業推進部 ビジネスディベロップメントマネージャー 能村文武氏

　EMCの「RSA ECAT」では、各端末に導入した「エージェント」から上がってくる情報を基に、企業にやってくる脅威をあぶり出し、可視化して止めるというアプローチをとっている。

　EMCジャパン RSA事業本部 事業推進部 ビジネスディベロップメントマネージャーの能村文武氏は、同製品の動作について「エージェントを介して各PCのライブメモリ監視を行い、起動しているPCのメモリ上に展開されたプロセスの中に“変なもの”がないかをチェックすることなどにより、脅威を可視化する」と説明した。この“変なもの”であるかどうかを判定するのにこれまではシグネチャを使ってファイルを分析する方法を用いていたが、この手法には限界があるため、現在はサンドボックス上での動作チェックやメモリ監視も行うという。

　RSA ECATではこうした情報を基に各エンドポイントの不正な振る舞いをスコアリングし、管理する。「他のPCや初期状態のPCと比べたときに、スコアが高いかどうかといった点を見ることで、脅威を浮き彫りにできる」（能村氏）。

RSA ECATの基本技術。ファイルシステムでの検知だけでなく「メモリ上」での挙動も基に、エンドポイントの怪しい挙動を監視する

複数エンジンを組み合わせて“多層防御”を実現する

　これとはまた異なるアプローチをとっているのが、未知の脅威を「複数のエンジン」でチェックするソリトンシステムズの「Zerona」だ。

　この“複数のエンジン”には、脆弱性攻撃対策を行う「ZDP」、ファイルの静的／動的解析のための「Static」「Sandbox」、挙動監視の「HIPS」「Machine Learning」の5つが含まれる。これらのエンジンは、FFRIの「FFR yarai」のOEM提供を受け、ソリトンシステムズが独自実装を加えたものだ。Zeronaでは、これらのエンジンを用いて脆弱性を突く攻撃やマルウェアを検知、ブロックする。

ソリトンシステムズの「Zerona」が持つ5つのエンジン。脆弱性防御／ファイル検知／プロセス検知でそれぞれ異なる性格の解析を行い、クライアント内部での多層防御を行う

WindowsAPIに着目した「ホワイトリスト」アプローチ

　これに対して、「未知のプロセスは一切実行させない」というアプローチをとるのがハミングヘッズの「DefensePlatform」だ。同製品は「WindowsAPI」を介したプログラムの挙動を監視するもので、不審な動きが見られた場合、アラートを表示し、利用者もしくは管理者がその動作の可否を判断するのが基本的な仕組みだ。

　石津氏はこの考え方を「インテリジェントホワイトリスト」と表現する。同氏は、「人の行為は“許容”し、プログラムによる自動動作を“疑う”というのが基本コンセプトだ。振る舞い検知ではなく、WindowsAPIだけを見ている点に特徴があり、新種や亜種のマルウェアに対しても効果を発揮する」と述べ、「例えば本製品では、遠隔操作マルウェアであるEmdiviや、ランサムウェアであるTeslaCryptの動作も止めることができた。メールなどに添付されたマルウェアを“開く”ことは止められないが、その後の“悪事”は止められる」と説明した。

ハミングヘッズの「DefensePlatform」の監視レイヤーのイメージ。アプリケーションがWindows APIやドライバへのアクセスを行うときにアラートを行う。通常利用するようなアプリケーションはホワイトリストに登録しておくことで、未登録のアプリケーションのみ動作可否の判断を行うことが可能