多様化する「エンドポイントセキュリティ」、正解はどこにあるのか：製品ごとに全く異なるアプローチ（3/3 ページ）

本稿では、＠IT編集部が2016年3月11日に開催した「失敗しないエンドポイントセキュリティ製品の選び方」勉強会のレポートをお届けする。

[宮田健，＠IT]

カタログスペックでは分からない、「作り手の生の声」

　さて、このように各社が製品紹介を行った本勉強会だが、筆者がまず驚いたのは、各社の発表後の来場者からの質問が非常に多かったことだ。その内容も「RSA ECATとRSA Security Analyticsとの連携はできるのか」「ラックが発表した“DNSクエリを使った攻撃”など、ゲートウェイセキュリティ製品で検知できないことがある攻撃を、Zeronaのようなエンドポイントセキュリティ製品ではどのように検知するのか」など、製品の機能やその内部技術に関する、かなり“突っ込んだ”内容の質問が続々と飛びだした。

　中でも特に興味深かったのが、来場していたベンダー同士の“熱い”討論が巻き起こったことだ。例えばホワイトリスト形式で「許可したプロセス以外は実行させない」というハミングヘッズ石津氏の発表に対して、複数のエンジンを使い「問題のあるプロセスを止める」ソリトンシステムズ荒木氏が、「脆弱性攻撃では、例えばバッファオーバーフロー1つをとってもROP（Return-Oriented Programming）など複数の手法が存在しているが、その全てを止められるのか」というかなりテクニカルな内容の質問を行った。

　これに対し石津氏は、「WindowsAPIを介して命令を発行する攻撃であれば、例えばJavaの脆弱性を突く攻撃などであっても全て止められる。現在止められないとハッキリ分かっているのは、IEEE 1394経由でダイレクトメモリアクセスを行うような“WindowsAPIを経由しない”攻撃だけだ」と明確に回答した。お互いがそれぞれのプロダクトや技術に通じており、エンジニア視点を持っていることが感じられた瞬間だった。

会場の様子

　おそらく、多くの情報システム部門やエンジニアの人たちは、製品のトレンドをつかむだけでなく、その背後にある“技術”が気になることも多いはずだ。そのような情報は、“製品カタログ”のようなものからはなかなか見えてこない。各ベンダーの、より現場に近い言葉で初めて伝わることもあるだろう。そういった意味では、このようにベンダー同士が直接やりとりする場を設けることは、ユーザーにとっても有益な機会になるのではないだろうか。