検索
ニュース

業務アプリが妙な挙動を示したら即ブロック、全く新しいエンドポイントセキュリティ製品をITガードが展開開始エイチ・アイ・エスが導入

ITガードは2017年10月5日、Windows PC向けのエンドポイントセキュリティ製品「AppGuard」の本格販売を開始した。アプリケーションソフトウェアごとに許される動作をあらかじめポリシーとして定めることで、未知の標的型攻撃を防ぐという。

Share
Tweet
LINE
Hatena

アプリケーションのプロセスを隔離することでエンドポイントを守る

前田悟氏
ITガード 代表取締役の前田悟氏

 ITガードは2017年10月5日、東京都内で発表会を開催。Windows PC向けのエンドポイントセキュリティ製品「AppGuard」の日本での本格販売を開始したと発表した。米国ではNASAや国防省などに採用された実績がある製品だ。

 AppGuardは、感染リスクの高いアプリケーションソフトウェア(アプリケーション)を起動時にコンテナ化し、プロセスを隔離することで保護する。

 ユーザーが利用するアプリケーションの動作をあらかじめ設定したポリシーで制限し、ポリシーで許可されていない動作をアプリケーションが実行した場合は、動作をブロックしてエンドポイントを防御する仕組みだ。

 マルウェアを検知したりログを分析したりする仕組みではないため、検知用の定義ファイルや、機械学習、レピュテーション、ホワイトリストのいずれも用いない。また、エンドポイント防御のために、常時ネットワーク接続を維持する必要もない。最新バージョンの実行モジュール(プロテクションエンジン)のサイズは781KBと小さいため、「さまざまな顧客のエンドポイントセキュリティに適する」(ITガード 代表取締役の前田悟氏)という。

 ポリシーは、図1のようにアプケーション起動前と起動後、それぞれで設定できる。

図1
図1 アプリケーションソフトウェア制御のために設定可能なポリシー
吉川剛史氏
ITガード 執行役員 プロダクト技術マネジャーを務める吉川剛史氏

 「デフォルトで10数種類のアプリケーションについてポリシーを定義している。例えばWebブラウザやメーラー、オフィス製品など、標的型攻撃の対象となりやすいアプリケーションだ」(ITガード 執行役員 プロダクト技術マネジャーを務める吉川剛史氏)

 デフォルトのポリシーが少ないのは、ポリシー設定を「自動継承」できるからだ。アプリケーションAがアプリケーションBを呼び出したとき、Bのポリシー設定はAのポリシー設定を自動的に継承する。

 これにより、「例えばWebブラウザ経由でファイルをダウンロードし、そのファイルを扱うために他のアプリケーションが自動的に起動した場合、後から起動したアプリケーションは、Webブラウザのポリシーを自動継承するため、(チェーン状に複数のアプリケーションが起動したとしても)攻撃を防ぐことができる」(吉川氏、図2)*1)

*1) AppGuardに弱点があるとすれば、アプリケーションごとの動作ポリシー設定にあるという。「ポリシー設定を行うのは人間だ。例えば導入企業が自社開発したアプリケーションに、どの程度の動作を許すのか。最大限の動作を許せば穴が生じる。導入時のコンサルティングではこのようなリスクを説明している」(AppGuardの開発元であるBlue Planet-works上席執行役員 日隈寛和氏)

図2
図2 ポリシーを設定したアプリケーションが攻撃を受けたときの動作例 Outlookがメールを受信し、メール内のリンクをクリックしたり、添付ファイルを表示したりしたときの動作を示した

 一般に、全てのアプリケーションについてポリシー設定を定めていくと、導入前の設定に時間を要する。だが、AppGuardの自動継承機能を利用することで、導入時の調査、ポリシー設定、テスト運用に要する期間が短くなるという。「部分導入後のテストを含め、約1〜2カ月で本導入に至る」(吉川氏)

HISが導入を決めた理由は運用コスト低減

 発表会では最初の導入先となったエイチ・アイ・エス(HIS)が、AppGuardを選択した理由を説明した。

平林朗氏
エイチ・アイ・エス 取締役副会長 平林朗氏

 「当社は旅行業を営んでいるため、パスポート番号やクレジットカード番号、個人の行き先、同行者名など、漏えいが許されない情報を大量に扱っている。このため、標的型攻撃に日々さらされている。取引のある実在企業の実在部門を偽って、『××へ出張が決まったので、手配を進めてほしい。詳しくは添付資料を見てほしい』といった内容のメールが多数担当者に届く」(エイチ・アイ・エス 取締役副会長 平林朗氏)

 これに対応するため、セキュリティ運用コストが高くなることが課題なのだという。「67カ国、300拠点に3000台のPCがあり、13社のエンドポイントセキュリティ製品を導入済みだ。従業員の教育にも力を入れている。だが、ここまで対策を講じても全ての攻撃を防ぐことは難しい」(同社)

 HISがAppGuardの導入を決定した最大の理由は運用コストの低減だ。「導入コストよりも運用コスト削減に役立つと考えた。AppGuardはいったん導入すればその後、マルウェアを検知するためのデータを更新する必要がない。(ログの)監視のためにセキュリティ担当者を多数配置しておく必要もなくなる」(平林氏)

 「例えば24時間365日の対応のために6人の要員が必要だった場合でも、AppGuard導入後は9〜17時勤務で2人の要員で済んだ事例がある」(Blue Planet-works 代表取締役の中多広志氏)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
ページトップに戻る